-
-
手机阅读
无线局域网魅力无穷:低成本,可以容忍的速度以及摆脱那些令人厌烦的导线。但是很多人对它望而却步的主要原因是:不安全。 除了选择适当的无线安全标准和物理的无线安全设备之外,以下9种手段可以提高无线局域网的安全性。 密码:每个无线AP都需要配备单独的管理员密码。不要在不同的AP间使用相同的密码或者有相关度的密码。最好密码中不仅仅是字母,还包括特殊字符和数字。 协议:关闭或者删除AP中任何未使用的协议。例如,如果AP同时支持SNMP版本2和3,可以将版本2关掉。如非必需,不要随意扩展用户的权限。 采用802.11i:802.11i(WPA2)是一种相对有效的无线安全协议。使用之前,需要对现有的无线设备和客户端硬件进行转换。对于支持早先的安全协议WEP和WPA的硬件,需要关闭WEP属性。对于不能完全满足802.11i的硬件则需要更新。 日志和监控:保存所有无线硬件的日志,将它们保存到集中的日志服务器上,这样便于安全保障人员及时的监控和检测潜在的问题。随着无线技术的不断成熟,监控能力也在随之提升。无线代理需要安装类似于AirDefense Enterprise的防止无线入侵的解决方案。 除了选择适当的无线安全标准和物理的无线安全设备之外,以下9种手段可以提高无线局域网的安全性。 不要相信别人:作为默认值,许多无线的解决方案都认为客户端和AP,以及AP之间都建立了可信的连接机制。最好使用被验证的连接并且设置这种验证是双向的。 超时设定:小心的调整那些影响session或者连接长短的参数。总的来说当然越短越好。例如,如果员工们在每天早上使用无线连接,在午餐时间休息,那么将最大超时设定为4小时,当员工吃完午餐返回时,可以建立一个新的session。将timeout设定的足够短以确保安全性,同时需要保证员工的工作能够正常开展。 只使用需要的授权方案:你的代理可能会定义一些通用的授权或者加密的方法。许多无线产品都支持多种授权和加密方案。关闭那些你不需要的授权和加密机制。 模式:大部分无线设备支持peer-to-peer和infrastructure模式。除非业务中必须使用一种方式,即允许两个以上的客户端直接组网,这时需要将所有AP配置成只有infrastructure模式。这增强了管理性的控制,减少了入侵者直接连接到客户端而访问你的网络的可能性。 默认值和名称:避免使用无线网络的默认设置。大多数的厂商使用公司名称作为设备中参数的默认值。使用你的创造性,将它们立刻更改吧。如果你的AP名称叫做“abcd”,最好将它改成一个极具创新性的名称,比如“Shanghai_Baosteel_1800_AP_Number07”。