更改默认SSID-你的接入点将与一个默认的SSID当你安装它。尽快更改此选项,以避免AP的妥协。
禁用SSID广播- 访问点默认广播自己的SSID。这是没有必要对大多数家庭无线网络。禁用此功能不会让邻居很容易发现你的家庭WLAN。
启用WPA-PSK-现在,大多数接入点都支持WPA-PSK(Wi-Fi保护访问-预共享密钥)。这种加密和密钥管理标准大大提高了家庭无线网络的安全性。WPA-PSK配置在您的接入点和您在无线网络上使用的任何设备(台式机和笔记本电脑等)上。因为它是通过在所有设备上使用共享机密来配置的。创建至少20个字符长且不易猜测的共享机密。
更改默认的管理员登录密码-更改访问点上管理帐户的默认密码以避免步骤4。未经授权的用户获得允许配置AP的管理访问权限。默认密码是众所周知的,因此无法达到其目的。把它改成只有你知道或会记得的东西。选择一个强密码,而不是一个容易猜测的,如“密码”或“1234”。
更改默认IP地址-接入点来预先配置一个特定的IP地址时,他们被安装。通常是192.168.1。x (x是1到254之间的一个数)。大多数黑客都熟悉这些IP地址。您应该更改此值并选择范围为192.168.x的IP地址。1(where x is a number between 2 and 254 to make it harder for a hacker to infiltrate your network). For example, you could change the default IP address to 192.168.153.1.
减少DHCP作用域- 家庭无线接入点通常充当动态主机配置协议(DHCP)服务器。这意味着它们提供您的台式机或笔记本电脑的IP地址请求的时候。大多数接入点从可用号码的“池”提供的IP地址。该池可以包含多达253个IP地址。因为你很可能只需要一个IP地址的设备屈指可数,考虑减少DHCP地址池数目。例如,如果你只有你想在您的家庭WLAN使用一个笔记本电脑,你可以减少DHCP地址池只有一个或两个地址。这一变化将减少访问您的无线局域网未经授权的用户的风险。
降低发射功率最初安装时最末端的接入点以最大功率进行发送成为可能。这有时具有扩大您的家庭无线网络之外的覆盖范围,或者到邻近地区的事与愿违的结果。降低发射功率只提供您所需要的覆盖范围。
使用静态IP地址为终端设备分配单独的IP地址并禁用DHCP将有助于控制谁可以访问,因为您限制了不希望的人访问您的网络的可能性。
启用MAC地址过滤(高级和可选步骤)-这是可能配置大多数接入点与MAC地址的列表,是唯一允许使用的WLAN。使用这种技术,您可以有效地“过滤”网络,并且只允许选择MAC地址的设备。这种技术有助于防止不需要的用户访问您的家庭无线网络。如果您的计算机有多个网络接口,请确保选择正确的MAC地址(您的一个WLAN网卡)。
禁用web access(高级和可选步骤)-您可以在访问点上禁用web访问。通过这样做,攻击者无法使用web浏览器登录或配置您的访问点。请注意,这意味着您也将无法登录到您的访问点,此后将不得不使用命令行界面。因此,此选项仅适用于高级用户。
确定如何支持和安全的移动设备
移动设备,如PDA和“智能手机”呈现自己的安全挑战。这些设备的政策,支持计划建议每家公司。如果您选择支持的无线网络上这些设备,您应该确保他们,就像你的客户端设备的其余部分,在您的安全态势报告详细介绍。许多问题需要解决,包括但不限于以下内容:
支持什么操作系统(PalmOS、PocketPC等)?
需要什么无线客户端软件?
用户id和密码可以缓存在设备上吗(这是这些设备的一个常见属性,但风险很高)?
确定如何支持和保护客户端
有效且成功的WLAN部署最困难的方面之一是客户端管理。这种从物理和逻辑上控制客户端设备的期望和功能的能力是至关重要的。客户端执行模拟AP的操作的威胁是严重的,因为这有时是DoS攻击的原因。为了减少客户端设备成为WLAN安全性薄弱环节的可能性,还必须主动控制支持哪些客户端以及它们的功能。
管理客户端和客户端的属性
除了开发策略和受支持的客户端设备列表之外,策略还需要概述设备的属性。控制这些属性有助于确保网络上不允许使用安全策略中不支持的设备,从而增强整体安全态势。
您应该考虑客户端设备的以下三个方面:
平台-定义支持哪些平台。这不仅包括品牌和型号,还包括客户机设备可能使用的特定无线适配器卡。
操作系统-指定支持的操作系统和特定修订级别的列表。这不仅可以确保一致和统一的安全性假设,还可以使您的操作人员更容易隔离问题,因为消除了多个程度的可变性。
客户端软件定义一个通用的无线客户端软件应用程序。这可以非常简单地选择操作系统中的本地客户端功能(例如Windows XP无线网络)、移动设备和笔记本电脑提供的客户端软件,或者跨所有设备使用的标准第三方客户端(例如Funk或Meetinghouse提供的客户端)。
反病毒
虽然不是特别的无线问题,用户的笔记本电脑和桌面电脑应该提供定期更新的杀毒软件。与任何网络一样,如果客户端设备没有配置适当的软件,WLANs也可以传播病毒。
软AP
一些无线软件允许笔记本电脑或台式电脑作为接入点。这个启用软件的接入点或软AP被认为是一个主要威胁,因为它通常是一个受信任的设备。软AP造成的安全威胁与未经授权安装的恶意访问点相同。在某些方面,软AP可能是一个更危险的威胁,因为许多黑客会利用它们来进行攻击。由于成功的黑客可以在AP中打开任何一台计算机,他不再被常规AP的物理布局所束缚。本质上,软AP可以让黑客在任何有计算机的地方放置AP。因此,我们建议您不允许使用此软件功能,并在您的无线安全策略中明确说明此类软件是不可接受的。主动检测软接入点非常困难,这也是基于无线电的恶意接入点检测至关重要的另一个原因。
禁用Ad-Hoc模式联网
虽然这主要是一个策略决策,但取决于您使用的无线客户端软件,可能会禁用ad-hoc网络。一些客户端软件允许您使用集中管理工具禁用某些功能。
检测恶意AP
Rogue访问点是位于企业内部的访问点,不是由IT部门或经批准的供应商安装的。当连接到您的网络时,它们会带来非常严重的安全威胁,因为它们的配置不正确,几乎没有安全设置。
一个强大的非法AP检测系统,为任何安全的无线网络的关键。事实上,非法AP检测是至关重要的,因为有一个“非无线”网络再没有这样的事;如果你还没有部署无线局域网,你只能假设,没有WLAN的工作人员都购买便宜的接入点,并安装它们自己,往往没有意识到安全隐患。
需要注意的是,绝大多数流氓接入点来自您自己的用户,只有一小部分来自恶意黑客。大多数用户安装的rogue ap并不是为了危害安全性,而是试图从无线网络中获益,却没有意识到设备配置不当的风险。如果您有一个全面的权利政策和广泛的覆盖范围,您将减少流氓接入点安装在第一位的可能性。
检测恶意接入点可以挑战。基于客户端的报告,基于无线电的检测,和网络扫描的组合的方法是最好的方法。
基于客户机的报告
基于客户端的报告可以简单到要求用户向IT部门报告可疑的访问点。这些AP可以是非标准(企业)AP模型,位于不寻常的位置(如隐藏在桌子下面)的AP,以及桌子或隔间中的消费者级接入点。此报告将允许您的IT团队调查并解决实际存在的威胁。
此外,一些现在市场上可用的解决方案允许无线客户端,如笔记本电脑,以积极和自动报告他们遇到的后台管理系统的接入点的列表。该报告是完全透明的用户,但它可以让您的无线管理框架,构建所有接入点的图片在您的企业。如果接入点报告,但不是由您的网络管理系统上市或管理的,有机会的话,它是一个流氓。
同检测
基于无线电的检测使用您自己的接入点或专用扫描仪来主动监测射频频谱并报告它们检测到的所有无线电设备。实际上,您的接入点是“审核电波”并绘制企业中使用的射频的图片。大多数领先的制造商都在其产品中提供基于无线电的恶意接入点检测服务。它们的优点通常是为您提供无线网络外观的图形表示,使用平面图和彩色单元或云来表示每个802.11单元。
基于无线电的检测也可以由IT人员使用手持无线网络分析仪或带有专门为此目的设计的软件的笔记本电脑手动执行。这些工具包括AirMagnet、Kismet和airstnort等流行工具。
基于网络的检测
基于网络的检测是一个强大的恶意接入点检测系统的第三大支柱。基于网络的检测使用内部开发或公开可用的工具来扫描有线网络的匹配特定签名或设备“指纹”。这些设备扫描熟悉的MAC地址,特定开放TCP端口,和特定协议和过程可能的设备上运行。这些工具甚至可以尝试登录到设备,并注意其响应。通过结合一些标准和过程自动化到正规脚本的工作,基于网络的报告可以迅速产生可疑设备的列表。然后,您的IT部门可以使用这个列表,调查设备,并采取相应的行动。一个软件的最流行的公开可用的片断,可以用于此目的的是WinFingerPrint(http://winfingerprint.sourceforge.net/)。
响应检测到的恶意AP
你已经确定了恶意接入点后,你需要采取行动。删除,重新分类和补救:潜在的响应可以用三个标题进行分类。
去掉
您可以从网络中删除恶意访问点。您可以通过禁用其所连接的网络交换机端口(如果适用)来实现这一点,也可以没收设备或指示所有者遵守您的it策略并关闭电源或移除恶意访问点。如果设备在物理上不在企业范围内,则可能需要“解决”该问题并重新配置一些访问点以消除干扰和争用。
重新分类
您可以将许多流氓访问点重新分类,特别是在初始发现阶段识别的访问点,使其友好,因此不再存在安全风险。友好的接入点可以是网络内部的接入点,例如实验室中的接入点。相反,友好的AP可以是外部的,例如在共享的办公空间中,其他公司管理和控制AP。保持对这些友好AP的功能或所有权的了解,以备日后审核流氓时参考。
纠正
最后,您可能只想修正一些恶意访问点,并确保它们得到您的IT部门的支持并具有正确的配置。这种选择可能是由于在特定区域中对WLAN覆盖的有效要求,也可能只是由于在官方支持的接入点中的错误配置。
考虑使用入侵检测系统
许多公司选择专用的无线入侵检测系统(无线IDSs)。许多领先的无线设备制造商也提供这种服务及其解决方案。无线IDSs是一种更先进和专用的方法,以无线电为基础的流氓接入点检测。他们经常使用专用的“扫描器”(通常是访问点本身,但有时是更便宜的只扫描设备)和专门的软件。它们还可以用于检测您可能希望防止的客户端行为,例如创建特别的无线网络和客户端到客户端文件共享网络。
无线入侵检测系统提供安全的一个非常好的水平,通常是由希望限制或完全禁止使用无线网络的企业使用。然而,每一个大型企业级网络可以受益于他们所提供的安全性。
摘要
本章概述了有意和无意发生的许多安全威胁。这些都是你可以通过适当的计划和教育来避免的弱点。今天的威胁包括拦截加密数据和拒绝服务攻击。这种潜在的负面业务影响极大地强调了安全实践、协议和防范恶意攻击的能力。然而,这种风险并不能阻止WLAN安全保护的政策和方法中的这些考虑,还必须作为对由不知情的员工或用户导致的偶然或偶然行为的防御。
如今,无线局域网的安全性是建立在客户端的标识、用户的授权和数据的加密上的。由于无线通信不能完全局限于一个区域,因此这三层安全框架对于保护WLAN至关重要。802.1x是认证过程的基础框架,并由EAP支持。随着时间的推移,为了保护WLAN,许多不同的标准已经发展起来。目前,802.11i已经成为专门为无线局域网解决安全问题而开发的最新标准。在为企业构建WLAN解决方案时,WLAN安全性将继续是首要考虑因素之一。本章介绍了为WLAN开发一个全面而健壮的安全计划所需的基本信息。
无线局域网必须通过先发制人的行动加以保护。首先,基于客户机和AP配置的最佳实践构建标准。在保护物理空间、监视非法接入点和控制空域方面,还将作出进一步努力。所有这些努力的基础是提供客户教育和通过阻止意外事件确保网络完整性的能力。
最后,您应该能够像信任传统有线网络一样信任WLAN的安全性。没有一个解决方案是绝对正确的,但是只要有适当的计划、教育和监控,无论部署哪种解决方案,您都会感到安全。
版权所有©2007皮尔逊教育。保留所有权利。