| 出版日期:2003-12-22 总期号:1277 本年期号:96 |
|
 |
WLAN安全要加强
赵峰 你的WLAN安全吗?日前通过对美国三个大城市1100多个无线接入点进行调查发现,其中57%的无线接入点没有使用任何形式的数据加密,75%的无线接入点在对外广播其SSID号。 日前,对美国三个大城市超过1100个无线接入点的调查显示,其中57%的无线接入点没有使用任何形式的数据加密,75%的无线接入点在对外广播其SSID(Service Set Identifier),调查结果表明,多数WLAN的安全措施并不到位。本文针对拥有几百个接入点并有较高安全要求的企业WLAN,给出一些网络安全措施的建议。 进行客户端控制 使用统一的WLAN网络接口卡(NIC),阻止用户对网络接口卡的直接访问,并将网络接口卡的MAC地址进行注册;创建并强化更新客户端软件补丁和进行安全升级的过程,还要阻止使用过期软件的用户访问网络;考虑取消网络接口卡的点对点传输模式,因为这种传输模式可使两个客户端不经过接入点而直接连接,网络攻击者可利用这一特性进行攻击。 使用防火墙 建议在WLAN和有线网络之间架设防火墙,这样可以阻止未授权的WLAN用户向有线网络发送Layer 2数据包,比如ARP攻击。ARP攻击如果得逞,攻击者便可在其电脑上获得安全网络中两台电脑间的通讯数据。 保护无线接入点 可将无线接入点放置于在天花板下等较隐蔽和安全的位置,以避免遭受损害和被偷窃。曾经发生过大学里的多个无线接入点中的PC卡被盗的事件。通过更改出厂设置(如SSID,IP地址信息),创建难于猜测的密码,关闭SSID广播来避免网络黑客的攻击。建议为客户端MAC地址的使用打开访问控制表。选择那些带有闪存的无线接入点以简化将来的安全补丁升级过程。考虑购买可创建虚拟局域网(VLAN)的无线接入点,使用VLAN可对用户进行分组并对不同组的访问网络资源权限进行设置,同时也可以将网络控制业务与用户网络业务进行分离。 避免无线电波泄漏 可通过将全向天线替换为方向性天线来解决无线电波向外泄漏的问题,特别是在网络的边缘地带更应如此。另外的方法是调整电波的能量等级,使用等级较低的无线电波可减少其扩散距离。 使用带有WPA的NIC和无线接入点 WPA是即将到来的IEEE 802.11i标准的前奏版本,它修正了原始的802.11加密体系WEP中的很多问题,WPA支持802.1x标准。 使用VPN 带有IPSec或SSL加密的VPN仍然被公众认作最佳的安全防护,并已成为企业远程访问的一个组成部分,它可以带来安全的端到端的加密,认证和访问控制。 使用第三方无线安全控制器 近年来,包括安全网管在内的第三方无线安全控制器解决了在WLAN中使用VPN的一些问题,这些控制器支持多种加密方式和授权策略,厂商正在为其加入更新的标准如802.1x。 使用802.1x认证 802.1x认证和IEEE 802.11i标准将会逐渐取代WLAN中使用VPN这一安全措施。尽管现在802.1x认证机制的实现还存在一些问题,但网络专家们认为802.1x认证最终将完善起来。在802.1x框架内有多种EAP可供选择,如由Cisco,Microsoft和RSA Security联合开发的Protected EAP(PEAP)。 进行网络监视 越来越多的分析器和监视器可让用户检查WLAN无线电波的通讯,以发现未经授权的无线接入点,阻止或断开某些客户端的连接并发现非法入侵者。 
WLAN安全控制示意图 |
||||||||||||||||||||||||||
