增进网路安全的方法.ppt

無 線 網 路 安 全 無線網路安全 發展簡介 攻擊類型 網路安全 AP安全防護 五戒 結論 發展簡介 無線網路包含 有無線電話網路(WAP) 短距離無線資料交換的802.15 802.11的無線網路 802.11 1997年，IEEE發佈802.11標準 1999年，802.11b、802.11a標準 電腦上，無線網路使用普及的 802.11b 802.11b 802.11b主要兩種通訊模式 簡易模式 以點對點的方式進行網路通訊連接 基礎建設模式 用一個存取點(AP)，當資料交換中心 橋接器，兩種不同實體的通訊層間連結 差異 有無中央伺服器 交換資訊的方法 簡易模式 基礎建設模式 攻擊類型 攻擊的分類方式 網路攻擊 主動式攻擊 檔案、通訊內容，進行偽造或修改 被動式攻擊 非法取得資訊資產的存取權限 未對竄改內容 主動式攻擊 偽裝(Masquerade) 重播(Replay) 訊息竄改(Message Modification) 服務拒絕(Denial of Service) 被動式攻擊 竊聽(Eavesdropping) 通訊分析(Traffic Analysis) 網路安全 修改預設設定 修改網路設計 相關管理措施 修改預設的設定 預設的密碼 Ex:空字串、admin、administrator等... Solve:至少八碼且夾特殊符號、避免用出生年月日或 英文姓名 預設的SNMP社群碼 Ex :public、private Solve:設定存取列表或關掉它 預設的SSID Ex:採取開放式系統認證、Cisco的“tsunami”、 D-Link的“Default” Solve:用封閉式系統、修改SSID 預設的通訊頻道 Ex:同一廠牌的出廠，可能會造成頻道衝突 　Solve:將頻道調開 修改網路設計 DHCP伺服器的使用 可自動取得IP位址.預設閘道器.網路名稱伺服器等, 連未授權的使用者也可連上 Slove:可用靜態IP,但會犠牲掉無線漫遊或AD hoc資源分享等 使用適當的加密技術 使用WEP加密技術,可能會有相容性.傳輸速率.加密功能限制等問題 Slove:定期更改密碼或測試其相容性及安全性 網路卡號管理 利用無線網路基地台設定某些卡號的連線,可阻檔未授權使用者使用 Problem:卡號可以偽造,利用sniffer找出可連線的卡號 防火牆區隔網段 將無線網路利用防火牆隔離成一個網路區段，對內部使用　　 　資源進行控管 802.1x 使用者認證 可以將無法通過認證的使用者隔絕於網路之外，使其無法　　　 　使用資源 補強802.11對使用者認證缺乏彈性，對於存取控制及個体身份確認提供可行的方案 但是必須使用雙向認證，不然容易被進行攔截攻擊 VPN的使用與認證 無線網路工作站(STA)需先與VPN閘道器進行身份確 認並進行加密連線 支援動態密碼及生物辨識技術 但是必須使用雙向認證，不然容易被進行攔截攻擊 相關管理措施 製定無線網路安全政策 授權無線網路的使用 確認無線網路的範圍 確認無線網路相關安全操作標準 確認無線網路管理權責 無線網路設備清查 無線網路基地台清查 防止未授權之人盜用網路資源 無線計算設備清查 PDA.NB等… 無線網路安全應變與稽核 無線網路安全應變機制 設備失竊或遺失及遭受入侵之處理方式 無線網路安全稽核 包括弱點掃描 AP安全防護 AP安全設定 AP發射功率範圍 合適的ＡＰ設置 尋找非法架設的ＡＰ 修補潛在的弱點 五戒 網路安全的五戒 不要破壞自己的防火牆 不要小看ＭＡＣ 不要忽略ＷＥＰ 禁止架設未經許可的無線基地台 拒絕筆記型電腦採取ad-hoc連線方式　 結論 無線基地台 修改基地台之設定 参考系統安全政策 調整網路設定組態 了解安全認證機制弱點 導入802.1X使用者認證機制 最重要的因素： 人 防範、教育並規範 安全政策+安全防護機制　 實例 網銀大盜：屋頂架設高強波器，行竊網路銀行 終 * * 資訊三乙 洪婉菁 資訊三乙 翁照閔 資訊三乙 鍾家豪