當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)安全>正文

WLAN無(wú)線網(wǎng)絡(luò)的三大風(fēng)險(xiǎn)和攻防九式

http://www.yibo1263.com　2009/5/16 9:35:50 　來(lái)源:東北IT網(wǎng) 　編輯:葉子

　　

　　雖然WPA和WPA2解決了許多由WEP帶來(lái)的難題，但它們依舊容易受到攻擊，特別是關(guān)于PSK，許多人已可破解WEP密鑰了。要破解WPA和WPA2“Personal”的pre-shared key是比較困難的，并且在時(shí)間上的開(kāi)銷也是相當(dāng)長(zhǎng)在，特別是假如使用了AES加密編碼的話更是困難。雖說(shuō)如此，但它還是可能被破解。

　　

　　對(duì)策8:增加身份驗(yàn)證

　　面對(duì)各種新興的網(wǎng)絡(luò)攻擊，管理員應(yīng)該在網(wǎng)絡(luò)中使用身份驗(yàn)證。身份驗(yàn)證通過(guò)要求一臺(tái)客戶端計(jì)算機(jī)“注冊(cè)”到網(wǎng)絡(luò)中來(lái)增加另外一層次上的安全措施。一般來(lái)說(shuō)，這個(gè)“注冊(cè)”過(guò)程包含被身份驗(yàn)證服務(wù)器處理的證書(shū)、標(biāo)記和手動(dòng)輸入的密碼(也叫做Pre-Shared-Key)組成。802.1x通過(guò)WEP、WPA和WPA2提供存取控制構(gòu)架的使用，并且支持進(jìn)行真實(shí)身份驗(yàn)證的幾種EAP(Extensible Authentication Protocol)類型，George Ou’s關(guān)于Authentication Protocols的文章有大量的關(guān)于EPA、WPA和WPA2方面的內(nèi)容。

　　對(duì)專業(yè)的網(wǎng)絡(luò)人員來(lái)說(shuō)配置身份驗(yàn)證是一項(xiàng)繁瑣和費(fèi)時(shí)的任務(wù)，更不用說(shuō)家庭網(wǎng)絡(luò)的使用人員了。舉個(gè)例子來(lái)說(shuō)，今年在舊金山舉行的RSA大會(huì)上，各位與會(huì)者根本不必要操心去設(shè)置他們的無(wú)線連接，因?yàn)檎?yè)的說(shuō)明書(shū)都是要求他們必須按照規(guī)定去做的。幸運(yùn)的是，現(xiàn)在這種現(xiàn)象有所好轉(zhuǎn)，現(xiàn)在有許多比較容易實(shí)現(xiàn)的產(chǎn)品可供選擇了，LucidLink的2005年底提供一種名為“free fully-functional version”產(chǎn)品，對(duì)不超過(guò)三個(gè)用戶，它支持無(wú)線安全和身份驗(yàn)證設(shè)置。Wireless Security Corporation(最近被McAfee收購(gòu))公司的WSC Guard也是一款相類似的產(chǎn)品。這是一款需要預(yù)訂的產(chǎn)品，大量購(gòu)買的話大概每用戶每月的費(fèi)用是從4.95美元開(kāi)始的。從http://www.wirelesssecuritycorp.com/wsc/public/WirelessGuard.do可下載到30天的試用版本。

　　對(duì)有更多經(jīng)驗(yàn)的網(wǎng)絡(luò)人員來(lái)說(shuō)另一個(gè)好的選擇是TinyPEAP，它添加了一個(gè)小的支持基于PEAP身份驗(yàn)證的RADIUS服務(wù)到LinKsys WRT54G和GS無(wú)線路由器中，注意由于LinKsys并沒(méi)有正式地支持這個(gè)固件，因此在安裝TinyPEAP時(shí)出現(xiàn)了問(wèn)題可是要自己負(fù)責(zé)的。

　　4、破解方面的專業(yè)老手

　　到現(xiàn)在為止，我們對(duì)無(wú)線入侵者采取的封鎖措施已算是比較嚴(yán)密的了，如果在有線的以太網(wǎng)中則是相當(dāng)于把他們的端口給封住了，但不管你做得有多好，防范得有多嚴(yán)密，總有一些破解方面的老手能穿透你無(wú)線網(wǎng)絡(luò)的所有防御措施。那現(xiàn)在我們應(yīng)該做些什么呢?現(xiàn)在有許多有線或無(wú)線網(wǎng)絡(luò)的入侵檢測(cè)和保護(hù)的產(chǎn)品可用，不過(guò)它們一般是定位于企業(yè)應(yīng)用軟件，因此是要收費(fèi)的;不過(guò)也有一些開(kāi)源的產(chǎn)品，但對(duì)網(wǎng)絡(luò)初學(xué)者來(lái)說(shuō)它們的用戶界面都不是很友好，這方面最廣泛使用的就是Snort了。

　　面對(duì)網(wǎng)絡(luò)上層出不窮的各種攻擊手段與破解技術(shù)，管理員和安全人員與他們進(jìn)行的是一項(xiàng)“攻擊與反攻擊”、“破解與反破解”的長(zhǎng)期斗爭(zhēng)。但總的來(lái)說(shuō)，如下介紹的方法不失為網(wǎng)絡(luò)安全建設(shè)方面的基本技術(shù)。

　　對(duì)策9:實(shí)現(xiàn)普通的網(wǎng)絡(luò)安全

　　我們可使用如下的普通方法來(lái)提高WLAN的安全性。

　　A、使用身份驗(yàn)證來(lái)存取任何的網(wǎng)絡(luò)資源

　　任何服務(wù)、網(wǎng)絡(luò)共享、路由器等等，在訪問(wèn)時(shí)都應(yīng)該要求有用戶級(jí)別的身份驗(yàn)證，盡管在沒(méi)有某些身份驗(yàn)證服務(wù)器的情況下你也許并不能夠真實(shí)地完成用戶級(jí)別的身份驗(yàn)證，但如果是在Windows XP環(huán)境下，最少可以使用密碼保護(hù)所有的共享文件夾并禁止Guest用戶的登錄，而且不要把整個(gè)硬盤驅(qū)動(dòng)器的內(nèi)容共享出來(lái)。

　　B、把網(wǎng)絡(luò)分段

　　從防止基于網(wǎng)絡(luò)的入侵來(lái)說(shuō)，極端的做法就是不把計(jì)算機(jī)接入到網(wǎng)絡(luò)中。還有另外一種方法把網(wǎng)絡(luò)用戶從對(duì)他們不適宜的地方隔離開(kāi)來(lái)，這盡管仍舊允許來(lái)自因特網(wǎng)的訪問(wèn)，但基于NAT的路由器能夠被用來(lái)建立有防火墻功能的LAN分段。

　　有VLAN功能的交換機(jī)和路由器也可用來(lái)分隔LAN用戶，在許多“Smart”或可管理的交換機(jī)上都有VLAN功能，但對(duì)不可管理交換機(jī)和消費(fèi)級(jí)別的路由器來(lái)說(shuō)一般都很難有這樣的功能。

本新聞共5頁(yè),當(dāng)前在第4頁(yè) 1 2 3 4 5

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费