十個讓無線網路 (wireless lan) 更安全的步驟
發表於 : 2005-09-18 21:36:29
http://www.fly.com.tw/xoops/modules/new ... storyid=15
十個讓無線網路 (wireless lan) 更安全的步驟
歡迎在全文保留的格式下,以電子郵件方式傳遞本文章,或將本文放上如電子佈告欄及群體討論區等公開網路媒體。如要作任何其他形式之部分或全文轉載之前,則須事先取得作者之書面授權。
--------------------------------------------------------------------------------
十個讓無線網路 (wireless lan) 更安全的步驟
編者:張正明
http://www.sbin.com/erik
http://www.vlab.com.tw
一、控制覆蓋率。許多 AP (Access Points) 可以讓你調整信號強度,有些甚至可以調整信號方向。安裝 AP 時先將 AP 放在離外牆及窗戶最遠的地方,然後調整信號強度使之不穿透外牆。雖然這樣做可以避免一些無線網路的竊聽,但是有些敏感度很高的無線網卡仍能夠在數十公尺外接受到訊號。而且就算能夠選到一個放 AP 的好位置,依然無法確保讓訊號不外流。請接看下去。
二、保護好每個 AP。除了將 AP 放在一個良好安全控管的地方外,也要將廠商的預設值做適當的更改。懶墮的系統管理者因為沒有改預設的管理者密碼(比如 Linksys 產品使用 admin 當做預設的密碼),因而造成整個網路成為被侵入的最好目標。關於如何選擇一個好的密碼,請參考 http://www.pcmag.com/passwords,我?..怞n超過十一位。
三、禁止假冒的 AP。確定家裡或辦公室內的所有 AP 是你或系統管理者所安裝的。一些免費的軟體,像 NetStumbler (www.netstumbler.com),可以讓你掃去假冒的 AP。
四、使用 128-bit WEP。WEP (Wired Equivalent Privacy) 在協定本身很簡單,雖然借由使用像 Linux 上的免費軟體 AirSnort (http://airsnort.shmoo.com),對有經驗的破解者而言,被動的掃描及破解 WEP 只是一樁小事,但使用較長的 key,仍能增加網路被破解的時間。
五、聰明的使用 SSID。更改 AP 上預設的 SSID,而且不要使用像地址或公司名這樣的容易猜測的 SSID。企業使用,最好買有支援可以取消 SSID 廣播功能的 AP。雖然入侵者可以借由像 Kismet (www.kismetwireless.net) 的軟體來竊聽 SSID,但任何的不便都對網路保護更有幫助。
六、限制無線網路存取的權限。在公司大樓內並不是每個人都必需使用無線網路。如果你偵測到未被授權的用戶使用無線網卡發出訊號,馬上制止他。設定 AP,讓只有經過被授權的無線網卡硬體位址 (MAC address),可以被允許存取無線網路。
七、限制可以使用的 IP 位址數目。如果你並沒有太多的用戶,請考慮設定 DHCP 所發放的 IP 位址數跟最大使用者數目相同,而且無線網路的訊號只含蓋到用戶所在的地方。一但本來被授權的用戶無法連上網路,你就可以猜想到有非法入侵了。
八、驗證使用者。安裝支援 IPSec VPN 連接的防火牆,而且在遠端使用者要用 VPN 連進網路時,要求他們做身份確認及登入。比如說 Linksys Instant Broadband EtherFast Cable/DSL Firewall Router (BEFSX41) 就是一個很好的選擇。如果你用 VPN 連接到一台 AP,但是確沒有要求你做身份確認及登入的畫面,你就知道你又連接到一台惡意假冒的 AP。
九、使用 RADIUS。安裝 RADIUS 伺服器可以提供另一類的認證。免費的 FreeRADIUS (www.freeradius.org) 將會是一個很好的選擇。
十、花錢買保險。如果你有幾億的財產要保護,不妨花點錢購買專門無線網路的防護設備。比如 AirDefense (www.airdefense.net) 就是一種特定給無線網路保護及入侵防護的硬體設備。或者向設備及系統整合廠商購買顧問服務也是一種選擇。
本文改編自
Ten Steps to a Secure Wireless Network by Konstantinos Karagiannis
(http://www.pcmag.com/article2/0,4149,844020,00.asp)
十個讓無線網路 (wireless lan) 更安全的步驟
歡迎在全文保留的格式下,以電子郵件方式傳遞本文章,或將本文放上如電子佈告欄及群體討論區等公開網路媒體。如要作任何其他形式之部分或全文轉載之前,則須事先取得作者之書面授權。
--------------------------------------------------------------------------------
十個讓無線網路 (wireless lan) 更安全的步驟
編者:張正明
http://www.sbin.com/erik
http://www.vlab.com.tw
一、控制覆蓋率。許多 AP (Access Points) 可以讓你調整信號強度,有些甚至可以調整信號方向。安裝 AP 時先將 AP 放在離外牆及窗戶最遠的地方,然後調整信號強度使之不穿透外牆。雖然這樣做可以避免一些無線網路的竊聽,但是有些敏感度很高的無線網卡仍能夠在數十公尺外接受到訊號。而且就算能夠選到一個放 AP 的好位置,依然無法確保讓訊號不外流。請接看下去。
二、保護好每個 AP。除了將 AP 放在一個良好安全控管的地方外,也要將廠商的預設值做適當的更改。懶墮的系統管理者因為沒有改預設的管理者密碼(比如 Linksys 產品使用 admin 當做預設的密碼),因而造成整個網路成為被侵入的最好目標。關於如何選擇一個好的密碼,請參考 http://www.pcmag.com/passwords,我?..怞n超過十一位。
三、禁止假冒的 AP。確定家裡或辦公室內的所有 AP 是你或系統管理者所安裝的。一些免費的軟體,像 NetStumbler (www.netstumbler.com),可以讓你掃去假冒的 AP。
四、使用 128-bit WEP。WEP (Wired Equivalent Privacy) 在協定本身很簡單,雖然借由使用像 Linux 上的免費軟體 AirSnort (http://airsnort.shmoo.com),對有經驗的破解者而言,被動的掃描及破解 WEP 只是一樁小事,但使用較長的 key,仍能增加網路被破解的時間。
五、聰明的使用 SSID。更改 AP 上預設的 SSID,而且不要使用像地址或公司名這樣的容易猜測的 SSID。企業使用,最好買有支援可以取消 SSID 廣播功能的 AP。雖然入侵者可以借由像 Kismet (www.kismetwireless.net) 的軟體來竊聽 SSID,但任何的不便都對網路保護更有幫助。
六、限制無線網路存取的權限。在公司大樓內並不是每個人都必需使用無線網路。如果你偵測到未被授權的用戶使用無線網卡發出訊號,馬上制止他。設定 AP,讓只有經過被授權的無線網卡硬體位址 (MAC address),可以被允許存取無線網路。
七、限制可以使用的 IP 位址數目。如果你並沒有太多的用戶,請考慮設定 DHCP 所發放的 IP 位址數跟最大使用者數目相同,而且無線網路的訊號只含蓋到用戶所在的地方。一但本來被授權的用戶無法連上網路,你就可以猜想到有非法入侵了。
八、驗證使用者。安裝支援 IPSec VPN 連接的防火牆,而且在遠端使用者要用 VPN 連進網路時,要求他們做身份確認及登入。比如說 Linksys Instant Broadband EtherFast Cable/DSL Firewall Router (BEFSX41) 就是一個很好的選擇。如果你用 VPN 連接到一台 AP,但是確沒有要求你做身份確認及登入的畫面,你就知道你又連接到一台惡意假冒的 AP。
九、使用 RADIUS。安裝 RADIUS 伺服器可以提供另一類的認證。免費的 FreeRADIUS (www.freeradius.org) 將會是一個很好的選擇。
十、花錢買保險。如果你有幾億的財產要保護,不妨花點錢購買專門無線網路的防護設備。比如 AirDefense (www.airdefense.net) 就是一種特定給無線網路保護及入侵防護的硬體設備。或者向設備及系統整合廠商購買顧問服務也是一種選擇。
本文改編自
Ten Steps to a Secure Wireless Network by Konstantinos Karagiannis
(http://www.pcmag.com/article2/0,4149,844020,00.asp)