教你保护WiFi无线网络安全
Wi-Fi生来就容易受到黑客攻击和偷听。但是,如果你使用正确的安全措施,Wi-Fi可以是安全的。下面是我整理的保护Wi-Fi无线网络安全的相关知识,希望对你有帮助!
1不要使用WEP
WEP(有线等效加密协议)安全早就死了。大多数没有经验的黑客能够迅速地和轻松地突破基本的加密。因此,你根本就不应该使用WEP。如果你使用WEP,请立即升级到具有8021X身份识别功能的80211i的WPA2(WiFi保护接入)协议。如果你有不支持WPA2的老式设备和接入点,你要设法进行固件升级或者干脆更换设备。
2不要使用WPA/WPA2-PSK
WPA/WPA2安全的预共享密钥(PSK)模式对于商务或者企业环境是不安全的。当使用这个模式的时候,同一个预共享密钥必须输入到每一个客户。因此,每当员工离职和一个客户丢失或失窃密钥时,这个PSK都要进行修改。这在大多数环境中是不现实的。
3一定要应用80211i
WPA和WPA2安全的EAP(可扩展身份识别协议)模式使用8021X身份识别,而不是PSK,向每一个用户和客户提供自己的登录证书的能力,如用户名和口令以及一个数字证书。
实际的加密密钥是在后台定期改变和交换的。因此,要改变或者撤销用户访问,你要做的事情就是在中央服务器修改登录证书,而不是在每一台客户机上改变PSK。这种独特的每个进程一个密钥的做法还防止用户相互偷听对方的通讯。现在,使用火狐的插件Firesheep和Android应用DroidSheep等工具很容易进行偷听。
要记住,为了达到尽可能最佳的安全,你应该使用带8021X的WPA2。这个协议也称作8021i。
要实现8021X身份识别,你需要拥有一台RADIUS/AAA服务器。如果你在运行WindowsServer2008和以上版本的 *** 作系统,你要考虑使用网络政策服务器(NPS)或者早期服务器版本的互联网身份识别服务(IAS)。如果你没有运行Windows服务器软件,你可以考虑使用开源FreeRADIUS服务器软件。
如果你运行WindowsServer2008R2或以上版本,你可以通过组策略把8021X设置到区域连接在一起的客户机。否则,你可以考虑采用第三方解决方案帮助配置这些客户机。
4一定要保证8021X客户机设置的安全
WPA/WPA2的EAP模式仍然容易受到中间人攻击。然而,你可以通过保证客户机EAP设置的安全来阻止这些攻击。例如,在Windows的EAP设置中,你可以通过选择CA证书、指定服务器地址和禁止它提示用户信任新的服务器或者CA证书等方法实现服务器证书验证。
你还可以通过组策略把8021X设置推向区域连接在一起的客户机,或者使用Avenda公司的Quick1X等第三方解决方案。
5一定要使用一个无线入侵防御系统
保证WiFi网络安全比抗击那些直设法获取网络访问权限的企图要做更多的事情。例如,黑客可以建立一个虚假的接入点或者实施拒绝服务攻击。要帮助检测和对抗这些攻击,你应该应用一个无线入侵防御系统(WIPS)。厂商直接的WIPS系统的设计和方法是不同的,但是,这些系统一般都监视虚假的接入点或者恶意行动,向你报警和可能阻止这些恶意行为。
有许多商业厂商提供WIPS解决方案,如AirMagnet和AirTightNeworks。还有Snort等开源软件的选择。
6一定要应用NAP或者NAC
除了80211i和WIPS之外,你应该考虑应用一个NAP(网络接入保护)或者NAC(网络接入控制)解决方案。这些解决方案能够根据客户身份和执行定义的政策的情况对网络接入提供额外的控制。这些解决方案还包括隔离有问题的客户的能力以及提出补救措施让客户重新遵守法规的能力。
有些NAC解决方案可能包括网络入侵防御和检测功能。但是,你要保证这个解决方案还专门提供无线保护功能。
如果你的客户机在运行WindowsServer2008或以上版本以及WindowsVista或以上版本的 *** 作系统,你可以使用微软的NAP功能。此外,你可以考虑第三方的解决方案,如开源软件的PacketFence。
7不要信任隐藏的SSID
无线安全的一个不实的说法是关闭接入点的SSID播出将隐藏你的网络,或者至少可以隐藏你的SSID,让黑客很难找到你的网络。然而,这种做法只是从接入点信标中取消了SSID。它仍然包含在80211相关的请求之中,在某些情况下还包含在探索请求和回应数据包中。因此,偷听者能够使用合法的无线分析器在繁忙的网络中迅速发现“隐藏的”SSID。
一些人可能争辩说,关闭SSID播出仍然会提供另一层安全保护。但是,要记住,它能够对网络设置和性能产生负面影响。你必须手工向客户机输入SSID,这使客户机的配置更加复杂。这还会引起探索请求和回应数据包的增加,从而减少可用带宽。
8不要信任MAC地址过滤
无线安全的另一个不实的说法是启用MAC(媒体接入控制)地址过滤将增加另一层安全,控制哪一个客户机能够连接到这个网络。这有一些真实性。但是,要记住,偷听者很容易监视网络中授权的MAC地址并且随后改变自己的计算机的MAC地址。
因此,你不要以为MAC过滤能够为安全做许多事情而采用MAC地址过滤。不过,你可以把这种做法作为松散地控制用户可以使用哪一台客户机和设备进入网络的方法。但是,你还要考虑保持MAC列表处于最新状态所面临的管理难题。
9一定要限制SSID用户能够连接的网络
许多网络管理员忽略了一个简单而具有潜在危险的安全风险:用户故意地或者非故意地连接到临近的或者非授权的无线网络,使自己的计算机向可能的入侵敞开大门。然而,过滤SSID是防止发生这种情况的一个途径。例如,在WindowsVista和以上版本中,你可以使用netshwlan指令向用户能够看到和连接的那些SSID增加过滤器。对于台式电脑来说,你可以拒绝你的无线网络的那些SSID以外的所有的SSID。对于笔记本电脑来说,你可以仅仅拒绝临近网络的SSID,让它们仍然连接到热点和它们自己的网络。
10一定要物理地保护网络组件的安全
要记住,计算机安全并不仅仅是最新的技术和加密。物理地保证你的网络组件的安全同样重要。要保证接入点放置在接触不到的地方,如假吊顶上面或者考虑把接入点放置在一个保密的地方,然后在一个最佳地方使用一个天线。如果不安全,有人会轻松来到接入点并且把接入点重新设置到厂商默认值以开放这个接入点。
;linux为内核的系统有16款,下面是详细情况。
1、Kubuntu
Kubuntu是一个Ubuntu *** 作系统,它使用的是KDEplasmaDesktop而非Unity图形环境。
2、Ubuntu
Ubuntu是一款快速、安全、简单易用的Linux *** 作系统,它在全世界有成千上万的拥趸。
3、openSUSE
openSUSE是一款免费、稳定、易用、基于Linux的多功能 *** 作系统。它适用于PC、笔记本以及服务器。有
4、MandrivaLinuxOS
MandrivaLinux是来自Mandriva的终极版Linux *** 作系统。它是三种技术融合的结晶:Mandriva,Conectiva和Lycoris。
5、Debianoperatingsystem
DebianLinux也是一款免费的 *** 作系统。Debian使用Linux内核(一个 *** 作系统的核心),但大部分基本 *** 作系统工具来自GNU项目,因此得名GNU/Linux。
6、EliveLinuxoperatingsystem
Elive是一个完整的基于Linux的 *** 作系统,是替换那些昂贵的 *** 作系统的最佳选择。Elive建立在DebianGNU/Linux基础之上,并允许用户自定义以满足个人需要。界面清爽美观,硬件需求较小。只需一个接口就能使旧电脑瞬间高能。
7、FedoraLinuxoperatingsystem
Fedora是一个基于linux的 *** 作系统,展示最新的免费开源软件。Fedora免费供任何人使用,修改和发行。
8、SabayonLinux
SabayonLinux是一款先进的、可伸缩的和社区驱动的Linux *** 作系统。它努力为用户提供最好、最完整的计算体验。
9、FreeBSD
FreeBSD是一款面向现代服务器、台式机和嵌入式计算机平台的 *** 作系统。FreeBSD提供先进的网络、骄人的安全特性和世界一流的性能。
10、PC-BSDLinuxOperatingsystem
PC-BSD是一款易用性很强的Linux *** 作系统。如同其他任何现代系统,你可以听你喜欢的音乐,看你喜欢的,办公,处理文档,安装你喜欢的各种应用程序,一切只需一键就能安装好。
11、DesktopBSD
DesktopBSD致力于为台式机用户提供一个稳定且强大的Linux *** 作系统。DesktopBSD结合了FreeBSD的稳定性和KDE的实用性和功能。
12、SyllableDesktop
SyllableDesktop是一个完整的 *** 作系统。它易于使用,功能强大,占用空间小,响应迅速。
13、GeeXboX
GeeXboX是一款免费开源的,用作媒体中心(Media-Center)的Linux,用于嵌入式设备和台式电脑。
14、麒麟系统
银河麒麟(Kylin)是由国防科技大学、中软公司、联想公司、浪潮集团和民族恒星公司合作研制的开源服务器 *** 作系统。此 *** 作系统是863计划重大攻关科研项目,目标是打破国外 *** 作系统的垄断,研发一套中国自主知识产权的服务器 *** 作系统。
15、RedHat
RedHat公司发布的面向企业用户的Linux *** 作系统。
16、Centos
Centos是Linux发行版之一,它是来自于RedHatEnterpriseLinux依照开放源代码规定释出的源代码所编译而成。
ACS是思科安全访问控制服务器。
思科安全访问控制服务器(Cisco Secure Access Control Sever)是一个高度可扩展、高性能的访问控制服务器,提供了全面的身份识别网络解决方案,是思科基于身份的网络服务(IBNS)架构的重要组件。
Cisco Secure ACS 解决方案引擎是一款高度安全、独立于 OS 的专用平台,提供了高度可管理的
访问控制解决方案,进一步缩短了设置和排障时间。
它提供了即插即用部署,一个高度可靠的验
证、授权和记帐(AAA)解决方案,且能更好地保护总拥有成本(TCO)。每个 Cisco Secure ACS
解决方案引擎都配有一个 Cisco Secure ACS 远程代理,支持远程登录和 Windows 验证。
扩展资料:
关键特性:
1、仅运行 Cisco Secure ACS 服务,以防止任何基于设备的 OS 更改、添加或配置修改。
2、提供了一个串行控制台接口,以用于初始配置、随后对 IP 连接的管理、接入 Cisco Secure ACSHTML 接口,以及升级和恢复过程的应用。
3、解决方案引擎专用管理工具提供了通用设备管理功能,包括备份、恢复、软件升级、监控、维护和排障功能。
4、提供了针对 Windows 域的验证和远程用户帐户记录功能。
5、分组过滤服务,可阻塞除必要的 Cisco Secure ACS 专用 TCP 和用户数据报协议端口外所有端口上的流量。
6、预先安装的独立思科安全代理有助于保护 Cisco Secure ACS 解决方案引擎免遭“零日”攻击。
7、内置 NTP 功能可保持网络时间同步及与其他 Cisco Secure ACS 设备或网络设备的一致性。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)