无线网络设备越来越便宜,很多公司和个人都开始架设了无线网络,无线网络给我们带来的便利不言而喻,但是现在最值钱的莫过于硬盘里的文件了,如果没有对无 线网络进行安全保护,那么公司内部的全部资源将暴露在外人面前,试想如果对手窃取了你辛勤劳动的成果将是多么可怕的事情。
由于无线网络先天设计的原因,因此加密一直是一个xx的问题,不光光是我们个人和公司,我国政府和厂商也面临着这样的问题,近期进行的如火如荼的WAPI争夺战就是在为无线网络安全做的努力。
我们大多数公司的网管人员往往对于有线网络的问题了如指掌,但是对于无线网络来说就差很多了,在无线网络的知识上多数网管人员还很缺乏,若想迅速的为公司 的无线网络保驾护航,还需要学习很多内容,为此我们总结了10条业界常用的安全手段,都是一些不难的方法,但是用次方法{jd1}能有效的保护公司的无线网络。
1、采用端口访问技术(802.1x)进行控制,防止非授权的非法接入和访问
目前绝大多数AP和无线路由器都带有802.1x认证的功能,而且价格并不高,我们在选购的时候看好产品说明即可。
2、采用128位WEP加密技术,并不使用厂商自带的WEP密钥
目前无线产品对于加密方面做的都算到位,均可提供多种加密认证方式,但提醒用户的是,不要使用厂商自带的WEP密钥,使用128位的WEP加密技术更加安全可靠。
3、对于密度等级高的网络采用VPN进行连接
VPN是指一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,他不属于802.11标准定义;但是用户可以借助VPN来抵抗无线网络的不安全因素,同时还可以提供基于Radius的用户认证及计费。
4、对AP和网卡设置复杂的SSID,根据需求确定是否需要漫游,是否需要MAC绑定。
SSID是一个非常重要的无线网络标识,如果您起的名称过于简单诸如abc这种名称是十分不安全的,一定要将SSID名称起的复杂一点,另外根据需要决定是否需要漫游,以及是否需要MAC绑定。
5、禁止AP向外广播其SSID
SSID广播一定要禁止,这样只有知道公司SSID的用户才能进入无线局域网络,禁止广播SSID对于安全性至少增加30%
第2页:进一步增强安全 5步高级操作指南
6、修改缺省的AP密码,比如Admin
随着越来越多的家庭用户的增加,很多无线路由器背面铭牌上都印上了路由器默认的地址和用户名以及密码。有趣的是很多品牌默认的SSID是用自己品牌标识, 比如LinkSys的路由器就是Linksys,而登陆的用户名和密码多数都是admin。如果不根改用户名密码的话,公司网络及容易暴露在攻击者面前。
7、布置AP的时候要在公司办公区域外进行检查,通过调节AP天线角度和发射功率,防止AP的覆盖超出办公区域。
这一点是比较理想话的做法,通常我们无法做到,毕竟标配的都是全向天线,更换定向天线的成本不菲,而且还需要很多经验进行调试,如果有条件的企业可以考虑这点。
8、禁止员工私自安装AP,通过笔记本配置无线网卡和无线扫描软件可以进行扫描。
现在无线设备如此便宜,如果员工擅自安装AP极其容易暴露公司网络,如果私装的AP还没有进行任何加密措施,外人通过无线网络上网进行下载等活动,导致公司花钱买来的宝贵的网络带宽被别人占用。
9、如果网卡支持修改属性需要密码,要开启该功能,防止网卡属性被修改
有些xx的网卡支持属性修改加密功能,开启此功能锁定网卡,对于网关来说{jd1}是一件好事,网卡属性不被修改很大程度上保护了公司的网络。
10、制定详细的无线网络管理规定,规定员工不得把网络设置信息告诉公司外部人员,禁止设置p2p的Ad hoc网络结构。
无线网络的使用一定要制定一个标准,诸如对ssid的保密,对进入无线网络的密码保密等规定,另外还要禁止设置p2p的Ad hoc网络结构等,有了规定自然对网络的保护有了依据。