保护企业无线网络的八大要点.docVIP

保护企业无线网络的八大要点 我们着迷于无线网络提供的方便，却往往忽视了它带来的风险。许多路由器存在众多的安全漏洞，结果你的数据暴露在野心勃勃的黑客及其他入侵者面前。而如果你开办一家公司，面临的危险还要大。为了让你的无线网络保持安全，不妨遵守下面这8项安全要点。 1. 更改默认密码 如果你在设置路由器后没有更改默认密码，就赶紧更改默认密码。所有网络设备生产厂商的默认密码已众所周知，只要上网搜索一下，就能找到。想详细了解无线网络设置，请参阅/wifisetup。 2. 只使用WPA2加密 无线信号具有单向性，这势必需要使用加密技术，防止邻居或不怀好意的人窥视你在网上的活动。尽管仍有WEP加密这个选项（为了支持遗留系统），但还是要避免使用，因为它可以在短短几分钟内被破解，应使用WPA2。WPA2采用了一种新的、基于先进加密标准（AES）的加密技术，较之WPA提高了安全性。其实没有理由不使用WPA2：如今，印有无线商标的每台无线路由器都支持WPA2，而过去几年生产的每一台无线设备和无线适配卡也同样支持WPA2。 3. 使用复杂口令短语 尽管WPA2没有已知的安全漏洞，但如果结合容易猜中的口令短语使用，仍然很容易遭到蛮力攻击。只要使用专门的软件，攻击者可以对照庞大的词典列表，轻而易举地处理捕获的无线数据包，就能找到匹配的口令短语。为了挫败此类攻击，应该使用含有至少25个字符的口令短语，这些字符包括混合使用的字母（大小写）、数字和符号。 4. 避免常见的SSID名称 一个平常的要点就是，别广播你无线网络的服务集标识符（SSID）。虽然隐藏SSID可以用来阻挠菜鸟企图闯入网络的行为，但面对稍微在行的黑客，这招毫无用处。 不过，不使用默认SSID或任何常见名称（/ssidnames），却是个好做法。由于黑客们已制作了预先计算好的密码散列表（又叫彩虹表），以便迅速找到WPA口令短语。这种表对应于一个个SSID，所以使用不在这种表或列表上的SSID可以迫使攻击者采用一种更费时的方法，无法享用随时可以使用的彩虹表带来的好处。 5. 禁用WPS 如果你的无线路由器支持无线受保护设置（WPS），就禁用它。WPS个人识别号码（PIN）是打印在兼容WPS功能设备标签上的8位数，这是一种对用户友好的方法，它是为了让用户易于将新设备添加到网络上而设计的。不过，这可能容易遭到蛮力攻击，会不会中招要看厂商具体怎么实施WPS。 攻击者可以借助自动化手段，在4?10小时之内（/reaver）破解易受攻击的设备PIN密码，那样攻击者就可以找到你那秘密的口令短语，并对你的无线硬件进行改动。 6. 搭建无线网络 亲朋好友来访时，要是不允许他们访问你的无线网络，这不太好。不过要是将静态口令短语告诉每个人，安全性很差。而是应该另外搭建一个使用第二个SSID的无线网络，越来越多的无线路由器支持这项功能。如果你为访客另外搭建一个网络，就可以定期更改口令短语，又不影响你自己的设备。访客网络不用时，你甚至可以索性禁用它。 7. 别提MAC地址过滤了 介质访问控制（MAC）地址是一个独特的标识符，硬编码到一个个以太网端口和无线设备当中。不过，它的实际效果让人怀疑，因为欺骗MAC地址再容易不过了。 考虑到配置不当引起的那种不便和麻烦，除非你明确知道自己在做什么，否则我们还是建议别使用MAC地址过滤这招。非要手动添加你购置的每一部平板电脑或智能手机，这无疑会降低工作效率。 8. 不允许从无线网络获得管理员访问权 你也许无法将一个下定决心的黑客拒之门外，但更没必要让黑客轻松得逞。不允许从无线网络获得管理员访问权，可以防止任何得逞的黑客对你无线路由器的配置进行改动，因而造成进一步的破坏。很显然，这意味着如果想对你的无线路由器进行任何改动，必须从接入有线局域网的台式机或笔记本电脑来进行改动。不过为了更有效的保护，这么点麻烦是值得的。 本文所列的几个要点倒不是想完全涵盖无线网络可能存在的所有安全风险，但是遵守这8个要点应该有助于你大大提高安全性。不过最终，要是安全至关重要，坚持使用有线以太网也许是最稳妥的办法。