你是否想過怎樣讓自己的無線網(wǎng)絡(luò)更安全?有人說，現(xiàn)在上網(wǎng)可以搜索到關(guān)于Wi-Fi安全的大量信息，如不要使用WEP，要使用WPA或WPA2，禁用SSID廣播，改變默認(rèn)設(shè)置等。但僅有這些還是不夠的。為此，本文不再詳述這些基本技術(shù)，而是討論可增強(qiáng)無線網(wǎng)絡(luò)安全的其它方面。

　　1、 轉(zhuǎn)向企業(yè)級加密

　　如果你創(chuàng)建了一個(gè)WPA或WPA2的加密密鑰，并且在連接到某個(gè)無線網(wǎng)絡(luò)時(shí)必須輸入這個(gè)密鑰，你所使用的就是WPA的預(yù)共享密鑰(PSK)模式。企業(yè)級網(wǎng)絡(luò)，不管是大是小，都應(yīng)當(dāng)用企業(yè)模式進(jìn)行保護(hù)，因?yàn)檫@種保護(hù)模式向無線連接過程增加了802.1X/EAP認(rèn)證。用戶們不是在所有的計(jì)算機(jī)上輸入加密密鑰，而是通過一個(gè)用戶名和口令登錄。加密密鑰是以隱藏方式安全地使用，并且對每一個(gè)用戶和會(huì)話都是唯一的。

　　這種方法提供了集中管理功能和更好的無線網(wǎng)絡(luò)安全。

　　簡言之，雇員們和其它用戶在使用企業(yè)模式時(shí)，都通過其自己的賬號登錄進(jìn)入網(wǎng)絡(luò)。在需要時(shí)，管理員可以輕易地改變或廢止其訪問。在雇員離職或筆記本電腦被盜時(shí)，這種方式非常有用。如果你現(xiàn)在正使用個(gè)人模式，你就需要在所有的電腦和接入點(diǎn)AP上改變加密密鑰。

　　企業(yè)模式的一個(gè)特別因素是RADIUS/AAA服務(wù)器。它與網(wǎng)絡(luò)中的接入點(diǎn)AP通信，并查詢用戶的數(shù)據(jù)庫。在此，筆者建議你使用windows server 2003 的IAS或Windows Sever 2008r 網(wǎng)絡(luò)策略服務(wù)器NPS。當(dāng)然，你也可以考慮使用開源服務(wù)器，如最流行的FreeRADIUS。如果你覺得建立一個(gè)身份驗(yàn)證的服務(wù)器需要花費(fèi)太多的金錢，或者超過了你的預(yù)算，不妨考慮使用外購服務(wù)。

　　2、 驗(yàn)證物理上的安全性

　　無線安全并不僅僅是技術(shù)問題。你可以擁有最強(qiáng)健的Wi-Fi 加密，但是你又能如何阻止某人將電纜線接入到暴露的以太網(wǎng)端口呢?或者有人經(jīng)過某個(gè)接入點(diǎn)時(shí)按下了復(fù)位按鈕，將其恢復(fù)到了出廠設(shè)置，讓你的無線網(wǎng)絡(luò)四門大開，你又該如何是好?

　　所以，請一定要保證你的接入點(diǎn)AP遠(yuǎn)離公眾可以接觸的地方，也不要讓雇員隨意去擺弄它。不要把你的接入點(diǎn)放到桌子上，最起碼應(yīng)該將其掛到墻上或天花板上，最好將其放到高于天花板的位置。

　　還可以考慮將接入點(diǎn)AP安裝在不易于被看到的地方，并安裝外部天線，這樣還可以獲得最強(qiáng)的信號。如此一來，就可以在更大程度上限制接入點(diǎn)AP，同時(shí)，又可以獲得兩方面的好處，一是增加了覆蓋范圍，二是利用了較高的天線。

　　當(dāng)然，你不能僅關(guān)注接入點(diǎn)。所有的網(wǎng)絡(luò)連接組件都應(yīng)當(dāng)保證其安全。這甚至包括以太網(wǎng)電纜的連接。雖然下面這種情況可能有點(diǎn)兒牽強(qiáng)，但是難道某個(gè)“不到黃河不死心”的家伙就沒有切斷電纜接入自己的設(shè)備的可能?。

　　在安裝過程中，應(yīng)當(dāng)對所有的接入點(diǎn)AP了如指掌。最好制作一張表格，記錄所有的接入點(diǎn)模塊，連同它們的MAC地址和IP地址。還要標(biāo)明其所在的位置。通過這種方法就可以確切地知道，在進(jìn)行設(shè)備清查或跟蹤有問題的接入點(diǎn)AP時(shí)，這些接入點(diǎn)到底在什么地方。

　　3、 安裝入侵檢測和(或)入侵防御系統(tǒng)(即IDS和IPS)

　　這兩種系統(tǒng)通常靠一個(gè)軟件來工作，并且使用用戶的無線網(wǎng)卡來嗅探無線信號并查找問題。這種系統(tǒng)可以檢測欺詐性的接入點(diǎn)。無論是向網(wǎng)絡(luò)中接入一個(gè)新的接入點(diǎn)，還是一個(gè)現(xiàn)有的接入點(diǎn)將其設(shè)置改變?yōu)槟J(rèn)值，還是與用戶所定義的標(biāo)準(zhǔn)不匹配，IDS和IPS都可以檢測出來。

　　這種系統(tǒng)還可以分析網(wǎng)絡(luò)數(shù)據(jù)包，查看是否有人正在使用黑客技術(shù)或是正在實(shí)施干擾。

　　現(xiàn)在有很多種的入侵檢測和防御系統(tǒng)，這些系統(tǒng)所使用的技術(shù)也各不相同。在此，筆者向您推薦兩開源的或免費(fèi)的系統(tǒng)，即大名鼎鼎的Kidmet和Snort?，F(xiàn)在網(wǎng)上有關(guān)于這兩個(gè)系統(tǒng)的大量教程，您不妨試試。當(dāng)然，如果你愿意花錢，還可以考慮AirMagnet、AirDefence、AirTight等國外公司的產(chǎn)品。

　　4、 構(gòu)建無線使用策略

　　正如需要其它網(wǎng)絡(luò)設(shè)備的使用指南一樣，你也應(yīng)當(dāng)有一套針對無線訪問的使用策略，其中至少包括以下幾條：

　?、倭惺究色@得授權(quán)訪問無線網(wǎng)絡(luò)的設(shè)備：最好先禁用所有的設(shè)備，在路由器上使用MAC地址的過濾功能來明確地指明準(zhǔn)許哪些設(shè)備訪問網(wǎng)絡(luò)。雖然MAC地址可以被欺騙，但是這樣做顯然會(huì)控制雇員們正在網(wǎng)絡(luò)上使用哪些設(shè)備。所有被核準(zhǔn)設(shè)備的硬拷貝及其細(xì)節(jié)都應(yīng)當(dāng)加以保留，以便于在監(jiān)視網(wǎng)絡(luò)時(shí)以及為入侵檢測系統(tǒng)提供數(shù)據(jù)時(shí)進(jìn)行比較。

　?、诹惺究赏ㄟ^無線連接訪問網(wǎng)絡(luò)的人員：在使用802.1X認(rèn)證時(shí)，在RADIUS服務(wù)器中僅為那些需要無線訪問的人創(chuàng)建賬戶就可以實(shí)施這種控制。如果在有線網(wǎng)絡(luò)上也使用802.1X認(rèn)證，你必須指明用戶是否要接收有線或無線訪問，可以通過修改活動(dòng)目錄或在RADIUS服務(wù)器上使用認(rèn)證策略達(dá)到這個(gè)目的。

　?、蹮o線路由器或接入點(diǎn)AP的建立規(guī)則：例如，僅準(zhǔn)許IT部門建立更多的接入點(diǎn)AP，因而不準(zhǔn)許雇員隨意插入接入點(diǎn)Ap來增強(qiáng)和延伸信號。對IT部門的內(nèi)部而言，其規(guī)則最好包括定義可接受的設(shè)備模式和配置等。

　?、苁褂肳i-Fi熱點(diǎn)或借助公司設(shè)備連接到家庭網(wǎng)絡(luò)的規(guī)則：因?yàn)槟硞€(gè)設(shè)備或筆記本電腦上的數(shù)據(jù)可以被破壞，而且在不安全的無線網(wǎng)絡(luò)上需要監(jiān)視互聯(lián)網(wǎng)活動(dòng)，所以你可能會(huì)想到限制Wi-Fi連接僅給公司網(wǎng)絡(luò)使用?？梢越柚赪indows中的netsh實(shí)用程序，并通過運(yùn)用網(wǎng)絡(luò)過濾器來加以控制。還有另外一個(gè)選擇，即你可以要求一個(gè)到達(dá)公司網(wǎng)絡(luò)的VPN連接，這樣至少可以保護(hù)互聯(lián)網(wǎng)活動(dòng)，并可以遠(yuǎn)程訪問文件。

　　5、使用SSL或Ipsec加密

　　雖然你可能正使用最新的、最強(qiáng)健的Wi-Fi加密(位于OSI模型的第二層上)，也不妨考慮實(shí)施另外一種加密機(jī)制，如IPSec(位于OSI模型的第三層上)。這樣做，不但可以在無線網(wǎng)絡(luò)上提供雙重加密，還可以保證有線通信的安全。這會(huì)防止雇員或外部人員隨意插入到設(shè)備的以太網(wǎng)端口進(jìn)行竊聽。

　　雖然在這里談到的這五種技術(shù)大多在有線網(wǎng)絡(luò)上已經(jīng)很成熟，但在許多單位的無線網(wǎng)絡(luò)上卻并沒有得以實(shí)施。為了讓你的無線網(wǎng)絡(luò)訪問更安全，不妨一試。