Wi-Fi网络安全探讨及组网策略

　　(1)GateWay可以是设置在LAN与Internet、LAN与WLAN的AP之间的具有一定保护作用的硬件设备和相应的软件。GateWay可以使我们的网络更加安全，它将起到以下几个主要作用：提供防火墙保护网络、为两个网络提供NAT、提供DNS服务。

　　(2)GateWay设置原则，应遵循将无线网的接入点AP以及主干网的外网连接与我们的主干网隔离的原则。不正当的GateWay设置会使我们的网络极易遭受攻击者的袭击。

(二)网络维护方法

　　Wi-Fi网络的物理组网结构可分为两种：基础服务组和扩展服务组。

　　(1)基础服务组：网络由客户端(Stations)和接入点(APs)两部分组成，适宜小数据量网络的组建。如果仅仅是短期内进行连接组网，只需要有安装了Wi-FiCard的Stations即可实现端到端的Wi-Fi通信。

　　(2)扩展服务组：稳定的、完整的Wi-Fi网络由Stations、APs以及有线网络三部分组成，这种结构被称之为扩展服务组,通常是由BSS扩展而成的。

　　根据Wi-Fi网络的结构特点，针对上述有关Wi-Fi网络本身的攻击方式，我们将从Stations安全、APs安全以及网络主干网安全三个方面对Wi-Fi网络可以采取的安全措施加以说明。

　　1.Stations安全

　　Stations安全涉及到整个Wi-Fi网络安全的核心。Stations中包含着大量的机密信息，如果攻击者攻破了Stations的安全措施，将给Wi-Fi网络带来巨大的损失。相关的安全措施主要有：(1)禁止Stations自己向外提供数据或者其他服务;(2)安装有效的杀毒软件，防止木马、蠕虫等病毒的侵入;(3)数据资源加密，评估自己的数据资源的重要级别，然后针对不同的安全等级对他们采取不同的加密措施和访问控制，这样既保证数据被合法用户采用，又可以保护数据不被恶意的攻击者窃取;(4)安装防火墙，防火墙可以是硬件也可以是软件，安装时应将防火墙放在网络入口处或需要保护的网段，保护网络的方式有，①数据包筛选：摒弃与规定不符的数据包。②代理服务：允许防火墙伪装成连接的终点，保护客户的IP地址。③状态检查：对比数据包的部分内容，对其进行筛选，比如IP地址、域名、协议、端口和内容等;(5)杜绝采取定期自动更新软件机制，这也是攻击者经常攻击的对象。

　　2.APs安全

　　接入点的安全设置是整个Wi-Fi网络安全的重要一环，通过encrytion、authention以及适当的monitoring措施，我们可以达到APs的安全目的。

　　(1)MAC地址列表，大多数AP具有地址列表功能，该功能有助于我们提高网络的安全性，主要形式有两种。

　　●开放式地址列表：允许除了被标明的MAC地址以外的任何MAC地址访问网络AP，不建议采用这种方式。

　　●封闭式地址列表：只允许被标明的MAC地址访问AP，这种方式较为安全。

　　(2)接入管理，通常情况下，大多数的AP都支持类似Telnet、HTTP以及串口和USB接口连接，但是其中Telnet方式应尽可能的屏蔽，因为这种方式会使数据处于完全暴露状态;如果AP支持，还应该限制有线接入部分;对于小型网络，尽量不用在线远程管理，这会带来不必要的风险。

　　(3)鉴权及访问控制，设置SSID号：SSID全称为ServiceSetID，它是Wi-Fi协议构建的一个32位的网络标识号，只有知道SSID号的人才可以进入Wi-Fi网络。

　　●访问控制列表：用于筛选数据包。

　　●鉴权：主要是通过WEP来实现的，但由于其不健壮性，所以市场上目前出现了许多其他技术来完成鉴权功能，例如portals、Ipsec以及802.1x等。

　　(4)SNMPMonitoring，SNMP是一种强大的管理网络链接设置的协议，其主要特点是可以被远程监测。SNMP采用的是管理员与代理的模式，管理员通过发送请求到代理来请求管理，代理随后回一个响应。通常SNMP有两种形式：read-only和read-write,他们均须提供字符串鉴权，如password。我们可以通过SNMP的MIB(managerinformationbase)来决定SNMP的管理类型。

　　通常，802.11协议的设备都具有自己的MIB，允许其像监视服务端一样监视MAC和PHY层。目前市场上常见的SNMPMonitoring工具有net-snmp等。

　　(5)采用保护天线，我们只需要利用保护天线使我们的数据电波向我们想要发射的地方发射，就可以有效地缩小攻击者的攻击范围，减小网络安全的风险。

　　3.主干网GateWay安全

　　防火墙设置主要是对第三层以上的网络体系结构进行保护，然而随着无线Wi-Fi技术的应用，网络一、二层成为攻击者攻击的新目标，所以Gateway将是攻击者面对的第一道屏障。

　　(1)GateWay可以是设置在LAN与Internet、LAN与WLAN的AP之间的具有一定保护作用的硬件设备和相应的软件。GateWay可以使我们的网络更加安全，它将起到以下几个主要作用：提供防火墙保护网络、为两个网络提供NAT、提供DNS服务。

　　(2)GateWay设置原则，应遵循将无线网的接入点AP以及主干网的外网连接与我们的主干网隔离的原则。不正当的GateWay设置会使我们的网络极易遭受攻击者的袭击。

　三、Wi-Fi网络安全策略

　　总的来说，好的安全策略并不是某一种或者几种方法和工具，而是要设置层层安全屏障，这样才能有效地阻止网络黑客的攻击。网络安全策略的具体运用总体上可以分为网络建立前的安全策略制订阶段和网络建立后的维护阶段两部分。

　　(一)安全策略制订

　　一个网络要想拥有一个好的安全策略，在网络建设的筹划阶段就应当将其考虑在内，而不是在网络建成后才予以考虑的。这样就会避免安全策略为了迁就已经成型的网络而存在一些漏洞。下面的安全策略制订原则是我们制定网络安全策略必须考虑的。

　　1.理论联系实际：分析理论上的和实际上可能发生的风险，这样将有助于杜绝尽可能多的攻击。

　　2.财力结合实际：结合网络的重要级别来采取具体的保护措施。比如你是一个SOHO用户，那么为了实现网络登陆鉴权，有SSID和WEP就足够了，但这两种方法对于大型Wi-Fi网络来说是绝对不行的，必须采取更专业的方法和工具。

　　3.针对性防护：如果你的网络安全核心是保护信息，就必须加强对数据的保护;如果是防止Illicituse，就必须加强登陆管理。

　　(二)安全策略维护

　　安全策略的制定不是一劳永逸的，它并不能保证我们的网络将是永久安全的。网络攻击者会不遗余力的开发出更新、更有杀伤力的攻击方法和工具，所以安全策略的定期检验和维护是必要的，这一过程将是长期、反复的。

上一页  [1] [2]