云安全产品配置与应用 产品配置与实践 无线基本安全规划.docxVIP

无线基本安全规划 【实验环境】 实验的基本网络图谱如 REF _Ref270664342 * MERGEFORMAT 图3.6.61所示。 图3.6.61 【实验内容】 组网安全设置 提高主机安全 无线基本安全规划 【实验原理】 首先，在开始规划无线网络架构时，应当尽量将AP放置在一个无法轻易接触的位置，并注意到无线设备厂商的网站查看最新的漏洞及相关补丁公告，及时为设备安装安全更新或升级程序。 当两个以上的无线设备相遇时就可能产生信道冲突，比如需要几个无线路由和AP的咖啡店、酒店等公共场所，这时要为每台设备选择各自不同的信道，即Channel的值。只有信道1、6、11或13是不冲突的，所以为了安全使用建议选择信道时从1、6、11或13中选取。 ?SSID相当于每个无线局域网的名称，用来区分不同的无线 网络，最多可以有32个字符，无线 网卡设置了不同的SSID就可以进入由无线路由器建立的不同网络。禁止SSID广播之后，用户自己的无线网络就不会出现在其它人所搜索到的可用网络列表中。通过修改默认SSID并禁止SSID广播设置后，无线网络的效率会受到一定的影响，但可以以此换取安全性的提高。 要想访问搭建的无线网络就需要使用无线网卡，无线网卡和有线网卡一样都有一个名为MAC地址的信息进行标识，它也是网卡的唯一ID。所以说如果不希望其它计算机连接无线网络，完全可以将自己的无线网卡这个唯一的MAC地址添加到无线AP容许访问范围内。通过MAC地址过滤，可以限制使用网络资源的使用者。 WPA作为802.11通用的加密机制WEP的升级版，在安全的防护上比WEP更为周密，主要体现在身份认证、加密机制和数据包检查等方面，而且它还提升了无线网络的管理能力。因此在可以使用WPA的情况下尽量采用WPA替代WEP。另外采用较长的、复杂的密码也有利于提高WPA安全性。 无论对于有线还是无线网络，都有必要安装防火墙，这绝对是正确的。然而，如果你没有将无线系统接入点放置在防火墙之外，则所有防火墙的配置都无济于事。应当确保不会出现这样的情况，否则你不仅不能为网络创建一道必要的屏障，相反还从已有的防火墙上打开了一条便利的通道。 Ad-hoc模式将允许Wi-Fi无线用户直接连接到另一台相邻的计算机，作为802.11标准的一部分，Ad-hoc模式允许你的计算机网络接口卡运行在独立基础服务集(Independent Basic Service Set，IBSS)模式。这就意味着它可以通过RF与另一台计算机进行P2P的连接。相邻的计算机之间毫无秘密可言。一名入侵者可以将联网的计算机作为入侵整个网络的大门。如果将机器置于Ad-hoc模式并且有人暗中入侵，你所暴露在危险之中的不仅仅是自己的计算机，而是整个网络。必须避免这样危险的习惯，除非特殊情况，尽量不要尝试打开Ad-hoc模式。 对于企业环境，可以通过将加密方式改为WPA2-PSK、采用802.1X体系、组建无线VPN等方式提高无线网络的安全。另外部署无线IDS协助检测无线入侵行为也是一个很好的提高无线安全的举措。 最后，寻找主机自身的安全隐患并加以应对也是很重要的一环。在本实验中，我们针对普通用户从组网和主机安全两方面进行基本的安全设置以提高无线网络安全。 无线基本安全规划 【实验步骤】 无线组网安全设置 参考前面的实验，组建WPA加密的无线网络，设置较复杂的密码；具体如图3.6.62、图3.6.63和图3.6.64所示。 图3.6.62 图3.6.63 创建无线网络的名称 图3.6.64 输入无线网络的WPA密钥 通过设置禁止SSID广播、MAC地址过滤来提高无线网络安全，如图3.6.65和图3.6.66所示。 图3.6.65 图3.6.66 主机安全扫描与防御 启动X-Scan(如未安装WinPCap，先安装WinPCap 3.1 beta4以上版本)，填写你需要扫描的主机IP，如图3.6.67所示；然后选择需要扫描的模块，如图3.6.68所示。 图3.6.67 图3.6.68 扫描完毕后，X-Scan会自动生成扫描报告(可以设置文件类型)，扫描报告会列举所有端口/服务以及对应的安全漏洞和解决方案，每一种安全漏洞都有具体描述、风险等级并给出了解决方案，如图3.6.69所示。常见的安全漏洞有各种开放的服务/端口安全设置不妥带来的安全漏洞等(比如FTP弱口令)。 图3.6.69 对于每种安全漏洞，扫描报告一般都给出了解决方案。常见的比如安装系统补丁、利用防火墙过滤某些端口(或开放端口但过滤不信任的主机)、设置安全权限、更改口令等。针对漏洞按自己需要进行防御。