當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)安全>正文

WLAN無線網(wǎng)絡(luò)的三大風(fēng)險和攻防九式

http://m.yibo1263.com　2008/11/26 7:40:20 　來源:東北IT網(wǎng) 　編輯:葉子

　　對策8:增加身份驗證

　　面對各種新興的網(wǎng)絡(luò)攻擊，管理員應(yīng)該在網(wǎng)絡(luò)中使用身份驗證。身份驗證通過要求一臺客戶端計算機“注冊”到網(wǎng)絡(luò)中來增加另外一層次上的安全措施。一般來說，這個“注冊”過程包含被身份驗證服務(wù)器處理的證書、標記和手動輸入的密碼(也叫做Pre-Shared-Key)組成。802.1x通過WEP、WPA和WPA2提供存取控制構(gòu)架的使用，并且支持進行真實身份驗證的幾種EAP(Extensible Authentication Protocol)類型，George Ou’s關(guān)于Authentication Protocols的文章有大量的關(guān)于EPA、WPA和WPA2方面的內(nèi)容。

　　對專業(yè)的網(wǎng)絡(luò)人員來說配置身份驗證是一項繁瑣和費時的任務(wù)，更不用說家庭網(wǎng)絡(luò)的使用人員了。舉個例子來說，今年在舊金山舉行的RSA大會上，各位與會者根本不必要操心去設(shè)置他們的無線連接，因為整頁的說明書都是要求他們必須按照規(guī)定去做的。幸運的是，現(xiàn)在這種現(xiàn)象有所好轉(zhuǎn)，現(xiàn)在有許多比較容易實現(xiàn)的產(chǎn)品可供選擇了，LucidLink的2005年底提供一種名為“free fully-functional version”產(chǎn)品，對不超過三個用戶，它支持無線安全和身份驗證設(shè)置。Wireless Security Corporation(最近被McAfee收購)公司的WSC Guard也是一款相類似的產(chǎn)品。這是一款需要預(yù)訂的產(chǎn)品，大量購買的話大概每用戶每月的費用是從4.95美元開始的。從http://www.wirelesssecuritycorp.com/wsc/public/WirelessGuard.do可下載到30天的試用版本。

　　對有更多經(jīng)驗的網(wǎng)絡(luò)人員來說另一個好的選擇是TinyPEAP，它添加了一個小的支持基于PEAP身份驗證的RADIUS服務(wù)到LinKsys WRT54G和GS無線路由器中，注意由于LinKsys并沒有正式地支持這個固件，因此在安裝TinyPEAP時出現(xiàn)了問題可是要自己負責(zé)的。

　　4、破解方面的專業(yè)老手

　　到現(xiàn)在為止，我們對無線入侵者采取的封鎖措施已算是比較嚴密的了，如果在有線的以太網(wǎng)中則是相當(dāng)于把他們的端口給封住了，但不管你做得有多好，防范得有多嚴密，總有一些破解方面的老手能穿透你無線網(wǎng)絡(luò)的所有防御措施。那現(xiàn)在我們應(yīng)該做些什么呢?現(xiàn)在有許多有線或無線網(wǎng)絡(luò)的入侵檢測和保護的產(chǎn)品可用，不過它們一般是定位于企業(yè)應(yīng)用軟件，因此是要收費的;不過也有一些開源的產(chǎn)品，但對網(wǎng)絡(luò)初學(xué)者來說它們的用戶界面都不是很友好，這方面最廣泛使用的就是Snort了。

　　面對網(wǎng)絡(luò)上層出不窮的各種攻擊手段與破解技術(shù)，管理員和安全人員與他們進行的是一項“攻擊與反攻擊”、“破解與反破解”的長期斗爭。但總的來說，如下介紹的方法不失為網(wǎng)絡(luò)安全建設(shè)方面的基本技術(shù)。

　　對策9:實現(xiàn)普通的網(wǎng)絡(luò)安全

　　我們可使用如下的普通方法來提高WLAN的安全性。

　　A、使用身份驗證來存取任何的網(wǎng)絡(luò)資源

　　任何服務(wù)、網(wǎng)絡(luò)共享、路由器等等，在訪問時都應(yīng)該要求有用戶級別的身份驗證，盡管在沒有某些身份驗證服務(wù)器的情況下你也許并不能夠真實地完成用戶級別的身份驗證，但如果是在Windows XP環(huán)境下，最少可以使用密碼保護所有的共享文件夾并禁止Guest用戶的登錄，而且不要把整個硬盤驅(qū)動器的內(nèi)容共享出來。

　　B、把網(wǎng)絡(luò)分段

　　從防止基于網(wǎng)絡(luò)的入侵來說，極端的做法就是不把計算機接入到網(wǎng)絡(luò)中。還有另外一種方法把網(wǎng)絡(luò)用戶從對他們不適宜的地方隔離開來，這盡管仍舊允許來自因特網(wǎng)的訪問，但基于NAT的路由器能夠被用來建立有防火墻功能的LAN分段。

　　有VLAN功能的交換機和路由器也可用來分隔LAN用戶，在許多“Smart”或可管理的交換機上都有VLAN功能，但對不可管理交換機和消費級別的路由器來說一般都很難有這樣的功能。

　　C、增大基于軟件的保護

　　最起碼，你應(yīng)安裝一個較好的殺毒軟件，并設(shè)置為自動更新它們的病毒庫，諸如ZoneAlarm、BlackICE等個人防火墻軟件能夠提醒你來自網(wǎng)絡(luò)的可疑連接。不幸的是，近來間諜軟件造成的威脅也是不容小視，故在你的計算機中安裝一款反間諜軟件也是很必要的，像Webroot Software的Spy Sweeper最近看上去得到的反應(yīng)不錯，Sunbelt Software的 CounterSpy也是一款不錯的產(chǎn)品。注意必須在局域網(wǎng)中的每臺機器上都安裝有防護軟件，這樣才能對整個網(wǎng)絡(luò)形成有效的防護。

　　D、加密文件

　　使用健壯的加密方法來加密你的文件可對其提供有效的保護，防止沒有經(jīng)過授權(quán)的用戶來訪問它們。Windows XP的用戶可使用Windows加密文件系統(tǒng)(EFS)，而Mac OS X Tiger用戶可使用FileVault。不過加密和解密過程會花費一些時間和計算機的處理能力，可能會使你的某些操作慢下來。

　　無線網(wǎng)絡(luò)給我們提供了方便，但我們必須采取一些方法來保證它的安全，沒有單獨的一項措施就可保護你免受攻擊，況且面對一些“頑固”的入侵者，完善的保護是非常難以達到的。

本新聞共4頁,當(dāng)前在第4頁 1 2 3 4

【收藏】【打印】【進入論壇】

相關(guān)文章：

·無線道路的建設(shè)：WLAN無線網(wǎng)絡(luò)覆蓋

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费