电脑技术学习

WLAN无线网络的三大风险和攻防技巧

dn001

对许多个人的WLAN来说,使用WPA-PSK就可提供足够的安全保护了,不过所使用的密码必需足够长并且是没有什么具体含义的,不要使用数字,或者来自字典中的单词,因为如同cowpatty之类的程序已经可完成对WPA-PSK的基于字典的攻击。许多安全方面的专家推荐使用128bit的PSK,现在的许多WPA设备都支持字母与数字的PSK,也就是说,只需要16个字符就可达到专家的要求。

在因特网上有许多的密码产生器,我们可以通过Google来快速搜索到。例如在http://www.elfqrin.com/pwgen.html这个页面中,有诸如小写字母、大写字母、数字、空格与定制这些的组合来产生密码,甚至还可估计出要破解产生的这些密码大致需要多长的时间。

对策8:增加身份验证

面对各种新兴的网络攻击,管理员应该在网络中使用身份验证。身份验证通过要求一台客户端计算机“注册”到网络中来增加另外一层次上的安全措施。一般来说,这个“注册”过程包含被身份验证服务器处理的证书、标记和手动输入的密码(也叫做Pre-Shared-Key)组成。802.1x通过WEP、WPA和WPA2提供存取控制构架的使用,并且支持进行真实身份验证的几种EAP(Extensible Authentication Protocol)类型,George Ou’s关于Authentication Protocols的文章有大量的关于EPA、WPA和WPA2方面的内容。

对专业的网络人员来说配置身份验证是一项繁琐和费时的任务,更不用说家庭网络的使用人员了。举个例子来说,今年在旧金山举行的RSA大会上,各位与会者根本不必要操心去设置他们的无线连接,因为整页的说明书都是要求他们必须按照规定去做的。幸运的是,现在这种现象有所好转,现在有许多比较容易实现的产品可供选择了,LucidLink的2005年底提供一种名为“free fully-functional version”产品,对不超过三个用户,它支持无线安全和身份验证设置。Wireless Security Corporation(最近被McAfee收购)公司的WSC Guard也是一款相类似的产品。这是一款需要预订的产品,大量购买的话大概每用户每月的费用是从4.95美元开始的。从http://www.wirelesssecuritycorp.com/wsc/public/WirelessGuard.do可下载到30天的试用版本。

对有更多经验的网络人员来说另一个好的选择是TinyPEAP,它添加了一个小的支持基于PEAP身份验证的RADIUS服务到LinKsys WRT54G和GS无线路由器中,注意由于LinKsys并没有正式地支持这个固件,因此在安装TinyPEAP时出现了问题可是要自己负责的。

4、破解方面的专业老手

到现在为止,我们对无线入侵者采取的封锁措施已算是比较严密的了,如果在有线的以太网中则是相当于把他们的端口给封住了,但不管你做得有多好,防范得有多严密,总有一些破解方面的老手能穿透你无线网络的所有防御措施。那现在我们应该做些什么呢?现在有许多有线或无线网络的入侵检测和保护的产品可用,不过它们一般是定位于企业应用软件,因此是要收费的;不过也有一些开源的产品,但对网络初学者来说它们的用户界面都不是很友好,这方面最广泛使用的就是Snort了。

面对网络上层出不穷的各种攻击手段与破解技术,管理员和安全人员与他们进行的是一项“攻击与反攻击”、“破解与反破解”的长期斗争。但总的来说,如下介绍的方法不失为网络安全建设方面的基本技术。

标签: 无线网