網(wǎng)絡(luò)管理安全策略：五大技能讓無線網(wǎng)絡(luò)更安全

相信很多人經(jīng)歷過被蹭網(wǎng)，現(xiàn)在市面上的蹭網(wǎng)軟件也很普遍，怎樣能保護自已的無線網(wǎng)絡(luò)不被偷蹭？今天講一講網(wǎng)絡(luò)安全策略之如何讓無線網(wǎng)絡(luò)更安全。

　　你能不能想過怎樣讓自身的無線網(wǎng)絡(luò)更安全?有人說，現(xiàn)在上網(wǎng)能夠搜索到關(guān)于Wi-Fi安全的大量信息，如不要運用 WEP，要運用 WPA或WPA2，禁用SSID廣播，改動默認配置等。但僅有這些仍舊不夠的。為此，本文不再詳述這些基本技能，而是探討可增強無線網(wǎng)絡(luò)安全的網(wǎng)絡(luò)安全策略技巧。

　　網(wǎng)絡(luò)安全策略一、 轉(zhuǎn)向企業(yè)級加密

　　假如你建立了一個WPA或WPA2的加密密鑰，并且在連接到某個無線網(wǎng)絡(luò)時必須輸入這個密鑰，你所運用的就是WPA的預(yù)共享密鑰(PSK)模式。企業(yè)級網(wǎng)絡(luò)，不管是大是小，都應(yīng)當(dāng)用企業(yè)模式執(zhí)行 保衛(wèi)，因為這種保衛(wèi)模式向無線連接流程添加了802.1X/EAP認證。用戶們不是在所有的計算機上輸入加密密鑰，而是議決一個用戶名和口令登錄。加密密鑰是以潛藏形式安全地運用，并且對每一個用戶和會話都是獨一的。

　　這種要領(lǐng)提供了集中維護功能和更好的無線網(wǎng)絡(luò)安全。

　　簡言之，雇員們和其它用戶在運用企業(yè)模式時，都議決其自身的賬號登錄進入網(wǎng)絡(luò)。在須要時，維護員能夠輕易地改動或廢止其訪問。在雇員離職或筆記本計算機被盜時，這種形式特別有用。假如你現(xiàn)在正運用私人模式，你就須要在所有的計算機和接入點AP上改動加密密鑰。

　　企業(yè)模式的一個特別因素是RADIUS/AAA服務(wù)器。它與網(wǎng)絡(luò)中的接入點AP通信，并查詢用戶的數(shù)據(jù)庫。在此，網(wǎng)俠建議你運用 windows server 2003 的IAS或Windows Sever 2008r 網(wǎng)絡(luò)管理策略服務(wù)器NPS。當(dāng)然，你也能夠思慮運用開源服務(wù)器，如最流行的FreeRADIUS。假如你覺得建立一個身份驗證的服務(wù)器須要花費太多的金錢，或者超過了你的預(yù)算，不妨思慮運用外購服務(wù)。

　　網(wǎng)絡(luò)安全策略二、 驗證物理上的安全性

　　無線安全并不僅僅是技能疑問。你能夠擁有最強健的Wi-Fi 加密，但是你又能怎么阻止某人將電纜線接入到暴露的以太網(wǎng)端口呢?或者有人經(jīng)歷某個接入點時按下了復(fù)位按鈕，將其還原到了出廠配置，讓你的無線網(wǎng)絡(luò)四門大開，你又該怎么是好?

　　所以，請必須要保證你的接入點AP遠離大眾能夠接觸的地點，也不要讓雇員隨意去擺弄它。不要把你的接入點放到桌子上，最起碼應(yīng)該將其掛到墻上或天花板上，最好將其放到高于天花板的位置。

　　還能夠思慮將接入點AP安裝在不易于被看到的地點，并安裝外部天線，這樣還能夠取得最強的信號。如此一來，就能夠在更大程度上限定接入點AP，同時，又能夠取得兩方面的優(yōu)點，一是添加了覆蓋范圍，二是運用 了較高的天線。

　　當(dāng)然，你不能 僅重視接入點。所有的網(wǎng)絡(luò)連接組件都應(yīng)當(dāng)保證其安全。這甚至包含以太網(wǎng)電纜的連接。雖然下面這種情況可能有點兒牽強，但是難道某個“不到黃河不死心”的家伙就沒有切斷電纜接入自身的裝備的可能?。

　　在安裝流程中，應(yīng)當(dāng)對所有的接入點AP了如指掌。最好打造一張表格，記載所有的接入點模塊，連同它們的MAC地址和IP地址。還要標(biāo)明其所在的位置。議決這種要領(lǐng)就能夠確切地知曉，在執(zhí)行 裝備清查或跟蹤有疑問的接入點AP時，這些接入點到底在什么地點。

　　網(wǎng)絡(luò)安全策略三、 安裝入侵檢測和(或)入侵防御系統(tǒng)(即IDS和IPS)

　　這兩種系統(tǒng)通常靠一個軟件來工作，并且運用

　　用戶的無線網(wǎng)卡來嗅探無線信號并查找疑問。這種系統(tǒng)能夠檢測欺詐性的接入點。無論是向網(wǎng)絡(luò)中接入一個新的接入點，仍舊一個現(xiàn)有的接入點將其配置改動為默認值，仍舊與用戶所解釋的準(zhǔn)則 不匹配，IDS和IPS都能夠檢測出來。

　　這種系統(tǒng)還能夠剖析網(wǎng)絡(luò)數(shù)據(jù)包，查看能不能有人正在運用黑客技能或是正在實施干擾。

　　現(xiàn)在有許多種的入侵檢測和防御系統(tǒng)，這些系統(tǒng)所運用的技能也各不相似。在此，網(wǎng)俠向您推選兩開源的或不花錢的系統(tǒng)，即大名鼎鼎的Kidmet和Snort?，F(xiàn)在網(wǎng)上相關(guān)于這兩個系統(tǒng)的大量教程 ，您不妨試試。當(dāng)然，假如你愿意花錢，還能夠思慮 AirMagnet、AirDefence、AirTight等國外公司的產(chǎn)品。

　　　網(wǎng)絡(luò)安全策略四、 構(gòu)建無線運用策略

　　正如須要其它網(wǎng)絡(luò)裝備的運用指南一樣，你也應(yīng)當(dāng)有一套針對無線訪問的網(wǎng)絡(luò)管理策略，其中至少包含以下幾條：

　　①列示可取得授權(quán)訪問無線網(wǎng)絡(luò)的裝備：最好先禁用所有的裝備，在路由器上運用 MAC地址的過濾功能來明確地指明準(zhǔn)許哪些裝備訪問網(wǎng)絡(luò)。雖然MAC地址能夠被欺騙，但是這樣做顯然會控制雇員們正在網(wǎng)絡(luò)上運用哪些裝備。所有被核準(zhǔn)裝備的硬copy 及其細節(jié)都應(yīng)當(dāng)加以保存，以便于在監(jiān)視網(wǎng)絡(luò)時以及為入侵檢測系統(tǒng)提供數(shù)據(jù)時執(zhí)行 比較。

　?、诹惺究勺h決無線連接訪問網(wǎng)絡(luò)的人員：在運用 802.1X認證時，在RADIUS服務(wù)器中僅為那些須要無線訪問的人建立賬戶就能夠?qū)嵤┻@種控制。假如在有線網(wǎng)絡(luò)上也運用 802.1X認證，你必須指明用戶能不能要接收有線或無線訪問，能夠議決修改活動目錄或在RADIUS服務(wù)器上運用認證策略達到這個目標(biāo)。

　?、蹮o線路由器或接入點AP的建立準(zhǔn)則：比方，僅準(zhǔn)許IT部門建立更多的接入點AP，因而不準(zhǔn)許雇員隨意插入接入點Ap來增強和延伸信號。對IT部門的內(nèi)部而言，其準(zhǔn)則最好包含解釋可接受的裝備模式和配置等。

　?、苓\用 Wi-Fi熱點或借助公司裝備連接到家庭網(wǎng)絡(luò)的準(zhǔn)則：因為某個裝備或筆記本計算機上的數(shù)據(jù)能夠被破壞，并且在不安全的無線網(wǎng)絡(luò)上須要監(jiān)視互聯(lián)網(wǎng)活動，所以你可能會想到限定 Wi-Fi連接僅給公司網(wǎng)絡(luò)運用。能夠借助于Windows中的netsh實用程序，并議決運用網(wǎng)絡(luò)過濾器來加以控制。還有另外一個挑選，即你能夠要求一個到達公司網(wǎng)絡(luò)的VPN連接，這樣至少能夠保衛(wèi)互聯(lián)網(wǎng)活動，并能夠遠程訪問文件。

　　　網(wǎng)絡(luò)安全策略五、運用 SSL或Ipsec加密

　　雖然你可能正運用最新的、最強健的Wi-Fi加密(位于OSI模型的第二層上)，也不妨思慮實施另外一種加密機制，如IPSec(位于OSI模型的第三層上)。這樣做，不但能夠在無線網(wǎng)絡(luò)上提供雙重加密，還能夠保證有線通信的安全。這會防止 雇員或外部人員隨意插入到裝備的以太網(wǎng)端口執(zhí)行 竊聽。

　　雖然在這里談到的這五種網(wǎng)絡(luò)安全策略技能已經(jīng)多在有線網(wǎng)絡(luò)上已經(jīng)很成熟，但在許多單位的無線網(wǎng)絡(luò)上卻并沒有得以實施。為了讓你的無線網(wǎng)絡(luò)訪問更安全，不妨一試。 

【推薦閱讀】

◆IT運維管理專區(qū)

◆解析IT運維管理與BSM：IT部門的ERP

◆IT運維管理系統(tǒng)是IT運維部門績效考核的關(guān)鍵

◆BTIM運維管理核心思想淺析

◆網(wǎng)管軟件專區(qū)