现在的无线网络协议、功能和安全工具已经能够提供更好的安全保护。为了防止黑客入侵无线局域网,首先必须加强用户认证,控制进入网络的资格;其次是注重保护以无线方式发送的信息,对数据进行加密传输。具体建议如下。
1.正确放置网络接入点设备的位置
在网络配置中,要确保无线接入点放置在防火墙保护范围之外。
2.使用MAC地址阻止黑客入侵
利用基于MAC地址的访问控制表ACL,只允许经过注册的设备进入网络。MAC地址过滤就如同给系统的前门再加一把锁。设置的障碍越多,黑客入侵的难度就越大。
3.加强对无线网络ID的管理
所有无线局域网都有一个默认的服务标识符SSID或网络名。将其更改为用文字和数字符号表示。如果企业具有网络管理能力,应该定期更改SSID。不要到处使用SSID,取消SSID自动播放功能。
4.正确认识和使用WEP协议
WEP是802.11b无线局域网的标准网络安全协议。在传输信息时,WEP可以通过对无线传输的数据进行加密,提供类似有线传输的数据保护。在安装和启动WEP之后,应立即更改其密钥的默认值。理想的方式是WEP的密钥能够在用户登录后进行动态改变,这样,黑客企图截获无线网络的数据,就需要不断跟踪这种变化。同时应该看到,WEP协议的功能虽然很强,也不是万能的。不能将无线数据传输的加密保障全部依赖于WEP协议。 WEP只是多层网络安全措施中的一层。
5.使用虚拟专用网(VPN)技术加强无线网络安全
除了使用无线网络自身提供的技术保护通信安全外,使用虚拟局域网VPN技术是进一步加强无线网络安全的关键。VPN具有比WEP协议更高层的网络安全性,能够支持用户和网络之间端到端的安全隧道连接。
6.集成无线网络和有线网络的用户管理策略
无线网络的安全需要依靠不同的协议和软件实现,它不应该是单独的体系结构。将有线网络和无线网络的安全策略相互结合,可以减少管理的复杂性,提高管理水平,降低管理成本。因此,不论用户是通过有线方式还是无线方式进入网络,最好采用集成化的单一用户标识和密码。例如,一些机构已经通过远程用户拔号认证服务RADIUS实现了网络登录认证。建议这些机构的网络管理员将无线局域网集成到已经存在的RADIUS服务体系中强化对用户的管理。这样不仅能实现对无线网络用户登录系统的认证,还能够使无线用户与远程用户使用同样的认证方法和账户。
7.注意WLAN设备之间的区别
虽然802.11b是一个标准的WLAN协议,所有获得Wi-Fi认证标志的设备都可以相互进行基本的通信,但这不等于所有这样的无线设备都完全对等。Wi-Fi认证仅能够保证设备间的互操作能力,但许多生产厂家的设备并没有包括增强的网络安全功能。
8.构建无线网络不能依靠非专业人员
现在无线局域网的构建已经相当容易,甚至非专业人员自己就可以在办公室安装无线路由器和无线接入点设备,但是在安装过程中很少考虑到网络的安全性,黑客很容易使用网络探测工具,通过扫描网络攻入并留下后门。建议无线网络的构建要有专业网络管理员参与,不能依靠非专业人员进行,这样才能保证安全。