當前位置 : 首頁>軟件學院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)安全>正文

WLAN無線網(wǎng)絡(luò)的三大風險和攻防九式

http://www.yibo1263.com　2008/11/26 7:40:20 　來源:東北IT網(wǎng) 　編輯:葉子

　　二、保護我們的WLAN

　　在明白了一個毫無防護的WLAN所面臨的種種問題后，我們就應(yīng)該在問題發(fā)生之前作一些相應(yīng)的應(yīng)對措施，而不要等到發(fā)生嚴重的后果后才意識到安全的網(wǎng)絡(luò)維護是多么重要。以下的內(nèi)容就是介紹針對各種不同層次的入侵方式時采取的各種應(yīng)對措施。

　　1、擁有無線網(wǎng)卡的普通用戶

　　在一個無任何防護的無線WLAN前，要想攻擊它的話，并不需要采取什么特別的手段，只要任何一臺配置有無線網(wǎng)卡的機器就行了，能夠在計算機上把無線網(wǎng)卡開啟的人就是一個潛在的入侵者。在許多情況下，人們無心地打開了他們裝備有無線設(shè)備的計算機，并且恰好位于你的WLAN覆蓋范圍之內(nèi)，這樣他們的機器不是自動地連接到了你的AP，就是在“可用的”AP列表中看到了它。不小心，他們就闖進了你未設(shè)防的“領(lǐng)域”了。其實，在平常的統(tǒng)計中，有相當一部分的未授權(quán)連接就是來自這樣的情況，并不是別人要有意侵犯你的網(wǎng)絡(luò)，而是有時無意中在好奇心的驅(qū)使下的行為而已。

　　如下的對策可以保護你的網(wǎng)絡(luò)避免不經(jīng)意的訪問，不過這都是一些相當初級的內(nèi)容，并不能提供避免那些更熟練些入侵者的實時保護。雖說這些內(nèi)容都很“菜鳥”，它們大部分是如此簡單，不過如果你的無線設(shè)備能夠支持的話，我還是建議你作一下相關(guān)設(shè)置。

　　對策1:更改默認設(shè)置

　　最起碼，要更改默認的管理員密碼，而且如果設(shè)備支持的話，最好把管理員的用戶名也一同更改。對大多數(shù)無線網(wǎng)絡(luò)設(shè)備來說，管理員的密碼可能是通用的，因此，假如你沒有更改這個密碼，而另外的人就可輕而易舉地用默認的用戶名和密碼登錄到了你的無線網(wǎng)絡(luò)設(shè)備上，獲得整個網(wǎng)絡(luò)的管理權(quán)限，最后，你可能會發(fā)現(xiàn)自己都不能夠夠登錄到你的WLAN了，當然，通過恢復(fù)工廠設(shè)置還是可重新獲得控制權(quán)的。

　　更改你AP或無線路由器的默認SSID，當你操作的環(huán)境附近有其他鄰近的AP時，更改默認的SSID就尤其需要了，在同一區(qū)域內(nèi)有相同制造商的多臺AP時，它們可能擁有相同的SSID，這樣客戶端就會有一個相當大的偶然機會去連接到不屬于它們的AP上。在SSID中尤其不要使用個人的敏感信息。

　　更改默認的頻道數(shù)可以幫助你避免與鄰近的無線LAN發(fā)生沖突，但作為一個安全防范方法的作用很小，因為無線客戶端通常會為可能的連接自動地掃描所有的可用頻道。

　　對策2:更新AP的Firmware

　　有時，通過刷新最新版本的Firmware能夠提高AP的安全性，新版本的Firmware常常修復(fù)了已知的安全漏洞，并在功能方面可能添加了一些新的安全措施，隨著現(xiàn)在更新型的消費類AP的出現(xiàn)，通過幾下簡單的點擊就可檢驗和升級新版本的Firmware了，與以前的AP相比較，老產(chǎn)品需要用戶要從界面并不是很友好的廠商技術(shù)支持站點手工去尋找、下載、更新最終版本的Firmware。

　　許多用了幾年的AP都已經(jīng)過了它們的保修期了，這就意味著很難找到新的Firmware版本了，如果你發(fā)現(xiàn)最后版本的Firmware并不支持提升了安全性能的WPA(Wi-Fi Protected Access)，其實更好的版本是WPA2，那就最好請認真地考慮一下是否更換你的設(shè)備了。

　　實際上，當前的802.11g設(shè)備至少應(yīng)支持WPA，并在技術(shù)上有更新到WPA2的能力，但制造廠商并不會一直致力于支持他們的老產(chǎn)品，因此假如你想檢查一下AP是否可支持WPA2，要不就在Wi-Fi Alliance's certification database(鏈接為:http://wi-fi.org/OpenSection/certified_products.asp?TID=2)中檢查一下，要不就到google中搜索一下看。

　　對策3:屏蔽SSID廣播

　　許多AP允許用戶屏蔽SSID廣播，這樣可防范netstumbler的掃描，不過這也將禁止Windows XP的用戶使用其內(nèi)建的無線Zero配置應(yīng)用程序和其他的客戶端應(yīng)用程序。在下圖一中如果選中顯示的“Hide ESSID”，則正是在一個ParkerVision的AP上屏蔽了SSID廣播。(實際上，SSID和ESSID是指的同一回事)。

　　

　　圖一:在ParkerVision的AP上屏蔽SSID廣播。

　　注意:在一個無線網(wǎng)絡(luò)中屏蔽SSID廣播并不能夠阻止使用Kismet或其他的無線檢測工具(如艾爾麥AirMagnet)的攻擊者，這些工具檢測一個存在的網(wǎng)絡(luò)并不依靠SSID來進行。

　　對策4:關(guān)閉機器或無線發(fā)射

　　關(guān)閉無線AP，這可能是一般用戶來保護他們的無線網(wǎng)絡(luò)所采用的最簡單的方法了，在無需工作的整個晚上的時間內(nèi)，可以使用一個簡單的定時器來關(guān)閉我們的AP。不過，如果你擁有的是無線路由器的話，那因特網(wǎng)連接也被切斷了，這倒也不失為一個好的辦法。

　　在不能夠或你不想周期性地關(guān)閉因特網(wǎng)連接的情況下，就不得不采用手動的方式來禁止無線路由器的無線發(fā)射了(當然，也要你的無線路由器支持這一功能)。如下圖二中所示。

　　

　　圖二:關(guān)閉無線發(fā)射

　　對策5:MAC地址過濾

　　MAC地址過濾是通過預(yù)先在AP在寫入合法的MAC地址列表，只有當客戶機的MAC地址和合法MAC地址表中的地址匹配，AP才允許客戶機與之通信，實現(xiàn)物理地址過濾。這樣可防止一些不太熟練的入侵初學者連接到我們的WLAN上，不過對老練的攻擊者來說，是很容易被從開放的無線電波中截獲數(shù)據(jù)幀，分析出合法用戶的MAC地址的，然后通過本機的MAC地址來偽裝成合法的用戶，非法接入你的WLAN中。如下圖三所示

　　

　　圖三:在USR 8011 AP中的MAC地址過濾

　　http://anheng.com.cn/news/html/wlan_test/670.html

　　對策6:降低發(fā)射功率

　　雖然只有少數(shù)幾種AP擁有這種功能，但降低發(fā)射功率仍可有助于限制有意或偶然的未經(jīng)許可的連接。但現(xiàn)在無線網(wǎng)卡的靈敏度在不斷提高，甚至這樣的網(wǎng)卡隨便哪個初級用戶都可購買得到，特別是如果你在一幢大樓或宿舍中嘗試阻止一些不必要的連接時，這可能沒什么太大的價值了。

　　http://anheng.com.cn/news/html/wlan_test/670.html

　　下面我們將介紹對中級和高級無線用戶可以采用的進一步的無線安全技巧以及針對專業(yè)破解工具我們該如何防范。

本新聞共4頁,當前在第2頁 1 2 3 4

【收藏】【打印】【進入論壇】

相關(guān)文章：

·無線道路的建設(shè)：WLAN無線網(wǎng)絡(luò)覆蓋

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费