网友提问:
我是一个企业的网络管理员,最近我们领导要求在实验室内建立一套完整的网络,方便在实验室查阅资料。由于实验室内的计算机要和外界进行通讯,但是在设计之初没有在墙面预先留下任何接插面板,所以本人查阅了大量资料决定通过无线网络来完成网络接入服务,选择的设备都是市面上比较流行的54M标准的无线设备。但是这样也存在了一个疑问,那就是由于企业对实验室内计算机上的数据有比较高的安全要求另外对计算机上网速度也有很高要求,所以本人决定针对无线网络进行加密,从而提高安全性,避免非法入侵者的随意连接,但是有人说对无线网络进行加密会在一定程度上影响速度,所以在这里想请教IT168的专家,到底无线网络安全的提升是否必须通过无线通讯加密来完成,如果必须通过无线加密手段来提高安全的话,这样手段是否是把双刃剑从而带来无线传输速度的变慢呢?希望专家尽快答复,谢谢。
专家解答:
这位朋友遇到的问题比较典型,随着无线网络的飞速发展,无线设备的价格也变得越来越便宜,于是很多企业都开始针对之前建立的有线网络盲点区域进行升级,用无线网络作为有线网络的有力补充,然而在实际使用中都被安全与速度两大因素困扰,下面我们就来根据这位朋友的实际问题进行回答。
一,无线网络安全的提升是否必须通过无线通讯加密来完成?
就笔者所知提升无线网络安全的方法有很多,通过针对无线通讯数据进行加密是一个有效的办法,通过这个方法可以大大提升无线安全。但是他不是最有效的,高水平黑客是可以通过sniffer等手段来监听无线数据通讯来暴力破解加密密钥的。所以说要想让我们的无线网络万无一失仅仅对通讯进行加密是不够的。下面笔者将常见的几个方法和安全效果罗列出来提供给各位IT168网络频道的读者参考。
(1)修改无线路由器默认密码和默认IP地址:
安全级别:★★★☆
缺点:有点基础的人会通过sniffer扫描出无线路由器的默认IP地址,不过默认密码修改可以大大提高无线通讯安全性。
(2)禁止无线SSID广播:(如图1)
安全级别:★★
缺点:防菜鸟不防高手,同样可以通过无线sniffer工具扫描出无线通讯数据包的信息,从中可以分析出隐藏了的SSID号。
(3)WEP加密无线网络通讯数据:
安全级别:★★★★
缺点:通过无线sniffer工具进行长时间监听数据,当积累足够多的数据包后可以通过暴力法来穷举WEP加密密钥。实际中笔者成功破解过。
(4)WPA加密无线网络通讯数据:
安全级别:★★★★★
缺点:配置比较麻烦,但是这个方法安全性非常高,除了员工不小心泄露了WPA加密密钥造成非法人员连接外正常情况下此方法万无一失。
(5)MAC地址过滤:(如图2)
安全级别:★★★★
缺点:伪造MAC地址成为破解该方法的突破口,另外烦琐的添加MAC地址过滤信息工作为网络管理员增加了工作量。
在实际维护和使用无线网络过程中,如果我们对无线网络安全要求比较高那么就应该采取上面多个方法结合的办法,单独的某一种方法都存在着“软肋”,理论上讲最安全的办法就是通过WPA加密无线网络通讯数据再结合MAC地址过滤,这样可以避免员工不小心泄露了WPA加密密钥造成非法人员连接,也可以阻止伪造MAC地址的虚假连接。
小提示:
如果无法配置WPA加密的话我们用WEP加密来替代也是没有任何问题的,这种安全措施的组合拳一样非常有效。