如何安全的使用WIFI

如何安全的使用WIFI

　　以下是OMG小編為大家收集整理的文章，希望對大家有所幫助。

　　WiFi自身的特性注定了它很容易遭受攻擊及竊聽活動的騷擾，但只要我們采取正確的保護措施，它仍然可以具備相當程度的安全性。遺憾的是網(wǎng)上流傳著太多過時的建議與虛構的指導，而我在本文中將與大家分享數(shù)項正面與負面措施，旨在為切實提高WiFi安全性帶來幫助。

　　1. 不要使用WEP

　　WEP(即有線等效保密機制)保護早已過時，其底層加密機制現(xiàn)在已經(jīng)完全可以被一些沒啥經(jīng)驗的初心者級黑客輕松打破。因此，大家不應該再使用WEP。立即升級到由802.1X認證機制保護的WPA2(即WiFi接入保護)是我們的不二選擇。如果大家使用的是舊版客戶端或是接入點不支持WPA2，那么請馬上進行固件升級或者干脆更換設備吧。

　　2. 不要使用WPA/WPA2-PSK

　　WPA以及WPA2中的預共享密鑰(簡稱PSK)模式對于商務或企業(yè)應用環(huán)境不夠安全。在使用這一模式時，必須將同樣的預共享密鑰輸入到每個客戶端當中。也就是說每當有員工離職或是某個客戶端遭遇丟失或被竊事件，我們都需要在全部設備上更改一次PSK，這對于大部分商務環(huán)境來說顯然是不現(xiàn)實的。

　　3. 必須采用802.11i

　　WPA以及WPA2安全機制所采用的EAP(即擴展認證協(xié)議)模式通過802.1X認證機制代替代替PSK，這樣我們就有能力為每位用戶或每個客戶端提供登錄憑證：用戶名、密碼以及/或者數(shù)字證書。真正的加密密鑰會定期修改，并在后臺直接進行替換，使用者甚至不會意識到這一過程的發(fā)生。因此要改變或撤銷用戶的訪問權限，我們只需在中央服務器上修改登錄憑證，而不必在每個客戶端中更換PSK。每次會話所配備的獨立密鑰也避免了用戶流量遭受竊聽的危險——這一點如今在火狐插件Firesheep以及Android應用程序DroidSheep之類工具的輔助之下已經(jīng)變得非常簡單。要使用802.1X認證機制，我們必須先擁有一套RADUIS/AAA服務器。如果大家使用的是windows Server 2008或是該系列的更高版本，也可以考慮使用網(wǎng)絡策略服務器(簡稱NPS)或是互聯(lián)網(wǎng)驗證服務(簡稱IAS)的早期服務器版本。而對于那些沒有采用windows Server的用戶來說，開源服務器FreeRADIUS是最好的選擇。

　　4. 保證802.1X客戶端得到正確的配置

　　WPA/WPA2的EAP模式在中間人攻擊面前仍然顯得有些脆弱，不過保證客戶端得到正確的配置還是能夠有效地防止此類威脅。舉例來說，我們可以在Windows的EAP設置中通過選擇CA認證機制以及指定服務器地址來啟用服務器證書驗證;也可以通過提示用戶新的受信任服務器或CA認證機制來禁用該機制。

　　我們同樣可以將802.1X配置通過組策略或者像Avenda的Quick1X這樣的第三方解決方案應用在域客戶端中。

　　5. 必須采用無線入侵防御系統(tǒng)

　　WiFi安全保衛(wèi)戰(zhàn)的內(nèi)容可不僅僅局限于抵抗來自網(wǎng)絡的直接訪問請求。舉例來說，客戶們可能會設置惡意接入點或者組織拒絕服務攻擊。為了幫助自身檢測并打擊此類攻擊行為，大家應該采用無線入侵防御系統(tǒng)(簡稱WIPS)。WIPS的設計及運作方式與供應商提供的產(chǎn)品不太一樣，但總體來說該系統(tǒng)會監(jiān)控搜索行為并及時向我們發(fā)出通知，而且有可能阻止某些流氓AP或惡意活動的發(fā)生。

　　不少商業(yè)供應商都在提供WIPS解決方案，例如AirMagnet公司及AirTightNetworks公司。像Snort這樣的開源方案也有不少。

　　6. 必須部署NAP或是NAC

　　在802.11i及WIPS之外，大家還應該考慮部署一套網(wǎng)絡訪問保護(簡稱NAP)或是網(wǎng)絡訪問控制(簡稱NAC)解決方案。它們能夠為網(wǎng)絡訪問提供額外的控制力，即根據(jù)客戶的身份及明確的相關管理政策為其分配權限。它們還具備一些特殊功能，用于隔離那些有問題的客戶端并依照管理政策對這些問題進行修正。

　　有些NAC解決方案中可能還包含了網(wǎng)絡入侵防御與檢測功能，但大家一定要留意這些功能是否提供專門的無線保護機制。

　　如果大家在客戶端中使用的是Windows Server 2008或更高版本以及Windows Vista系統(tǒng)或更高版本，那么微軟的NAP功能也是值得考慮的。如果系統(tǒng)版本不符合以上要求，類似PacketFence這樣的第三方開源解決方案同樣能幫上大忙。

　　7. 不要相信隱藏SSID的功效

　　無線安全性領域有種說法，即禁用AP的SSID廣播能夠讓我們的網(wǎng)絡隱藏起來，或者至少將SSID隱藏起來，這樣會使黑客難以找到目標。而事實上，這么做只會將SSID從AP列表中移除。802.11連接請求仍然包含在其中，而且在某些情況下，還會探測連接請求并響應發(fā)來的數(shù)據(jù)包。因此竊聽者能夠迅速找出那些“隱藏”著的SSID——尤其是在網(wǎng)絡繁忙的時段--要做到這一點，一臺完全合法的無線網(wǎng)絡分析器就足夠了。

　　有些人可能堅持認為禁用SSID廣播還是能夠提供某種程度上的安全保障的，但請大家記住，它同樣會給網(wǎng)絡的配置及性能帶來負面影響。我們將不得不為客戶端手動輸入SSID，而客戶端的配置也將變得更加復雜。這一切的一切最終會導致探測請求及響應數(shù)據(jù)包的增加，也就變相減少了可用的帶寬。

　　8. 不要相信MAC地址過濾功能

　　無線安全領域的另一大習俗是將啟用MAC地址過濾功能視為另一重安全保障，并認為這能有效控制客戶端與網(wǎng)絡之間的連通。這其中有一些道理，但請注意，竊聽者們能夠很輕松地監(jiān)控MAC地址認證機制并將自己的計算機MAC地址修改為符合要求的內(nèi)容。

　　因此，大家不該將保證安全的希望過多地寄托在MAC地址過濾功能上，而只應將其視為對內(nèi)網(wǎng)計算機及終端設備用戶的一種松散化管理。此外，大家還要考慮到管理MAC更新列表所帶來的種種麻煩與不便。

　　9. 必須限制SSID用戶的連接目標

　　許多網(wǎng)絡管理員都忽視了一個簡單但潛在威脅巨大的安全風險，即用戶會有意無意地連接到鄰近的或是某個未經(jīng)授權的無線網(wǎng)絡中，而這很可能引發(fā)對其計算機設備的入侵活動。在這方面，SSID過濾機制是規(guī)避風險的一大有效手段。以Windows Vista系統(tǒng)及其更高版本為例，我們可以使用Netsh wlan命令為SSID用戶添加可搜索及可連接網(wǎng)絡的過濾機制。對于臺式機而言，我們則可以直接將除自設無線網(wǎng)絡之外的全部SSID加以屏蔽。而在筆記本電腦方面，最好是屏蔽掉所有鄰近網(wǎng)絡的SSID，只保留周邊熱點及家用網(wǎng)絡連接。

　　10. 必須保證網(wǎng)絡組件的物理安全性

　　請記住，計算機安全保障的內(nèi)容并不限于最新技術與加密手段。為自己的網(wǎng)絡組件做好物理安保同樣重要。確保每個接入點都部署在他人無法觸碰(例如天花吊頂中)的位置，甚至可以考慮將大量AP設備安置在某個安全空間內(nèi)，再甩一根天線擺在最利于信號傳送的地方。如果這方面得不到良好貫徹，某些家伙將能夠很方便地對AP設備進行重啟并恢復默認設置，這樣連接的通路也就被打開了。

　　11. 不要忘記保護移動客戶端

　　在網(wǎng)絡之外，用戶智能手機、筆記本電腦與平板設備也是我們必須關注的安全要點，因為它們同樣會接入WiFi熱點或是家庭無線路由器。要保障WiFi連接之外的設備安全其實是相當困難的，因為我們不僅要為用戶提供建議及具體解決方案，還要對他們進行WiFi安全風險及預防措施的相關指導。首先，所有的筆記本及上網(wǎng)本必須要具備個人防火墻。其次，一定確保用戶的互聯(lián)網(wǎng)流量經(jīng)過嚴格加密，以防止犯罪分子通過在其它網(wǎng)絡上利用發(fā)起訪問來竊聽我們的敏感信息。如果大家不想使用內(nèi)部，那不妨考慮采納像Hotspot Shield或者Witopia這樣的外包服務。對于iOS及Android設備而言，則完全可以使用其自帶的客戶端。而在黑莓及Windows Phone 7設備方面，大家就必須親手打造一套完善的郵件服務器設置與設備配置，進而用上它們的客戶端。