购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

2.3.2 无线网络AP及路由安全

1.无线接入点安全

无线接入点AP 用于实现无线客户端之间的信号互联和中继,其 安全措施 包括以下几个。

(1)修改admin密码

无线AP与其他网络设备一样,也提供了初始的管理员用户名和密码,其默认用户名基本是admin,而密码大部分为空或者也是admin。其提供的各种系统管理员默认用户名和密码基本一致,如果不修改默认的用户密码,将给不法之徒以可乘之机。

(2)WEP加密传输

数据加密是实现网络安全的一项重要技术 ,可通过有线等效保密协议(Wired Equivalent Privacy,WEP)进行。WEP由IEEE制定,是IEEE 802.11b协议中最基本的无线安全加密措施,是所有经过Wi-FiTM认证的无线局域网产品所支持的一项标准功能,其 主要用途 如下。

1)防止数据被黑客途中恶意篡改或伪造。

2)用WEP加密算法对数据进行加密,防止数据被黑客窃听。

3)利用接入控制,防止未授权用户对其网络进行访问。

知识拓展

WEP加密方式及功能

(3)禁用DHCP服务

启用无线AP的DHCP时,黑客可自动获取IP地址接入无线网络。若禁用此功能,则黑客将只能以猜测破译IP地址、子网掩码和默认网关等,以增加其安全性。

(4)修改SNMP字符串

必要时应禁用无线AP支持的SNMP功能,特别是对无专用网络管理软件且规模较小的网络。若确实需要SNMP进行远程管理,则需修改公开及专用的共用字符串。否则,黑客可能利用SNMP获得有关的重要信息,借助SNMP漏洞进行攻击破坏。

(5)禁止远程管理

对规模较小的网络,应直接登录到无线AP进行管理,无需开启AP的远程管理功能。

(6)修改SSID标识

无线AP厂商可利用SSID(初始化字符串),在默认状态下检验登录无线网络结点的连接请求,只要检验通过即可连接到无线网络。由于同一厂商的产品都使用相同的SSID名称,从而给黑客提供了可乘之机,使之以非授权连接对无线网络带来威胁。所以,在安装无线局域网之初,就应尽快登录到结点的管理页面,修改默认的SSID。

(7)禁止SSID广播

为了保证无线网络安全,应当禁用SSID通知客户端所采用的默认广播方式。可使非授权客户端无法通过广播获得SSID,即无法连接到无线网络。否则,再复杂的SSID设置也无安全可言。

(8)过滤MAC地址

利用无线AP的访问列表功能可精确限制连接到结点工作站。对不在访问列表中的工作站,将无权访问无线网络。无线网卡都有各自的MAC地址,可在结点设备中创建一张“MAC访问控制列表”,将合法网卡的MAC地址输入到此列表中。使之只有“MAC访问控制列表”中显示的MAC地址才能进入到无线网络。

(9)合理放置无线AP

将无线AP放置在一个合适的位置非常重要。由于无线AP的放置位置不仅能决定无线局域网的信号传输速度、通信信号强弱,还影响网络通信安全。另外,在放置天线前,应先确定无线信号覆盖范围,并根据范围大小将其放到其他用户无法触及的位置。

应将无线网络结点放在房间正中央,并将工作站分散在其结点周围,使其他房间的工作站无法自动搜索到无线网络,从而不易出现信息泄密。

(10)WPA用户认证

WPA(Wi-Fi Protected Access)利用一种暂时密钥完整性协议(Temporal Key Integrity Protocol,TKIP)处理WEP所不能解决的各设备共用一个密钥的安全问题。WPA使用的密钥与网络上各设备的MAC地址及一个更大的初始化向量合并,确保各结点均用一个不同密钥流对其数据加密。之后TKIP采用RC4加密算法加密数据。与WEP不同,TKIP修改了常用密钥且包括完整性检查功能,可确保密钥安全,并加强了由WEP提供的不完善的用户认证功能,还包含对802.1x和EAP的支持。既可通过外部RADIUS服务对无线用户进行认证,也可以在大型网络中使用RADIUS协议自动更改和分配密钥。

2.无线路由器安全

由于无线路由器位于网络边缘,面临更多安全危险。不仅具有无线AP的功能,还集成了宽带路由器的功能,因此,可实现小型网络的Internet连接共享。除了可以采用无线AP的安全策略外,还应 采用以下安全策略

1)利用网络防火墙。充分利用无线路由器内置的防火墙功能,以加强防护能力。

2)IP地址过滤。启用IP地址过滤列表,进一步提高无线网络的安全性。 d8Q8uXucd324hlit5E2EAPnSyIq7mYgt3Q9vKjYLLXf6XJHVxlEc/93zDQ0j/6/X

点击中间区域
呼出菜单
上一章
目录
下一章
×

打开