无线网络应用中安全管理的几点建议

• 关 键 词：
• tcp/ip
• 无线接入点
• tftp
• snmp
• ip地址

    使用无线加密协议

　　无线加密协议(WEP)是无线网络上信息加密的一种标准方法，它可以对每一个企图访问无线网络的人的身份进行识别，同时对网络传输内容进行加密。许多无线设备厂商为了使产品安装简单易行，都把他们产品的出厂配置设置成禁止WEP模式，这样做最大的弊端是数据可以被直接从无线网络上读取，因此黑客从你的无线网络建成开始就能立即扫描该无线网络上的各类信息。使用无线加密协议尽管不是完美的方法，但如果能够正确使用WEP的全部功能，那么WEP仍提供了在一定程度上比较合理的安全措施，对阻止黑客仍然有一定效用。

　　(注：在目前建议使用WPA等新一些的加密协议，WEP密钥的破解已经非常成熟，通常破解一个正在使用中的无线网的WEP密钥2个小时就可以实现，成功率是100%，而破解WPA则需要很长的时间和复杂的配置，成功率也低一些。)

　　关闭网络线路

　　无线网络和有线网络的一个最大的区别在于：无线网络可以从天线允许范围内的任意一点接入，而有线网络只有限定的若干固定的接入点。保障无线网络的安全比保障有线网络的安全要困难得多。保证无线接入点安全的关键是禁止非授权用户访问网络，即安全的接入点对非授权用户是关闭的。

　　设计天线的放置位置

　　使无线接入点保持封闭的第一步是正确放置天线，从而限制能够到达天线有效范围的信号量。天线的理想位置是目标覆盖区域的中心，并使泄露到墙外的信号尽可能的少。不过，完全控制无线信号是几乎不可能的，所以还需要同时采取其它一些措施来保证网络安全。

　　禁用动态主机配置协议

　　无线网络使用这个策略后，将迫使黑客去破解目标的IP地址，子网掩码，和其它必需的TCP/IP参数。因为即使黑客可以使用你的无线接入点，他还必需要知道你的IP地址。

　　禁用或修改SNMP设置

　　如果你的无线接入点支持SNMP(简单网络管理协议), 那么你需要禁用它或者修改默认的公共和私有的标识符。不这么做的话，黑客将可以利用SNMP获取关于你网络的重要信息。

　　尽量使用访问列表

　　设置一个访问列表可以更好地保护你的网络。如果你能够这样做的话，你就可以使无线路由器只允许部分MAC地址的网络设备进行通讯，或者禁止那些黑名单中的MAC地址访问。启用MAC地址过滤，无线路由器获取数据包后，就会对数据包进行分析。如果此数据包是从所禁止的MAC地址列表中发送而来的，那么无线路由器就会丢弃此数据包，不进行任何处理。因此对于恶意的主机，即使不断改变IP地址也没有用。但是，不是所有的无线接入点都支持这一功能，而且它必须手动输入MAC地址过滤标准。支持这项功能的接入点可以利用TFTP(简单文件传输协议)定期地来下载更新访问列表，从而避免了必须使所有设备上的列表保持同步的巨大的管理工作量。

　　改变服务集标识符并且禁止SSID广播

　　服务集标识符(SSID)是无线接入的身份标识符，是无线网络用于定位服务的一项功能，用户用它来建立与接入点之间的连接，为了能够进行通讯，无线路由器和主机必须使用相同的SSID。这个身份标识符是由通信设备制造商设置的，并且每个厂商都用自己的缺省值。例如，3COM的设备都用“101”。在通讯过程中，无线路由器首先广播其SSID，任何在此接收范围内的主机都可以获得SSID，使用此SSID值对自身进行配置后就可以和无线路由器进行通讯。知道这些标识符的黑客可以不经过授权就享受你的无线服务。尽管目前大部分无线路由器都已经支持禁用自动广播SSID功能，你仍需要给你的每个无线接入点设置一个唯一并且难以推测的SSID，同时尽可能禁止你的SSID向外广播。这样，你的无线网络就不能通过广播的方式来吸纳更多用户，这不是说你的网络不可用，只是它不会出现在可使用网络的名单中。