电脑技术学习

保障SOHO级WLAN安全的四种武器

dn001

  不要以为SOHO级WLAN设备在价格上让利,就会在安全上打折扣。其实,SOHO一族在家办公与企业员工在写字楼中办公一样需要安全保障,部分用户对安全的寻求相比公共热点甚至有过之而无不及。实际上,这类家用型WLAN设备在设计之初,即对设备或网络资源的安全防护进行了充分考虑,这样就可以保证用户在使用得当的情况下,将恶意入侵者拒之于门外。那么,在具体应用时,如何才能让用户高枕无忧?总的来说,SOHO级WLAN设备具有如下四种安全防护措施。
  
  无线网络隐藏
  将无线网络隐藏,如限制SSID广播、发射功率可调等。所谓限制SSID广播,是将SOHO网络让其他非法用户不可见。因为在WLAN中,有一个非凡的SSID“any”,即当用户在无线网卡终端配置SSID时,用户可以接入周边性能最好的AP或无线路由器中,除非用户在进行接入点使用前将“any”访问功能禁止。另外,目前很多网卡均具有接入点扫描功能,能够查看所有四周可用的接入网络。假如SOHO用户不禁止其WLAN的SSID广播(一般默认为开放SSID广播),就为其邻居或其他潜在黑客留了一道入侵之门。因此,在进行AP或无线路由器配置时,非凡需要将默认开启的SSID广播去除,禁止用户通过“any”的SSID标记访问。
  
  在设备的设置上,用户也要对家庭环境、使用区域进行合理布局和发射功率的调整。这样,一方面可以合理控制射频信号的强度,另一方面可以合理控制无线信号涉及的广度,降低安全风险。
  
  用户区别对待
  列黑白名单将用户区别对待,如MAC地址过滤、IP地址过滤等。黑白名单,即对用户进行合理标记。黑名单是对可能的非法用户列表,并输入到设备中,配置设备假如接入用户出现的列表中,将禁止该用户进行网络访问,并中断用户接入;对于其他非列表用户,则假定为安全用户,答应用户进行网络访问。而白名单是对所有的授权用户列表配置到设备中,假如检测到接入用户为列表中用户,则答应通过。同样,我们也可以在第三层对用户端的IP地址进行类似的处理,把好网络接入的第一道关。
  
  传输加密
  使用密码进行更隐蔽的沟通,如WEP加密等。WEP要求AP与终端之间同时开启,而且利用AP接入的用户要与该AP具有相同的WEP加密密码。用户可以设置AP和客户端采用WEP加密的方式,进行WEP加密方式的接入认证并且加密无线链路上的数据传输。不知道密钥的非法用户仅能通过穷举法进行破译,需要数天的时间才能破译密钥,所以较安全的方法是定期更换密钥。其他诸如WPA技术以及AES高级加密技术等,可以根据SOHO办公环境的实际情况选择使用。例如,只是进行普通文件编辑等对安全性要求不高的应用时,只要WEP加密、MAC过滤、SSID广播限制即可。因为选择的安全方式越多,带给网络的负担越重,运行效率难免会降低。
  
  安全认证工作
  SOHO级WLAN一般都是通过运营商或ISP接入Internet,并通过PPPoE或Web页面登录认证的。所以安全认证工作很重要,不过这一般由运营商的AC设备与RADIUS Server配合来实现。SOHO一族在购买AP或无线路由器时,一定要清楚选择具备各种认证功能的设备。SOHO用户在运营商网络接入口AC处接受“授权认证”,由AC与RADIUS Server根据用户实际登记的用户名、口令以及对应的MAC地址、IP地址等属性进行认证,合法用户才能接入到Internet。这时,就要求SOHO级WLAN设备要具备PPPoE包的透传、Web认证页面的透传、Portal个性化页面的透传、802.1x包的透传等功能。
  
  此外,防火墙也是安全技术之一,在对安全要求高的SOHO网络中,可启用内置的防火墙功能,进行数据包过滤。