只要採取正確的保護措施,Wi-Fi完全可以具備相當程度的安全性。遺憾的是,網上總是充斥着種種過時的建議與虛構的指導。下面就來和小編一起看看Wi-Fi安全十一項錯誤與正確的措施吧。
1. 不要使用WEP
WEP(即有線等效保密機制)保護早已過時,其底層加密機制現在已經完全可以被一些沒啥經驗的初心者級黑客輕鬆打破。因此,大家不應該再使用 WEP。立即升級到由802.1X認證機制保護的WPA2(即Wi-Fi接入保護)是我們的不二選擇。如果大家使用的是舊版客户端或是接入點不支持 WPA2,那麼請馬上進行固件升級或者乾脆更換設備吧。
2. 不要使用WPA/WPA2-PSK
WPA以及WPA2中的預共享密鑰(簡稱PSK)模式對於商務或企業應用環境不夠安全。在使用這一模式時,必須將同樣的預共享密鑰輸入到每個客户端 當中。也就是説每當有員工離職或是某個客户端遭遇丟失或被竊事件,我們都需要在全部設備上更改一次PSK,這對於大部分商務環境來説顯然是不現實的。
3. 必須採用802.11i
WPA以及WPA2安全機制所採用的EAP(即擴展認證協議)模式通過802.1X認證機制代替代替PSK,這樣我們就有能力為每位用户或每個客户 端提供登錄憑證:用户名、密碼以及/或者數字證書。真正的加密密鑰會定期修改,並在後台直接進行替換,使用者甚至不會意識到這一過程的發生。因此要改變或 撤銷用户的訪問權限,我們只需在中央服務器上修改登錄憑證,而不必在每個客户端中更換PSK。每次會話所配備的獨立密鑰也避免了用户流量遭受竊 聽的危險 --這一點如今在火狐插件Firesheep以及Android應用程序DroidSheep之類工具的輔助之下已經變得非常簡單。要使用802.1X認 證機制,我們必須先擁有一套RADUIS/AAA服務器。如果大家使用的是Windows Server 2008或是該系列的更高版本,也可以考慮使用網絡策略服務器(簡稱NPS)或是互聯網驗證服務(簡稱IAS)的早期服務器版本。而對於那些沒有采用 Windows Server的用户來説,開源服務器FreeRADIUS是最好的選擇。
4. 保證802.1X客户端得到正確的配置
WPA/WPA2的EAP模式在中間人攻擊面前仍然顯得有些脆弱,不過保證客户端得到正確的配置還是能夠有效地防止此類威脅。舉例來説,我們可以在 Windows的EAP設置中通過選擇CA認證機制以及指定服務器地址來啟用服務器證書驗證;也可以通過提示用户新的受信任服務器或CA認證機制來禁用該 機制。
我們同樣可以將802.1X配置通過組策略或者像Avenda的Quick1X這樣的第三方解決方案應用在域客户端中。
5. 必須採用無線入侵防禦系統
Wi-Fi安全保衞戰的內容可不僅僅侷限於抵抗來自網絡的直接訪問請求。舉例來説,客户們可能會設置惡意接入點或者組織拒絕服務攻擊。為了幫助自身檢測並打擊此類攻擊行為,大家應該採用無線入侵防禦系統(簡稱WIPS)。WIPS的設計及運作方式與供應商提供的產品不太一樣,但總體來説該系統會監控搜索行為並及時向我們發出通知,而且有可能阻止某些流氓AP或惡意活動的發生。
不少商業供應商都在提供WIPS解決方案,例如AirMagnet公司及AirTightNetworks公司。像Snort這樣的開源方案也有不少。
6. 必須部署NAP或是NAC
在802.11i及WIPS之外,大家還應該考慮部署一套網絡訪問保護(簡稱NAP)或是網絡訪問控制(簡稱NAC)解決方案。它們能夠為網絡訪問 提供額外的控制力,即根據客户的身份及明確的相關管理政策為其分配權限。它們還具備一些特殊功能,用於隔離那些有問題的客户端並依照管理政策對這些問題進 行修正。
有些NAC解決方案中可能還包含了網絡入侵防禦與檢測功能,但大家一定要留意這些功能是否提供專門的無線保護機制。
如果大家在客户端中使用的是Windows Server 2008或更高版本以及Windows Vista系統或更高版本,那麼微軟的NAP功能也是值得考慮的。如果系統版本不符合以上要求,類似PacketFence這樣的第三方開源解決方案同樣能幫上大忙。
7. 不要相信隱藏SSID的功效
無線安全性領域有種説法,即禁用AP的SSID廣播能夠讓我們的網絡隱藏起來,或者至少將SSID隱藏起來,這樣會使黑客難以找到目標。而事實上, 這麼做只會將SSID從AP列表中移除。802.11連接請求仍然包含在其中,而且在某些情況下,還會探測連接請求並響應發來的數據包。因此竊 聽者能夠迅 速找出那些"隱藏"着的`SSID--尤其是在網絡繁忙的時段--要做到這一點,一台完全合法的無線網絡分析器就足夠了。
有些人可能堅持認為禁用SSID廣播還是能夠提供某種程度上的安全保障的,但請大家記住,它同樣會給網絡的配置及性能帶來負面影響。我們將不得不為 客户端手動輸入SSID,而客户端的配置也將變得更加複雜。這一切的一切最終會導致探測請求及響應數據包的增加,也就變相減少了可用的帶寬。
8. 不要相信MAC地址過濾功能
無線安全領域的另一大習俗是將啟用MAC地址過濾功能視為另一重安全保障,並認為這能有效控制客户端與網絡之間的連通。這其中有一些道理,但請注意,竊 聽者們能夠很輕鬆地監控MAC地址認證機制並將自己的計算機MAC地址修改為符合要求的內容。
因此,大家不該將保證安全的希望過多地寄託在MAC地址過濾功能上,而只應將其視為對內網計算機及終端設備用户的一種鬆散化管理。此外,大家還要考慮到管理MAC更新列表所帶來的種種麻煩與不便。
9. 必須限制SSID用户的連接目標
許多網絡管理員都忽視了一個簡單但潛在威脅巨大的安全風險,即用户會有意無意地連接到鄰近的或是某個未經授權的無線網絡中,而這很可能引發對其計算 機設備的入侵活動。在這方面,SSID過濾機制是規避風險的一大有效手段。以Windows Vista系統及其更高版本為例,我們可以使用Netsh wlan命令為SSID用户添加可搜索及可連接網絡的過濾機制。對於台式機而言,我們則可以直接將除自設無線網絡之外的全部SSID加以屏蔽。而在筆記本 電腦方面,最好是屏蔽掉所有鄰近網絡的SSID,只保留周邊熱點及家用網絡連接。
10. 必須保證網絡組件的物理安全性
請記住,計算機安全保障的內容並不限於最新技術與加密手段。為自己的網絡組件做好物理安保同樣重要。確保每個接入點都部署在他人無法觸碰(例如天花 吊頂中)的位置,甚至可以考慮將大量AP設備安置在某個安全空間內,再甩一根天線擺在最利於信號傳送的地方。如果這方面得不到良好貫徹,某些傢伙將能夠很 方便地對AP設備進行重啟並恢復默認設置,這樣連接的通路也就被打開了。
11. 不要忘記保護移動客户端
在網絡之外,用户智能手機、筆記本電腦與平板設備也是我們必須關注的安全要點,因為它們同樣會接入Wi-Fi熱點或是家庭無線路由器。要保障Wi- Fi連接之外的設備安全其實是相當困難的,因為我們不僅要為用户提供建議及具體解決方案,還要對他們進行Wi-Fi安全風險及預防措施的相關指導。首先, 所有的筆記本及上網本必須要具備個人防火牆。其次,一定確保用户的互聯網流量經過嚴格加密,以防止犯罪分子通過在其它網絡上利用VPN發起訪問來竊 聽我們 的敏感信息。如果大家不想使用內部VPN,那不妨考慮採納像Hotspot Shield或者Witopia這樣的外包服務。對於iOS及Android設備而言,則完全可以使用其自帶的VPN客户端。而在黑莓及Windows Phone 7設備方面,大家就必須親手打造一套完善的郵件服務器設置與設備配置,進而用上它們的VPN客户端。
