“无线一族”的家族成员在日益壮大,无线网络的安全关注度也在提高。可以说,无线比有线网络保护难度更大,因为有线网络的固定物理访问点数量有限,而无线网络中信号可以说无限。因此各大品牌厂商把精力花费在无线路由器的配置设计方面,如增加了密钥、禁止SSID广播等手段,但这些安全设置能否有效?今天就以支持 IEEE 802.11g标准的无线设备为例,通过实测的方式,带领大家将疑问剖析。
设置网络密钥
无线加密协议(WEP)是对无线网络中传输的数据进行加密的一种标准方法。现在大多数的无线设备只具备WEP加密,更为安全的WPA加密还未被广泛使用。
目前,无线路由器或AP的密钥类型一般有两种。例如,所使用的无线路由器便有64位和128位的加密类型,分别输入10个或26个字符串作为加密密码。
在这里要提醒各位,许多无线路由器或AP在出厂时,数据传输加密功能是关闭的,如果你拿来就用而不作进一步设置的话,那么你的无线网络就成为了一个“不设防”的摆设。因此,为你的无线网络进行加密设置是极为重要的。
测试结果:选用了64位加密方式,实测中,通过Network Stumbler等软件发现了无线网络的存在,但由于无法获取密码,不能使用该无线网络。
禁用SSID广播
通俗地说,SSID便是你给自己的无线网络所取的名字。需要注意的是,同一生产商推出的无线路由器或AP都使用了相同的SSID,一旦那些企图非法连接的攻击者利用通用的初始化字符串来连接无线网络,就极易建立起一条非法的连接,从而给我们的无线网络带来威胁。因此,建议你最好能够将SSID命名为一些较有个性的名字。
无线路由器一般都会提供“允许SSID广播”功能。如果你不想让自己的无线网络被别人通过SSID名称搜索到,那么最好“禁止SSID广播”。你的无线网络仍然可以使用,只是不会出现在其他人所搜索到的可用网络列表中。
小提示:通过禁止SSID广播设置后,无线网络的效率会受到一定的影响,但以此换取安全性的提高,认为还是值得的。
测试结果:由于没有进行SSID广播,该无线网络被无线网卡忽略了,尤其是在使用Windows XP管理无线网络时,达到了“掩人耳目”的目的。
禁用DHCP
DHCP功能可在无线局域网内自动为每台电脑分配IP地址,不需要用户设置IP地址、子网掩码以及其他所需要的TCP/IP参数。如果启用了DHCP功能,那么别人就能很容易地使用你的无线网络。因此,禁用DHCP功能对无线网络而言很有必要。
在无线路由器的“DHCP服务器”设置项下将DHCP服务器设定为“不启用”即可。
测试结果:由于无法获得IP地址和DNB服务器信息,既使能找到该无线网络信号,仍然不能使用网络。
无论公司的政策是否允许使用无线802.11技术,长期保护无线网络防止受到侵扰或非法接入都是非常必要的。
除了企业级的无线接入点,廉价的即插即用消费级设备的应用也越来越多。由于终端用户将这些设备加入企业有线局域网中,安全性遭到了破坏,因此企业网络越来越容易受到攻击。
非法接入点通常不是由黑客或怀有恶意的员工设置的,通常情况下它是在IT部门不知情的情况下由员工无意之中安装的一个接入点。一旦在网络上建立了一个接入点,黑客就可以通过使用这一非法接入点轻松地访问您的企业网络。因此,无线网络接入点的检测就成为很多企业的一项重要工作。
虽然您可以经常使用一台检测设备绕着您所在的建筑进行检测来识别非法接入点,但这非常乏味且耗时。从您的有线网络搜索无线接入点将会更快速更简便。
使用OptiView集成式网络分析仪,简单地将它连接至网络中,从有线网络进行高级的主动搜索就可以查找到连接在广播域中的所有设备,如果用户输入了广播域外的地址范围,它还可以搜索到广播域外的设备。搜索过程自动通过互相连接的路由器、交换机、服务器、打印机和主机将设备分类。
如果您部署了合法的无线网络接入点且它们是SNMP使能的,OptiView将会搜索到它们,并可以让您深入查看详细信息。只需简单地点击您所感兴趣的接入点,然后点 Host Detail(主机详情)按钮即可。
使用所选择的接入点的SNMP分析功能,可以提供图形化的接入点利用率和错误率视图。
在查看用户AP接入时,如果您的终端用户在网络上安装了一个接入点,它不是SNMP使能的,我们如何从有线网络来定位它呢?
通常情况下您可能会查看在网络上不常见的MAC地址。例如,D-Link、Netgear、LinkSys、Belkin及其它所有廉价接入点提供商的 MAC 地址前缀的所有主机。
让我们来看看主动搜索功能发现了什么。搜索的窗口可以根据DNS名称、IP地址或 MAC 地址存储。只需轻触 MAC地址标题就可以自动对地址进行排序,我们还可以简便地向下滚动窗口来发现您网络上没有使用的不常见的 MAC 地址前缀。在该示例中,我们可以看到一台 LinkSys 设备。由于它不是 SNMP 使能的,尽管搜索将这台设备视为主机,但还是很难确定它究竟是集线器还是无线网接入点。
现在我们需要知道这台设备的物理位置。如何来发现它呢?使用OptiView,只需简单地点一下感兴趣的设备,然后选择HostDetail(主机详情)按钮即可。此时分析仪将会转到工具菜单,您可以从中发现一个被称做“Trace SwitchRoute”(交换机路由追踪)的独特功能。
当我们选择TraceSwitchRoute标签时,OptiView 将在源设备和目标设备之间自动确定第二层交换路径。在该示例中,它是从 OptiView 分析仪到受到怀疑的非法接入点。显示的信息告诉我们存在问题的设备连接在名称为TAC_C_Pod 交换机的端口2 上。选择有问题的交换机,点击 Host Detail(主机详情)按钮,OptiView 就可以自动访问所选择的交换机。
分析仪显示交换机端口和所连接的设备。由于有多个设备连接在交换机端口上,因此可以合理地假设在交换机端口上连接了一个HUB或接入点。我们如何来确定是非法接入点还是HUB 呢?有两种选择:1)到交换机那里,断掉端口2;2)简单地点击 OptiView 上的链路或加载菜单,加载交换机上的 WEB 或 TELNET 对话,远程地关掉端口。现在,网络是安全的了,节省了搜寻非法接入点的时间。
(注本文转自暴发爷的家园博客 作者暴发爷)
【编辑推荐】
