登录 / 注册
IT168网络通信频道
IT168首页 > 网络通信 > 网络通信评论 > 正文

让黑客无路可走 保护WiFi网络的5种方法

2017-09-27 10:03    it168网站原创  作者: 邹铮翻译 编辑: 闫志坤

    【IT168 评论】WiFi是黑客可进入企业网络的入口点,而不需要踏足企业建筑物内,毕竟无线网络比有线网络更加开放,这也意味着我们必须确保WiFi安全性。但WiFi的安全性并不只是涉及设置密码,下面让我们看看更好地保护WiFi网络的5种方法,让黑客无路可走:

  使用不显眼的网络名称(SSID)

  SSID是最基本的WiFi网络设置之一。虽然表面看网络名称似乎与安全无关,但它确实有影响。如果使用太常见的SSID,例如“无线”或者供应商的默认名称,这会使攻击者更容易破解个人模式的WPA或WPA2安全。这是因为加密算法包含SSID,攻击者使用的密码破解词典预先加载了常见和默认的SSID,因此使用这种SSDI只会让黑客的工作变得更容易。(稍后我们将会讨论,此漏洞并不适用于企业模式的WPA或WPA2安全,这是使用企业模式的众多好处之一)

保护WiFi网络的5种方法
▲CloudTrax  

  聪明地命名你的网络--应该是通用但不太常见的名称,并且不会透露位置。

  尽管将SSID命名为容易识别的信息很有意义,例如公司名称、地址或套件号码,但这可能不是一个好主意,特别是当网络位于共享建筑物或者靠近其他建筑物或网络时。如果黑客路过拥挤的区域,看到十几个不同的WiFi网络,他们可能会将目标定位最容易识别的WiFi,这可帮助他们了从中获得什么。

  你也可以关闭SSID广播,使你的网络名称不可见,但并不建议这样做。如果这样做的话,用户必须手动输入SSID,这可能会引发用户的负面情绪,这超过其带来的安全优势。并且,攻击者通过正确的工具仍然可通过嗅探其他网络流量来捕获SSID。

  物理安全防止篡改

  无线安全并不完全是关于花哨的技术和协议。你可能部署了最好的加密,仍然容易受到攻击。物理安全就是这种漏洞之一,锁好配线柜的门可能并不够。

  大多数接入点(AP)都有重置按钮,别人可通过按它来恢复出厂默认设置、删除WiFi安全,并允许任何人连接。因此你必须确保分布在各地AP的物理安全以防止篡改。请确保它们安装在无法触及的位置,并要求AP供应商提供的锁定机制来防止黑客对AP按钮和端口的访问。

保护WiFi网络的5种方法
▲Cisco接入点重置按钮示例

  与WiFI相关的另一个物理安全问题是有人添加未经授权AP到网络,通常被称为“流氓AP”。这可很容易实现,例如当员工想要更多WiFi覆盖范围时。为了帮助阻止这些类型的流氓AP,请确保禁用任何未使用的以太网端口(例如墙壁端口或松散的以太网运行)。你可物理移除端口或线缆,或者禁用路由器交换机插座或线缆的连接。如果你真的想要加强安全性,启用有线端的802.1X身份验证--如果你的路由器交换机支持的话,这样任何插入到以太网端口的设备都需要输入登录凭证才能获得网络访问权限。

  使用802.1X身份验证的企业WPA2

  你可部署的最有效的WiFi安全机制之一是部署企业模式的WiFi安全,因为它可分别验证每个用户:每个人都有自己的WiFi用户名和密码。因此,当笔记本电脑或移动设备丢失或被盗时,或者员工离开公司时,你所要做的是更改或撤销该用户的登录。(相比之下,在个人模式下,所有用户共享相同的WiFi密码,当设备丢失或者员工离职时,你必须更改每台设备的密码,这是一个巨大的麻烦)

保护WiFi网络的5种方法
▲Microsoft  

  对于企业模式WiFI安全,用户需要输入独特的用户名和密码来连接。

  企业模式的另一大优点是每个用户都分配有自己的加密密钥,这意味着用户只能解密自己连接的数据流量--无法监听任何其他人的无线流量。

  如果你想要你的AP变成企业模式,你首先需要设置RADIUS服务器。这可启用用户身份验证,并连接到或包含数据库或目录(例如Active Directory)--其中包含所有用户的用户名和密码。

  尽管你可部署独立的RADIUS服务器,但你首先应该检查其他已经提供该功能的服务器(例如Windows Server)。如果没有的话,请考虑基于云或者托管RADIUS服务。还要记住的是,有些无线接入点或控制器提供基本的内置RADIUS服务器,但其性能限制和有限的功能使其仅对较小的网络有用。

保护WiFi网络的5种方法
▲CloudTrax 如何通过RADIUS服务器的IP、端口和密码配置AP的示例。

  保护802.1X客户端设置

  与其他安全技术一样,企业模式的WiFi安全也存在一些漏洞。其中一个是中间人攻击,攻击者坐在机场或咖啡厅,甚至坐在公司办公室的停车场。攻击者可通过制造假冒的WiFi网络,使用与其试图攻击的网络相同或者相似的SSID;当你的笔记本或设备尝试连接时,虚假的RADIUS服务器会捕获你的登录凭证。然后攻击者可利用你的登录凭证连接到真正的WiFi网络。

  为了阻止这种中间人攻击,其中一种方法是利用客户端的服务器验证。当无线客户端启用服务器验证时,客户端不会将你的WiFi登录凭证传递到RADIUS服务器,除非其验证其在于合法服务器通信。当然,你对客户端可执行的服务器验证功能和要求取决于客户端的设备或操作系统

  例如在Windows中,你可输入合法服务器的域名,选择发布该服务器证书的证书颁发机构,然后选择不允许任何新的服务器或证书颁发机构。当有人设置假的WiFi网络和RADIUS服务器,并尝试登录时,Windows将会阻止连接。

保护WiFi网络的5种方法
▲Microsoft

  当配置WiFi连接的EAP设置时,你会在Windows中看到802.1X服务器验证功能。

  利用流氓AP检测或无线入侵防护

  我们已经谈论了三种易受攻击接入点情况:攻击者设置假的WiFi网络和RADIUS服务器;攻击者可重置AP到出厂默认设置;第三种情况是攻击者可能会插入自己的AP。

  如果没有部署适当的保护,这些未经授权AP可能会在长时间内不被IT人员检测。因此,你应该启用AP或无线控制器供应商提供的任何类型的流氓检测。确切的检测方法和功能会有所不同,但大多数检测至少可定期扫描无线电波,并在授权AP范围内检测到新AP时向你发送警报。

保护WiFi网络的5种方法
▲Cisco简单流氓AP检测示例,你可看到该区域其他AP列表。

  对于更多检测功能,有些AP供应商提供完整无线入侵检测系统(WIDS)或入侵保护系统(WIPS),可检测各种无线攻击以及可疑活动。这些包括错误的取消身份验证请求、错误关联请求和MAC地址欺骗。

  此外,如果它是真正提供保护的WIPS而不是仅提供检测功能的WIDS,它应该可采取自动措施,例如解除或阻止可疑无线客户端来保护受到攻击的网络。

  如果你的AP供应商不提供内置流氓AP检测或WIPS功能,则考虑使用第三方解决方案。你可能会看到可监控WiFi性能及安全问题的基于传感器的解决方案,例如7SIGNAL、Cape Networks和NetBeez等公司的产品。

标签: WiFi
相关文章
  • IT168企业级IT168企业级
  • IT168文库IT168文库

扫码送文库金币

实时热点
编辑推荐
系统架构师大会
系统架构师大会
点击或扫描关注
IT168企业级微信关注送礼
IT168企业级微信关注送礼
扫描关注
首页 评论 返回顶部