无线网络安全防范措施

无线网络安全防范措施【摘要】随着信息化技术的发展，许多网络都已实现无线网络的全覆盖，这使得上网变得更加方便快捷。但是不得不注意的另一个问题就是网络的安全性问题，本文主要阐述无线网络的安全防范措施。【关键词】无线网络，安全防范措施刖言无线网络作为一种新兴的便捷性网络资源，已经逐渐得到普及，尤其是在办公场所。然而，在逐渐快速化的现代生活，网络的安全性问题已经成为了首要关注的问题，下面我们来讨论有关安全防范措施。二、无线网络的安全隐患分析无线局域网的基本原理就是在企业或者组织内部通过无线通讯技术来连接单个的计算机终端,以此来组成可以相互连接和通讯的资源共享系统。无线局域网区别于有线局域网的特点就是通过空间电磁波来取代传统的有限电缆来实施信息传输和联系。对比传统的有线局域网，无线网络的构建增强了电脑终端的移动能力，同时它安装简单，不受地理位置和空间的限制大大提高了信息传输的效率,但同时，也正是由于无线局域网的特性,使得其很难采取和有线局域网一样的网络安全机制来保护信息传输的安全，换句话无线网络的安全保护措施难度原因大于有线网络。IT技术人员在规划和建设无线网络中面临两大问题:首先，市面上的标准与安全解决方案太多,到底选什么好，无所适从;第二，如何避免网络遭到入侵或攻击?在有线网络阶段，技术人员可以通过部署防火墙硬件安全设备来构建一个防范外部攻击的防线，但是，“兼顾的防线往往从内部被攻破”。由于无线网络具有接入方便的特点，使得我们原先耗资部署的有线网络防范设备轻易地就被绕过，成为形同虚设的“马奇诺防线”。针对无线网络的主要安全威胁有如下一些：数据窃听。窃听网络传输可导致机密敏感数据泄漏、未加保护的用户凭据曝光,引发身份盗用。它还允许有经验的入侵者手机有关用户的IT环境信息，然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据。甚至为攻击者提供进行社会工程学攻击的一系列商信息。截取和篡改传输数据。如果攻击者能够连接到内部网络，则他可以使用恶意计算机通过伪造网关等途径来截获甚至修改两个合法方之剑正常传输的网络数据。网络通信被窃听网络通信被窃听是指用户在使用网络过程中产生的通信信息为局域网中的其他计算机所捕获。由于大部分网络通信都是以明文（非加密）的方式在网络上进行传输的，因此通过观察、监听、分析数据流和数据流模式，就能够得到用户的网络通信信息。例如，A计算机用户输入百度的网址就可能为处于同一局域网的B计算机使用监视网络数据包的软件所捕获，并且在捕获软件中能够显示出来，同样可以捕获的还有MSN聊天记录等。4.无线AP为他人控制无线AP是指无线网络接入点，例如家庭中常用的无线路由器就是无线AP。无线AP为他人所控制就是无线路由器的管理权限为非授权的人员所获得。当无线网络盗取者盗取无线网络并接入后，就可以连接访问无线AP的管理界面，如果恰好用户使用的无线AP验证密码非常简单，比如使用的是默认密码，那么非授权用户即可登录进入无线AP的管理界面随意进行设置。无线AP为他人所控制可能造成的后果很严重：一是盗用者在控制无线AP后，可以任意修改用户AP的参数，包括断开客户端连接；二是在无线路由器管理界面中，存放着用户ADSL的上网账号和口令（如图2所示），通过密码查看软件可以很轻松地查看以星号或者点号显示的口令。三、安全防范措施1.隐藏计算机要让自己的计算机隐身，技巧比较多，在这里我们向大家介绍一些常用的技巧。（一） DOS命令法对于处在局域网里的计算机，我们可以打开命令提示符窗口，然后在提示符下输入“netconfigserver/hidden:yes"，这样即可实现隐身。（二） 取消共享法打开本地无线连接的属性窗口，在“常规”标签中把“此连接使用下列项目”下的“Microsoft网络的文件和打印机共享”项选中，然后单击“卸载”按钮，将文件和打印共享服务卸载，同样可以起到隐身的作用。（三） 组策略法对于Windows2000/XP用户，还可以通过组策略来解决。运行“gpedit.msc”打开组策略，依次找到“计算机配置一Windows设置一安全设置一本地策略一用户权利指派”，在右侧窗口中找到“从网络访问这台计算机”，然后将其中所有的用户都删除即可。（四）禁Ping法对于WindowsXPSP2用户，我们还可以使用防火墙来解决这个问题。黑客入侵，一般都会使用Ping命令判断主机是否在线。对此我们可以让他Ping不通。进入控制面板打开Windows防火墙，切换到“高级”标签，在“网络连接设置”中选中无线连接并单击“设置”按钮，将打开的窗口再切换到“ICMP”，把相关的传入和传出请求都禁止，这样再Ping时将无法判断主机是否在线。MAC地址过滤MAC地址过滤在有线网络安全措施中是一种常见的安全防范手段，因此其操作方法也和在有线网络中操作交换机的方式一致。通过无线控制器将指定的无线网卡的物理地址（MAC地址）下发到各个AP中，或者直接存储在无线控制器中，或者在AP交换机端进行设置。隐藏SSIDSSID（ServiceSetIdentifier,服务标识符）是用来区分不同的网络，其作用类似于有线网络中的VLAN，计算机接入某一个SSID的网络后就不能直接与另一个SSID的网络进行通信了,SSID经常被用来作为不同网络服务的标识。一个SSID最多有32个字符构成，无线终端接入无线网路时必须提供有效的SIID,只有匹配的SSID才可接入。一般来说，无线AP会广播SSID，这样,接入终端可以通过扫描获知附近存在哪些可用的无线网络，例如WINDOWSXP自带扫描功能，可以将能联系到的所有无线网络的SSID罗列出来。因此，出于安全考虑，可以设置AP不广播SSID，并将SSID的名字构造成一个不容易猜解的长字符串。这样，由于SSID被隐藏起来了，接入端就不能通过系统自带的功能扫描到这个实际存在的无线网络，即便他知道有一个无线网络存在，但猜不出SSID全名也是无法接入到这个网络中去的。隐藏无线路由很多用户为了方便客户机连接，一般都会启用SSID广播。事实上如果客户端比较固定，那么我们根本不需要，应该将其停止广播，使其处于隐身状态，避免处于信号覆盖范围内的非法计算机接入网络。不同设备禁用SSID广播的技巧大体相同，只需要登录管理界面，然后找到SSID广播设置将其禁用即可。禁用SSID广播后，客户端需要连接时，只需要手工添加首先网络并输入SSID名称即可。虽然说，上面的技巧并不能绝对保障无线网络的安全，但是将相应的设备隐藏起来，将可以阻止大部分非法侵入。安全标准策略WEP标准已经被证明是极为不安全的，特别容易受到安全攻击，WPA虽然也存在被破解的可能，但是其安全程度比WEP高了很多，因此建议采用WPA加密方式。修改路由器密码策略为了无线路由器的安全，应当修改路由器所使用的用户名和密码，不要使用默认的用户名和密码。例如很多路由器的默认用户名和密码都是“admin”几乎成为众所周知的密码，也就毫无安全保障可言。防火墙对于企业用户，可以通过建立防火墙来提升无线网络的安全性，防火墙能够有效阻止入侵者通过无线设备进入网络。定期安全检查登录无线AP管理端，即可查看客户端列表，客户端列表中显示了接入的无线网络的计算机信息，包括计算机名称、MAC地址等。对于客户端数量较少的无线网络，能够排查出是否存在非授权访问的计算机。降低无线AP功率策略在无线网络中，无线AP（接入点）的发射功率越高，其辐射的距离和范围越大。当设备覆盖范围远远超出其正常使用范围时，用户的无线网络就有可能遭遇盗用。在能够满足用户对无线网速需要的前提下，应当尽量减少无线AP的功率，降低被他人非法访问的可能性。四、结束语无线网络的安全性问题在未来信息化时代中将会