無(wú)線(xiàn)網(wǎng)絡(luò )安全十要訣

與傳統的有線(xiàn)網(wǎng)絡(luò )相比較，從安全的角度來(lái)看，無(wú)線(xiàn)網(wǎng)絡(luò )帶來(lái)了非?？膳碌暮蠊?mdash;—嶄新的截然不同的攻擊方式。當然，這并不意味著(zhù)無(wú)線(xiàn)網(wǎng)絡(luò )就等于不安全，本文的目的是幫助你了解改善無(wú)線(xiàn)網(wǎng)絡(luò )安全的方法和途徑。文中的許多要訣對于大部分用戶(hù)來(lái)說(shuō)可能是不適合的。舉例來(lái)說(shuō)，如果你的無(wú)線(xiàn)網(wǎng)絡(luò )中有不斷變化的大量終端的話(huà)，采用介質(zhì)訪(fǎng)問(wèn)控制(MAC)地址限制進(jìn)入的措施就是不可能實(shí)現的。和通常的情況一樣，你必須確定什么樣的措施適合應用到自己的網(wǎng)絡(luò )上，以防止因為錯誤設置導致網(wǎng)絡(luò )崩潰情況的出現。

　　要訣一：采用強力的密碼。一個(gè)足夠強大的密碼可以讓暴力破解成為不可能實(shí)現的情況。相反的，如果密碼強度不夠，幾乎可以肯定會(huì )讓你的系統受到損害。

　　要訣二：嚴禁廣播服務(wù)集合標識符(SSID)。如果不能對服務(wù)集合標識符也就是你給無(wú)線(xiàn)網(wǎng)絡(luò )的命名進(jìn)行保護的話(huà)，會(huì )帶來(lái)嚴重的安全隱患。對無(wú)線(xiàn)路由器進(jìn)行配置，禁止服務(wù)集合標識符的廣播，盡管不能帶來(lái)真正的安全，但至少可以減輕受到的威脅，因為很多初級的惡意攻擊都是采用掃描的方式尋找那些有漏洞的系統。隱藏了服務(wù)集合標識符，這種可能就大大降低了。大多數商業(yè)級路由器/防火墻設備都提供相關(guān)的功能設置。

　　要訣三：采用有效的無(wú)線(xiàn)加密方式。動(dòng)態(tài)有線(xiàn)等效保密(WEP)并不是效果很好的加密方式。只要使用象aircrack一樣免費工具，就可以在短短的幾分鐘里找出動(dòng)態(tài)有線(xiàn)等效保密模式加密過(guò)的無(wú)線(xiàn)網(wǎng)絡(luò )中的漏洞。無(wú)線(xiàn)網(wǎng)絡(luò )保護訪(fǎng)問(wèn)(WPA)是目前通用的加密標準，你很可能已經(jīng)使用了。當然，如果有可能的話(huà)，你應該選擇使用一些更強大有效的方式。畢竟，加密和解密的斗爭是無(wú)時(shí)無(wú)刻不在進(jìn)行的。

　　要訣四：可能的話(huà)，采用不同類(lèi)型的加密。不要僅僅依靠無(wú)線(xiàn)加密手段來(lái)保證無(wú)線(xiàn)網(wǎng)絡(luò )的整體安全。不同類(lèi)型的加密可以在系統層面上提高安全的可靠性。舉例來(lái)說(shuō)，OpenSSH就是一個(gè)不錯的選擇，可以為在同一網(wǎng)絡(luò )內的系統提供安全通訊，即使需要經(jīng)過(guò)因特網(wǎng)也沒(méi)有問(wèn)題。采用加密技術(shù)來(lái)保護無(wú)線(xiàn)網(wǎng)絡(luò )中的所有通訊數據不被竊取是非常重要的，就象采用了SSL加密技術(shù)的電子商務(wù)網(wǎng)站一樣。實(shí)際上，如果沒(méi)有確實(shí)必要的話(huà)，盡量不要更換加密方式。

　　要訣五：對介質(zhì)訪(fǎng)問(wèn)控制(MAC)地址進(jìn)行控制。很多人會(huì )告訴你，介質(zhì)訪(fǎng)問(wèn)控制(MAC)地址的限制不會(huì )提供真正的保護。但是，象隱藏無(wú)線(xiàn)網(wǎng)絡(luò )的服務(wù)集合標識符、限制介質(zhì)訪(fǎng)問(wèn)控制(MAC)地址對網(wǎng)絡(luò )的訪(fǎng)問(wèn)，是可以確保網(wǎng)絡(luò )不會(huì )被初級的惡意攻擊者騷擾的。對于整個(gè)系統來(lái)說(shuō)，針對從專(zhuān)家到新手的各種攻擊進(jìn)行全面防護，以保證系統安全的無(wú)懈可擊是非常重要的。

　　要訣六：在網(wǎng)絡(luò )不使用的時(shí)間，將其關(guān)閉。這個(gè)建議的采用與否，取決于網(wǎng)絡(luò )的具體情況。如果你并不是需要一天二十四小時(shí)每周七天都使用網(wǎng)絡(luò )，那就可以采用這個(gè)措施。畢竟，在網(wǎng)絡(luò )關(guān)閉的時(shí)間，安全性是最高的，沒(méi)人能夠連接不存在的網(wǎng)絡(luò )。

　　要訣七：關(guān)閉無(wú)線(xiàn)網(wǎng)絡(luò )接口。如果你使用筆記本電腦之類(lèi)的移動(dòng)終端的話(huà)，應該將無(wú)線(xiàn)網(wǎng)絡(luò )接口在默認情況下給予關(guān)閉。只有確實(shí)需要連接到一個(gè)無(wú)線(xiàn)網(wǎng)絡(luò )的時(shí)間才打開(kāi)相關(guān)的功能。其余的時(shí)間，關(guān)閉的無(wú)線(xiàn)網(wǎng)絡(luò )接口讓你不會(huì )成為惡意攻擊的目標。

　　要訣八：對網(wǎng)絡(luò )入侵者進(jìn)行監控。對于網(wǎng)絡(luò )安全的狀況，必須保持全面關(guān)注。你需要對攻擊的發(fā)展趨勢進(jìn)行跟蹤，了解惡意工具是怎么連接到網(wǎng)絡(luò )上的，怎么做可以提供更好的安全保護。你還需要對日志里掃描和訪(fǎng)問(wèn)的企圖等相關(guān)信息進(jìn)行分析，找出其中有用的部分，并且確保在真正的異常情況出現的時(shí)間可以給予及時(shí)的通知。畢竟，眾所周知最危險的時(shí)間就是事情進(jìn)行到一半的時(shí)間。

　　要訣九：確保核心的安全。在你離開(kāi)的時(shí)間，務(wù)必確保無(wú)線(xiàn)路由器或連接到無(wú)線(xiàn)網(wǎng)絡(luò )上正在使用的筆記本電腦上運行了有效的防火墻。還要注意的是，請務(wù)必關(guān)閉不必要的服務(wù)，特別是在微軟Windows操作系統下不需要的服務(wù)，因為在默認情況下它們活動(dòng)的后果可能會(huì )出乎意料。實(shí)際上，你要做的是盡一切可能確保整個(gè)系統的安全。

　　要訣十：不要在無(wú)效的安全措施上浪費時(shí)間。我經(jīng)常遇到一些不太了解技術(shù)的用戶(hù)對安全措施的疑問(wèn)，他們被有關(guān)安全的免費咨詢(xún)所困擾。一般來(lái)說(shuō)，這方面的咨詢(xún)，不僅只是無(wú)用的，而且往往是徹頭徹尾有害的。我們最經(jīng)?？吹降挠泻Φ慕ㄗh就是，在類(lèi)似咖啡館的公共無(wú)線(xiàn)網(wǎng)絡(luò )環(huán)境中進(jìn)行連接的時(shí)間，你應該只選擇采用無(wú)線(xiàn)加密的連接。有時(shí)，人們對建議往往就理解一半，結果就成為了你應該只連接到帶無(wú)線(xiàn)網(wǎng)絡(luò )保護訪(fǎng)問(wèn)模式(WPA)保護的無(wú)線(xiàn)網(wǎng)絡(luò )上。實(shí)際上，使用了加密功能的公共接入點(diǎn)并不會(huì )給你帶來(lái)額外的安全，因為，網(wǎng)絡(luò )會(huì )向任何發(fā)出申請的終端發(fā)送密鑰。這就象把房子的門(mén)給鎖了起來(lái)，但是在門(mén)上寫(xiě)著(zhù)“鑰匙在歡迎的墊子下面”。如果你希望將無(wú)線(xiàn)網(wǎng)絡(luò )提供給大家，任何人都可以隨便訪(fǎng)問(wèn)，加密是不需要。實(shí)際上對無(wú)線(xiàn)網(wǎng)絡(luò )來(lái)說(shuō)，加密更象是一種威懾。只有使用特定的無(wú)線(xiàn)網(wǎng)絡(luò )，才會(huì )在降低方便性的情況下，提高安全性。

　　對于無(wú)線(xiàn)網(wǎng)絡(luò )安全來(lái)說(shuō)，大部分的要訣可以說(shuō)就是“普通常識” 。但可怕的是，“普通常識” 是如此之多，以至于不能在同時(shí)給予全面考慮。因此，你應該經(jīng)常對無(wú)線(xiàn)網(wǎng)絡(luò )和移動(dòng)電腦進(jìn)行檢查，以保證沒(méi)有漏掉一些重要的部分，并且確保關(guān)注的是有效的而不是不必要甚至是完全無(wú)效的安全措施。

發(fā)布者：小宇