你是否想过怎样让自己的无线网络xxx?有人说,现在上网可以搜索到关于Wi-Fi安全的大量信息,如不要使用WEP,要使用WPA或WPA2,禁用SSID广播,改变默认设置等。但仅有这些还是不够的。为此,本文不再详述这些基本技术,而是讨论可增强无线网络安全的其它方面。
1、 转向企业级加密
如果你创建了一个WPA或WPA2的加密密钥,并且在连接到某个无线网络时必须输入这个密钥,你所使用的就是WPA的预共享密钥(PSK)模式。企业级网络,不管是大是小,都应当用企业模式进行保护,因为这种保护模式向无线连接过程增加了802.1X/EAP认证。用户们不是在所有的计算机上输入加密密钥,而是通过一个用户名和口令登录。加密密钥是以隐藏方式安全地使用,并且对每一个用户和会话都是{wy}的。
这种方法提供了集中管理功能和更好的无线网络安全。
简言之,雇员们和其它用户在使用企业模式时,都通过其自己的账号登录进入网络。在需要时,管理员可以轻易地改变或废止其访问。在雇员离职或笔记本电脑被盗时,这种方式非常有用。如果你现在正使用个人模式,你就需要在所有的电脑和接入点AP上改变加密密钥。
企业模式的一个特别因素是RADIUS/AAA服务器。它与网络中的接入点AP通信,并查询用户的数据库。在此,笔者建议你使用windows server 2003 的IAS或Windows Sever 2008r 网络策略服务器NPS。当然,你也可以考虑使用开源服务器,如{zlx}的FreeRADIUS。如果你觉得建立一个身份验证的服务器需要花费太多的金钱,或者超过了你的预算,不妨考虑使用外购服务。
2、 验证物理上的安全性
无线安全并不仅仅是技术问题。你可以拥有最强健的Wi-Fi 加密,但是你又能如何阻止某人将电缆线接入到暴露的以太网端口呢?或者有人经过某个接入点时按下了复位按钮,将其恢复到了出厂设置,让你的无线网络四门大开,你又该如何是好?
所以,请一定要保证你的接入点AP远离公众可以接触的地方,也不要让雇员随意去摆弄它。不要把你的接入点放到桌子上,最起码应该将其挂到墙上或天花板上,{zh0}将其放到高于天花板的位置。
还可以考虑将接入点AP安装在不易于被看到的地方,并安装外部天线,这样还可以获得最强的信号。如此一来,就可以在更大程度上限制接入点AP,同时,又可以获得两方面的好处,一是增加了覆盖范围,二是利用了较高的天线。
当然,你不能仅xx接入点。所有的网络连接组件都应当保证其安全。这甚至包括以太网电缆的连接。虽然下面这种情况可能有点儿牵强,但是难道某个“不到黄河不死心”的家伙就没有切断电缆接入自己的设备的可能?。
在安装过程中,应当对所有的接入点AP了如指掌。{zh0}制作一张表格,记录所有的接入点模块,连同它们的MAC地址和IP地址。还要标明其所在的位置。通过这种方法就可以确切地知道,在进行设备清查或跟踪有问题的接入点AP时,这些接入点到底在什么地方。
3、 安装入侵检测和(或)入侵防御系统(即IDS和IPS)
这两种系统通常靠一个软件来工作,并且使用用户的无线网卡来嗅探无线信号并查找问题。这种系统可以检测欺诈性的接入点。无论是向网络中接入一个新的接入点,还是一个现有的接入点将其设置改变为默认值,还是与用户所定义的标准不匹配,IDS和IPS都可以检测出来。
这种系统还可以分析网络数据包,查看是否有人正在使用黑客技术或是正在实施干扰。
现在有很多种的入侵检测和防御系统,这些系统所使用的技术也各不相同。在此,笔者向您推荐两开源的或免费的系统,即大名鼎鼎的Kidmet和Snort。现在网上有关于这两个系统的大量教程,您不妨试试。当然,如果你愿意花钱,还可以考虑AirMagnet、AirDefence、AirTight等国外公司的产品。
4、 构建无线使用策略
正如需要其它网络设备的使用指南一样,你也应当有一套针对无线访问的使用策略,其中至少包括以下几条:
①列示可获得授权访问无线网络的设备:{zh0}先禁用所有的设备,在路由器上使用MAC地址的过滤功能来明确地指明准许哪些设备访问网络。虽然MAC地址可以被欺骗,但是这样做显然会控制雇员们正在网络上使用哪些设备。所有被核准设备的硬拷贝及其细节都应当加以保留,以便于在监视网络时以及为入侵检测系统提供数据时进行比较。
②列示可通过无线连接访问网络的人员:在使用802.1X认证时,在RADIUS服务器中仅为那些需要无线访问的人创建账户就可以实施这种控制。如果在有线网络上也使用802.1X认证,你必须指明用户是否要接收有线或无线访问,可以通过修改活动目录或在RADIUS服务器上使用认证策略达到这个目的。
③无线路由器或接入点AP的建立规则:例如,仅准许IT部门建立更多的接入点AP,因而不准许雇员随意插入接入点Ap来增强和延伸信号。对IT部门的内部而言,其规则{zh0}包括定义可接受的设备模式和配置等。
④使用Wi-Fi热点或借助公司设备连接到家庭网络的规则:因为某个设备或笔记本电脑
上的数据可以被破坏,而且在不安全的无线网络上需要监视互联网活动,所以你可能会想到限制Wi-Fi连接仅给公司网络使用。可以借助于Windows中的netsh实用程序,并通过运用网络过滤器来加以控制。还有另外一个选择,即你可以要求一个到达公司网络的VPN连接,这样至少可以保护互联网活动,并可以远程访问文件。
5、使用SSL或Ipsec加密
虽然你可能正使用{zx1}的、最强健的Wi-Fi加密(位于OSI模型的第二层上),也不妨考虑实施另外一种加密机制,如IPSec(位于OSI模型的第三层上)。这样做,不但可以在无线网络上提供双重加密,还可以保证有线通信的安全。这会防止雇员或外部人员随意插入到设备的以太网端口进行窃听。
虽然在这里谈到的这五种技术大多在有线网络上已经很成熟,但在许多单位的无线网络上却并没有得以实施。为了让你的无线网络访问xxx,不妨一试。
虚拟专用网络 VPN(Virtual Private Network )能通过公用网络Internet建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。VPN是对企业内部网的扩展,它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。许多公司使用VPN向公司外部的员工提供企业网络接入。本手册将围绕VPN进行xxx的讲解。
“{zj0}实践”来自英文Best Practice。维基百科对{zj0}实践的定义是一个管理学概念,认为存在某种技术、方法、过程、活动或机制可以使生产或者管理实践的结果达到{zy},并减少出错的可能性。学习应用IT企业安全的{zj0}实践,其实就是借鉴别人成功的经验,让自己在保护企业安全方面少走弯路。在本手册中,将集合IT业内关于企业安全的{zj0}实践,并不断更新,以期在企业安全防护方面提供帮助。
虚拟化是数据中心的流行技术,它起源于20世纪60年代。它是把昂贵的计算机资源的利用{zd0}化的方式。典型的服务器的利用率不足40%,虚拟化可以更有效地利用技术资源,并节约固定费用。虚拟化的{zd0}优势是,它允许管理员从中央区域为个人电脑和客户设备提供软件。虚拟化不需要管理员对一般任务进行分别考虑。服务器的关机可以带动多用户的关机。
黑客策略和技术一直都在进步。黑客还在继续开发新的攻击工具和黑客方法,来恶意访问系统并攻击你的网络,这样企业在开发和采取恰当的方法防御黑客的攻击就变得非常困难。《黑客攻击技术和策略》的技术指南将介绍黑客的内心想法,并帮助你理解恶意攻击者的动机,也提供了一些黑客攻击具体信息的方式,采用的方法以及企业应该采用的保护敏感数据的方法。这里将会提供大量黑客技术和策路的信息,例如允许黑客获取网络系统或者文件访问的系统特征探测。
假如你正在寻找一个漏洞扫描器,你可能已经遇到了大量的非常昂贵的商业解决方案,这些方案都有一长串的性能和优点。不幸的是,如果你和我们之中大部分人的情况一样的话,你一般根本没有运行这些奇特的系统的预算。你可能已经退而求其次,转向考虑使用像SATAN或Saint的免费工具。然而,你可能觉得使用这些工具是一种折衷的办法,因为它们的性能设置不能与商业解决方案相比。这时候你就应该学会使用Nessus! 2005年12月Nessus背后的公司Tenable Network Security Inc.发布了Nessus 3,引进了对该产品的全面检查。在写这篇文章时候的最近版本,Nessus 3.2是在2008年3月发布的。Nessus现在可以在多种平台上使用,包括Windows、各种版本的Linux、FreeBSD、Solaris和Mac OS X。以下是这次Nessus3中的重大变化: 下面将介绍如何使用Nessus工具以及Nessus工具的更新。
