加强无线局域网安全减少网络攻击的措施有哪些
加强无线局域网安全减少网络攻击的措施有以下这些:
启用加密协议:在无线局域网中,IEEE先后制定了WEP、WPA和WPA2三种无线加密协议,其中,WPA2是比较安全的。因此,在设置时应该尽量选择WPA2版本的协议,或者至少包含WPA2版本协议。
使用强密码:进行身份验证在无线局域网中,可以通过设置无线密码来验证接入用户的合法性,只有知道无线密码的用户才能接入无线局域网。那么,这个无线密码的安全性很大程度上决定了无线局域网的安全性。因此,在设置无线密码时,应该设置符合复杂性要求的强密码,以防范不法分子破译密码接入网络。
修改SSID并禁止SSID广播:SSID是用户接入无线局域网的入口。默认情况下,同一厂商的无线SSID往往是相同的,这就给“有心之人”提供了入侵的便利。用户可以在设置时修改默认SSID,并在不使用无线网络的时候禁止SSID广播,从而降低被攻击的可能性。
禁用DHCP服务:无线局域网中往往都是使用DHCP来让用户自动获取IP地址信息,从而自由接入无线局域网的。由于充当DHCP服务器的无线AP在分配IP地址时并不会去识别接入的主机是否合法,这也就给无线局域网留下了安全隐患。在接入用户比较固定的情况下,可以让用户使用固定的静态IP地址,禁用无线AP的DHCP服务,那么,攻击者就无法轻易获取到合法IP地址信息。
使用访问控制列表:对于支持访问控制列表功能的无线AP,可以通过设置访问控制列表来进一步限制接入无线局域网的主机。例如,在无线AP上创建一个MAC地址列表,然后将合法的网卡MAC地址添加到列表中,再创建一个“只有网卡MAC地址在列表中的主机可以接入无线局域网”的访问控制规则。这样就可以尽可能地过滤掉非法接入用户。
调整无线信号覆盖范围:用户接入无线局域网的前提是要能够接收到该无线局域网的信号。无线信号的覆盖范围及信号强度都是可以通过配置调整的。在部署无线局域网的过程中,应该先弄清楚无线局域网服务的范围,并根据范围调整无线AP的位置和信号强度,尽量减少无线信号在非必要范围的覆盖。
身份认证:对于无线网络的认证可以是基于设备的,通过共享的WEP密钥来实现。它也可以是基于用户的,使用EAP来实现。无线EAP认证可以通过多种方式来实现,比如EAP-TLS、EAP-TTLS、LEAP和PEAP。在无线网络中,设备认证和用户认证都应该实施,以确保最有效的网络安全性。用户认证信息应该通过安全隧道传输,从而保证用户认证信息交换是加密的。因此,对于所有的网络环境,如果设备支持,最好使用EAP-TTLS或PEAP。
完整性检测:通过使用WEP或TKIP,无线网络提供数据包原始完整性。有线等效保密协议是由802.11标准定义的,用于在无线局域网中保护链路层数据。WEP使用40位钥匙,采用RSA开发的RC4对称加密算法,在链路层加密数据。WEP加密采用静态的保密密钥,各无线工作站使用相同的密钥访问无线网络。WEP也提供认证功能,当加密机制功能启用,客户端要尝试连接上AP时,AP会发出一个Challenge Packet给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,如果正确无误,才能获准存取网络的资源。现在的WEP也一般支持128位的钥匙,能够提供更高等级的安全加密。在IEEE 802.11i规范中,TKIP负责处理无线安全问题的加密部分。TKIP在设计时考虑了当时非常苛刻的限制因素:必须在现有硬件上运行,因此不能使用计算先进的加密算法。TKIP是包裹在已有WEP密码外围的一层“外壳”,它由WEP使用的同样的加密引擎和RC4算法组成。TKIP中密码使用的密钥长度为128位,这解决了WEP的密钥长度过短的问题。