如何安全的使用WIFI

如何安全的使用WIFI

　　以下是OMG小編為大家收集整理的文章，希望對大家有所幫助。

　　WiFi自身的特性注定了它很容易遭受攻擊及竊聽活動的騷擾，但只要我們采取正確的保護措施，它仍然可以具備相當程度的安全性。遺憾的是網上流傳著太多過時的建議與虛構的指導，而我在本文中將與大家分享數項正面與負面措施，旨在為切實提高WiFi安全性帶來幫助。

　　1. 不要使用WEP

　　WEP(即有線等效保密機制)保護早已過時，其底層加密機制現在已經完全可以被一些沒啥經驗的初心者級黑客輕松打破。因此，大家不應該再使用WEP。立即升級到由802.1X認證機制保護的WPA2(即WiFi接入保護)是我們的不二選擇。如果大家使用的是舊版客戶端或是接入點不支持WPA2，那么請馬上進行固件升級或者干脆更換設備吧。

　　2. 不要使用WPA/WPA2-PSK

　　WPA以及WPA2中的預共享密鑰(簡稱PSK)模式對于商務或企業應用環境不夠安全。在使用這一模式時，必須將同樣的預共享密鑰輸入到每個客戶端當中。也就是說每當有員工離職或是某個客戶端遭遇丟失或被竊事件，我們都需要在全部設備上更改一次PSK，這對于大部分商務環境來說顯然是不現實的。

　　3. 必須采用802.11i

　　WPA以及WPA2安全機制所采用的EAP(即擴展認證協議)模式通過802.1X認證機制代替代替PSK，這樣我們就有能力為每位用戶或每個客戶端提供登錄憑證：用戶名、密碼以及/或者數字證書。真正的加密密鑰會定期修改，并在后臺直接進行替換，使用者甚至不會意識到這一過程的發生。因此要改變或撤銷用戶的訪問權限，我們只需在中央服務器上修改登錄憑證，而不必在每個客戶端中更換PSK。每次會話所配備的獨立密鑰也避免了用戶流量遭受竊聽的危險——這一點如今在火狐插件Firesheep以及Android應用程序DroidSheep之類工具的輔助之下已經變得非常簡單。要使用802.1X認證機制，我們必須先擁有一套RADUIS/AAA服務器。如果大家使用的是windows Server 2008或是該系列的更高版本，也可以考慮使用網絡策略服務器(簡稱NPS)或是互聯網驗證服務(簡稱IAS)的早期服務器版本。而對于那些沒有采用windows Server的用戶來說，開源服務器FreeRADIUS是最好的選擇。

　　4. 保證802.1X客戶端得到正確的配置

　　WPA/WPA2的EAP模式在中間人攻擊面前仍然顯得有些脆弱，不過保證客戶端得到正確的配置還是能夠有效地防止此類威脅。舉例來說，我們可以在Windows的EAP設置中通過選擇CA認證機制以及指定服務器地址來啟用服務器證書驗證;也可以通過提示用戶新的受信任服務器或CA認證機制來禁用該機制。

　　我們同樣可以將802.1X配置通過組策略或者像Avenda的Quick1X這樣的第三方解決方案應用在域客戶端中。

　　5. 必須采用無線入侵防御系統

　　WiFi安全保衛戰的內容可不僅僅局限于抵抗來自網絡的直接訪問請求。舉例來說，客戶們可能會設置惡意接入點或者組織拒絕服務攻擊。為了幫助自身檢測并打擊此類攻擊行為，大家應該采用無線入侵防御系統(簡稱WIPS)。WIPS的設計及運作方式與供應商提供的產品不太一樣，但總體來說該系統會監控搜索行為并及時向我們發出通知，而且有可能阻止某些流氓AP或惡意活動的發生。

　　不少商業供應商都在提供WIPS解決方案，例如AirMagnet公司及AirTightNetworks公司。像Snort這樣的開源方案也有不少。

　　6. 必須部署NAP或是NAC

　　在802.11i及WIPS之外，大家還應該考慮部署一套網絡訪問保護(簡稱NAP)或是網絡訪問控制(簡稱NAC)解決方案。它們能夠為網絡訪問提供額外的控制力，即根據客戶的身份及明確的相關管理政策為其分配權限。它們還具備一些特殊功能，用于隔離那些有問題的客戶端并依照管理政策對這些問題進行修正。

　　有些NAC解決方案中可能還包含了網絡入侵防御與檢測功能，但大家一定要留意這些功能是否提供專門的無線保護機制。

　　如果大家在客戶端中使用的是Windows Server 2008或更高版本以及Windows Vista系統或更高版本，那么微軟的NAP功能也是值得考慮的。如果系統版本不符合以上要求，類似PacketFence這樣的第三方開源解決方案同樣能幫上大忙。

　　7. 不要相信隱藏SSID的功效

　　無線安全性領域有種說法，即禁用AP的SSID廣播能夠讓我們的網絡隱藏起來，或者至少將SSID隱藏起來，這樣會使黑客難以找到目標。而事實上，這么做只會將SSID從AP列表中移除。802.11連接請求仍然包含在其中，而且在某些情況下，還會探測連接請求并響應發來的數據包。因此竊聽者能夠迅速找出那些“隱藏”著的SSID——尤其是在網絡繁忙的時段--要做到這一點，一臺完全合法的無線網絡分析器就足夠了。

　　有些人可能堅持認為禁用SSID廣播還是能夠提供某種程度上的安全保障的，但請大家記住，它同樣會給網絡的配置及性能帶來負面影響。我們將不得不為客戶端手動輸入SSID，而客戶端的配置也將變得更加復雜。這一切的一切最終會導致探測請求及響應數據包的增加，也就變相減少了可用的帶寬。

　　8. 不要相信MAC地址過濾功能

　　無線安全領域的另一大習俗是將啟用MAC地址過濾功能視為另一重安全保障，并認為這能有效控制客戶端與網絡之間的連通。這其中有一些道理，但請注意，竊聽者們能夠很輕松地監控MAC地址認證機制并將自己的計算機MAC地址修改為符合要求的內容。

　　因此，大家不該將保證安全的希望過多地寄托在MAC地址過濾功能上，而只應將其視為對內網計算機及終端設備用戶的一種松散化管理。此外，大家還要考慮到管理MAC更新列表所帶來的種種麻煩與不便。

　　9. 必須限制SSID用戶的連接目標

　　許多網絡管理員都忽視了一個簡單但潛在威脅巨大的安全風險，即用戶會有意無意地連接到鄰近的或是某個未經授權的無線網絡中，而這很可能引發對其計算機設備的入侵活動。在這方面，SSID過濾機制是規避風險的一大有效手段。以Windows Vista系統及其更高版本為例，我們可以使用Netsh wlan命令為SSID用戶添加可搜索及可連接網絡的過濾機制。對于臺式機而言，我們則可以直接將除自設無線網絡之外的全部SSID加以屏蔽。而在筆記本電腦方面，最好是屏蔽掉所有鄰近網絡的SSID，只保留周邊熱點及家用網絡連接。

　　10. 必須保證網絡組件的物理安全性

　　請記住，計算機安全保障的內容并不限于最新技術與加密手段。為自己的網絡組件做好物理安保同樣重要。確保每個接入點都部署在他人無法觸碰(例如天花吊頂中)的位置，甚至可以考慮將大量AP設備安置在某個安全空間內，再甩一根天線擺在最利于信號傳送的地方。如果這方面得不到良好貫徹，某些家伙將能夠很方便地對AP設備進行重啟并恢復默認設置，這樣連接的通路也就被打開了。

　　11. 不要忘記保護移動客戶端

　　在網絡之外，用戶智能手機、筆記本電腦與平板設備也是我們必須關注的安全要點，因為它們同樣會接入WiFi熱點或是家庭無線路由器。要保障WiFi連接之外的設備安全其實是相當困難的，因為我們不僅要為用戶提供建議及具體解決方案，還要對他們進行WiFi安全風險及預防措施的相關指導。首先，所有的筆記本及上網本必須要具備個人防火墻。其次，一定確保用戶的互聯網流量經過嚴格加密，以防止犯罪分子通過在其它網絡上利用發起訪問來竊聽我們的敏感信息。如果大家不想使用內部，那不妨考慮采納像Hotspot Shield或者Witopia這樣的外包服務。對于iOS及Android設備而言，則完全可以使用其自帶的客戶端。而在黑莓及Windows Phone 7設備方面，大家就必須親手打造一套完善的郵件服務器設置與設備配置，進而用上它們的客戶端。