针对网络安全中的各种问题,我们应该怎样去解决,这里就告诉我们一个真理,要从安全方面入手,这才是解决问题的关键。公司无线网络的一个突出的问题是安全性。随着越来越多的企业部署无线网络,从而将雇员、专业的合伙人、一般公众连接到公司的系统和互联网。人们对增强无线网络安全的需要变得日益迫切。幸运的是,随着越来越多的公司也越来越清楚无线网络面临的威胁和对付这些威胁的方法,有线网络和无线网络面临的威胁差距越来越小。 无线网络威胁 无线网络安全并不是一个独立的问题,企业需要认识到应该在几条战线上对付攻击者,但有许多威胁是无线网络所独有的,这包括: 1、插入攻击:插入攻击以部署非授权的设备或创建新的无线网络为基础,这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置,要求客户端接入时输入口令。如果没有口令,入侵者就可以通过启用一个无线客户端与接入点通信,从而连接到内部网络。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。 2、漫游攻击者:攻击者没有必要在物理上位于企业建筑物内部,他们可以使用网络扫描器,如Netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线网络,这种活动称为“wardriving ” ; 走在大街上或通过企业网站执行同样的任务,这称为“warwalking”。 3、欺诈性接入点:所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下,就设置或存在的接入点。一些雇员有时安装欺诈性接入点,其目的是为了避开公司已安装的安全手段,创建隐蔽的无线网络。这种秘密网络虽然基本上无害,但它却可以构造出一个无保护措施的网络,并进而充当了入侵者进入企业网络的开放门户。 当然,还有其它一些威胁,如客户端对客户端的攻击(包括拒绝服务攻击)、干扰、对加密系统的攻击、错误的配置等,这都属于可给无线网络带来风险的因素。 实现无线网络安全的三大途径和六大方法 关于封闭网络,如一些家用网络和单位的网络,最常见的方法是在网络接入中配置接入限制。这种限制可包括加密和对MAC地址的检查。 正因为无线网络为攻击者提供了许多进入并危害企业网络的机会,所以也就有许多安全工具和技术可以帮助企业保护其网络的安全性: 具体来说,有如下几种保护方法: 1、防火墙:一个强健的防火墙 可以有效地阻止入侵者通过无线设备进入企业网络的企图。 2、安全标准:最早的安全标准WEP已经被证明是极端不安全的,并易于受到安全攻击。而更新的规范,如WPA、WPA2及IEEE802.11i是更加强健的安全工具。采用无线网络的企业应当充分利用这两种技术中的某一种。 3、加密和身份验证:WPA、WPA2及IEEE802.11i支持内置的高级加密和身份验证技术。WPA2和802.11i都提供了对AES(高级加密标准)的支持,这项规范已为许多政府机构所采用。 4、漏洞扫描:许多攻击者利用网络扫描器不断地发送探查邻近接入点的消息,如探查其SSID、MAC等信息。而企业可以利用同样的方法来找出其无线网络中可被攻击者利用的漏洞,如可以找出一些不安全的接入点等。 5、降低功率:一些无线路由器 和接入点准许用户降低发射器的功率,从而减少设备的覆盖范围。这是一个限制非法用户访问的实用方法。同时,仔细地调整天线的位置也可有助于防止信号落于贼手。 6、教育用户:企业要教育雇员正确使用无线设备,要求雇员报告其检测到或发现的任何不正常或可疑的活动。
B. 教你如何保护自家WiFi无线网络安全
在这方面,最妥当的想法就是将您家中的WiFi网络视作自家的前门:只有防锁坚固才能确保自身安全。
当数据通过不安全的WiFi网络进行传输时,您发送或接收的数据都有可能被附近人拦截。周围邻居也可能利用您的WiFi网络上网,降低您的网速。增强家中网络的安全性不但能够在您进行无线上网时保护您的信息安全,还有助于保护连接到网络的各类设备。
如果您希望提升家中WiFi网络的安全性,采取下列步骤可以有所帮助。
1、查看家中WiFi网络已使用哪些安全保护措施
当您的朋友第一次到您家做客,使用您家WiFi网络时,是否需要输入密码?如果不需要,那么您的网络就不够安全。即便他们需要输入密码,您也有多种不同的方式来保护自家网络,而这些方法之间也有优劣之分。您可以通过查看WiFi网络设置来了解自家的网络已有哪些保护措施。您的网络可能是不安全的,也可能已经添加了有线等效加密(WEP),无线网络安全接入(WPA)或二代无线网络安全接入(WPA2)等保护措施。其中WEP是最早的无线安全协议,效果不佳。WPA优于WEP,不过WPA2才是最佳选择。
2、将您的网络安全设置改为WPA2
WiFi信号是由家中的无线路由器产生的。如果您的网络没有WPA2保护,需要访问路由器设置页面进行更改。您可以查阅路由器用户手册,了解如何访问设置页面,或在线搜索针对自己路由器的使用指导。所有在2006年后发售的拥有WiFi商标的路由器都支持WPA2。如果您购买的是早期型号,我们建议您购买支持WPA2的新型路由器。因为它更安全,速度也更快。
3、为您的WiFi网络设置高强度密码
要想使用WPA2保护网络,您需要创建密码。选择独特的密码十分重要,最好使用由数字,字母和符号组成的长密码,这样不易被别人猜出。如果您是在家中这样的私人场所,也可以将密码记录下来以免忘记,并安全保管,以免遗失。另外,您的密码还需要方便使用,以便朋友来访时可以连接您家的WiFi网络。正如您不会将自家钥匙交给陌生人一样,家中的WiFi密码也只能告诉信得过的人。
4、保护您的路由器,以免他人更改您的设置
您的路由器需要设置单独的密码,要与保护WiFi网络的密码有所区别。新买的路由器一般不设密码,或者只设有简单的默认密码,很多网络犯罪分子都已经知道这个密码。如果您不重设路由器密码,世界上任何地方的犯罪分子都可以轻易入侵您的网络,截取您通过网络分享的数据,并对连接到该网络的电脑发起攻击。许多路由器都可以在设置页面重设密码。这组密码不要告诉其他人,并需要与WiFi密码加以区分
(如步骤三所述)。如果您为两者设置相同的密码,任何拥有您家WiFi密码的人便都能够更改您家无线路由器的设置。
5、如果您需要帮助,请查阅使用说明
如果您遗失了路由器手册,还可以在搜索引擎中查找家中使用的基站或路由器的型号,许多设备的信息都能在网上查到。
C. 教你如何保护WiFi无线网络安全
全球有超过四分之一的互联网用户在家使用WiFi上网,不过其中许多人并不清楚该如何保护家庭网络以及这样做的重要性。在这方面,最妥当的想法就是将您家中的WiFi
网络视作自家的前门:只有防锁坚固才能确保自身安全。
当数据通过不安全的WiFi
网络进行传输时,您所发送或接收的数据都有可能被附近人拦截。周围邻居也可能利用您的WiFi
网络上网,降低您的网速。增强家中网络的安全性不但能够在您无线上网时保护您的信息安全,还有助于保护连接到网络的各类设备。
如果您希望提升家中WiFi
网络的安全性,采取下列步骤可以有所帮助。
1.查看家中WiFi
网络已使用哪些安全保护措施
当您的朋友第一次到您家做客,使用您家WiFi
网络时,是否需要输入密码?如果不需要,那么您的网络就不够安全。即便他们需要输入密码,您也有多种方式保护自家网络,而这些方法之间也有优劣之分。您可
以通过查看WiFi
网络设置来了解自家网络已有哪些保护措施。您的网络可能是不安全的,也可能已经添加了有线等效加密(WEP),无线网络安全接入(WPA)或二代无线网络
安全接入(WPA2)等保护措施。其中WEP是最早的无线安全协议,效果不佳。WPA优于WEP,不过WPA2才是最佳选择。
2.将您的网络安全设置改为WPA2
WiFi
信号是由家中的无线路由器产生的。如果您的网络没有WPA2保护,则需要访问路由器设置页面进行更改。您可以查阅路由器用户手册,了解如何访问设置页面,
或在线搜索针对自己路由器的使用指导。所有在2006年后发售的拥有WiFi
商标的路由器都支持WPA2。如果您购买的是早期型号,我们建议您更换支持WPA2的新型路由器。因为它更安全,速度也更快。
3.为您的WiFi
网络设置高强度密码
要想使用WPA2保护网络,您需要创建密码。选择独特的密码十分重要,最好使用由数字,字母和符号组成的长密码,这样不易被别人猜出。如果您是在家中这
样的私人场所,也可以将密码记录下来以免忘记,并安全保管,以免遗失。另外,您的密码还需要方便使用,以便朋友来访时可以连接您家的WiFi
网络。正如您不会将自家钥匙交给陌生人一样,家中的WiFi
密码也只能告诉信得过的人。
4.保护您的路由器,以免他人更改您的设置
您的路由器需要设置单独的密码,要与保护WiFi
网络的密码有所区别。新买的路由器一般不设密码,或者只设有简单的默认密码,很多网络犯罪分子都已经知道这个密码。如果您不重设路由器密码,世界上任何地
方的犯罪分子都可以轻易入侵您的网络,截取您通过网络分享的数据,并对连接到该网络的电脑发起攻击。许多路由器都可以在设置页面重设密码。
D. 如何确保家庭无线网络安全
方法/步骤
1
进入TP无线路由的WEB管理界面,浏览器输入192.168.1.1即可,输入用户名和密码,进入无线路由的web管理界面,选择“无线设置”标签,
END
方法/步骤2
在“无线设置”标签的“基本设置”下,在右侧取消“开启SSID广播”的勾选,保存。该操作是吧无线路由的SSID广播取消,通常所说的隐藏SSID,隐藏后当无线连接此路由时,需要手动输入正确的SSID号,不知道SSID号的人是无法和此路由器建立联系的
在“无线设置”标签下切换到“无线安全设置”,此页面设置无线网络的安全密码,根据系统提示,选择WPA-PSK/WPA2-PSK加密类型,在PSK密码处设置密码(不少于8位),确定。
此操作是为了加密无线网络,提高安全性,不知道密码的用户,即是知道了SSID也不能和路由建立连接
经过以上步骤的设置,你的无线网络已经很安全了,但为了绝对的安全,下面将启用终极设置,MAC过滤。
在“无线设置”标签下切换到“无线mac地址过滤”,选择“启用过滤”,“过滤规则”选择”禁止“,然后选择“添加新条目”,弹出一个警告框,确定后进入下一个页面,开始手动设置“无线网络MAC地址过滤设置”,在“mac地址”里面手动输入你打算可以连接到本无线网络的设备的mac(网卡地址,相当于身份证号码,全球唯一性),状态选择“生效”,保存,返回,即可以将可以加入到本无线网络的设备添加进来,多次重复该步骤,可以添加多个设备,然后,保存路由。
PS:此步骤是将设备的mac和路由进行绑定,在允许列表的设备才可以上网,不在列表的设备,即使知道前2个步骤的SSID和无线密码,也无法通过无线路由的安全认证,也不能加入本无线网络,这对于提高无线网络的安全有着极高的作用。
该步骤可以和前2步骤分离,也即是仅设置该步骤,将设备的mac进行绑定,这样可让有心蹭网的人抓狂,明明是无加密,信号很强的,为嘛不能连接?呵呵,这点是不是很强大呢?
E. 如何提高无线路由的安全性
提高无线路由的安全性主要有一下几种方法:
1、禁用DHCP功能
DHCP 是 Dynamic Host Configuration Protocol(动态主机分配协议)缩写,主要功能就是帮助用户随机分配IP地址,省去了用户手动设置IP地址、子网掩码以及其他所需要的TCP/IP参数的麻烦。这本来是方便用户的功能,但却被很多别有用心的人利用。一般的路由器DHCP功能是默认开启的,这样所有在信号范围内的无线设备都能自动分配到IP地址,这就留下了极大的安全隐患。攻击者可以通过分配的IP地址轻易得到很多你的路由器的相关信息,所以禁用DHCP功能非常必要。
2、无线加密
现在很多的无线路由器都拥有了无线加密功能,这是无线路由器的重要保护措施,通过对无线电波中的数据加密来保证传输数据信息的安全。一般的无线路由器或AP都具有WEP加密和WPA加密功能,WEP一般包括64位和128位两种加密类型,只要分别输入10个或26个16进制的字符串作为加密密码就可以保护无线网络。
WEP协议是对在两台设备间无线传输的数据进行加密的方式,用以防止非法用户窃听或侵入无线网络,但WEP密钥一般是是保存在Flash中,所以有些黑客可以利用你计算机网络中的漏洞轻松进入你的网络。
WEP加密出现的较早,现在基本上都已升级为WPA加密,WPA是一种基于标准的可互操作的WLAN安全性增强解决方案,可大大增强现有无线局域网系统的数据保护和访问控制水平;WPA加强了生成加密密钥的算法,黑客即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。
WPA的出现使得网络传输更加的安全可靠。需要指出的是一般无线路由器在出厂时无线加密功能都是关闭的,但如果你放弃此功能的话,那么你的网络就是一个极度不安全的网络,因此建议你设置后启用此功能。
3、关闭SSID广播
简单来说,SSID便是你给自己的无线网络所取的名字。在搜索无线网络时,你的网络名字就会显示在搜索结果中。一旦攻击者利用通用的初始化字符串来连接无线网络,极容易入侵到你的无线网络中来,所以笔者强烈建议你关闭SSID广播。
还要注意,由于特定型号的访问点或路由器的缺省SSID在网上很容易就能搜索到,比如“netgear,linksys等”,因此一定要尽快更换掉。对于一般家庭来说选择差别较大的命名即可。
关闭SSID后再搜索无线网络你会发现由于没有进行SSID广播,该无线网络被无线网卡忽略了,尤其是在使用Windows XP管理无线网络时,可以达到“掩人耳目”的目的,使无线网络不被发现。不过关闭SSID会使网络效率稍有降低,但安全性会大大提高,因此关闭SSID广播还是非常值得的。
4、设置IP过滤和MAC地址列表
由于每个网卡的MAC地址是唯一的,所以可以通过设置MAC地址列表来提高安全性。在启用了IP地址过滤功能后,只有IP地址在MAC列表中的用户才能正常访问无线网络,其它的不在列表中的就自然无法连入网络了。
另外需要注意在“过滤规则”中一定要选择“仅允许已设MAC地址列表中已生效的MAC地址访问无线网络”选项,要不无线路由器就会阻止所有用户连入网络。对于家庭用户来说这个方法非常实用,家中有几台电脑就在列表中添加几台即可,这样既可以避免邻居“蹭网”也可以防止攻击者的入侵。
5、主动更新
搜索并安装所使用的无线路由器或无线网卡的最新固件或驱动更新,消除以前存在的漏洞。还有下载安装所使用的操作系统在无线功能上的更新,比如Windows XP SP3或Vista SP1等,这样可以更好的支持无线网络的使用和安全,使自己的设备能够具备最新的各项功能。
F. 如何让无线网络更安全
家用的话一般注意一下两点吧:
使用无线加密(WEP),设置一个合适的密码,并且定期更换,原理很明显,不说了
禁止SSID广播,路由器上一般都有这个选项。这个的好处是别人搜索不到你的无线网络,当然就无法连接啦。
G. 无线网安全建议 教你如何保护无线网络安全
下面将给用户一些基本的无线网络安全建议,这些建议将有助于用户更好保证自己的无线网络安全: 1. 无线网络适配器 在用户不使用网络时,建议用户关闭无线网络适配器,之所以这样做,有两个原因。首先,延长电池寿命;其次,防范使用“ Microsoft Windows silent ad hoc network advertisement”渗透攻击的最好方法。微软的自组网使用的是零默认设置访问,这就给攻击者以可乘之机。 2.校验无线网络SSID 校验SSID(Service Set Identifier或ESSID,用来区分不同的网络,最多可以有32个字符,无线网卡设置了不同的SSID就可以进入不同网络)有助于防止evil twin。evil twin即使攻击者利用攻击产生错误的无线网络。简单点说,用户根本不知道连接的是错误的网络,这样黑客就可以获取用户接受和发送的任何流量了。 3. 保证软件防火墙的安全性 Windows XP 和 Vista内置了防火墙,但是都不够。市面上的有很多功能更加强大的防火墙,完全可以满足笔记本使用者的需求。 4. 关闭Windows的文件和打印机共享功能 Windows的默认设置是关闭了这一功能,但是很多用户在实际工作的时候需要使用这一功能。开启这一功能实际上就是打开了“麻烦之门”。任何未经授权的人只要出现在这一无线网络的时候就可以访问这些文件。 5.不要使用无线网络在线传输敏感信息 这点就毋庸赘言。重要性可想而知,但是还是要提醒一下。 6.操作系统需实时升级 除了操作系统,还有杀毒软件,防火墙,网络浏览器以及无线网络客户机程序,这些都需要实时升级,这样就可以减少因其本身缺陷导致的攻击。 7.保护好任何敏感信息 网页当中保留的个人信息会成为黑客攻击提供十分有用的价值。因此如条件允许可以采用某些加密工具。 8.使用加密技术进行网上冲浪 在没有虚拟个人网络或是虚拟个人网络设置不正确的时候,这是很重要的。市面上有很多提供SSL(Security Socket Layer ,加密套接字协议层 ) VPN的技术,这样就可以在一个安全通道中传输机密文件。还有一些更加先进的服务,譬如超级代理等。 9.VPN 前面一个建议的局限就是它只适用于基于网络的应用程序。但是一些邮件应用程序呢?譬如Outlook。这正是虚拟个人网络大展拳脚的地方。但是很多人根本就不使用虚拟个人网络。虚拟个人网络保证用户即使在外的话也相当于家庭或是办公网络中的一部分。这样,所有的商业应用程序,文件共享或是网络访问都由公司的网络来完成。市面上的选择很多,推荐Open个人虚拟网络。 10.使用远程访问工具保证安全 不要通过有疑问的网络传输敏感数据。有一些设备可以保证出门在外的人通过家里的网络使用SSL通道实现远程控制。这样,网上冲浪,收发邮件还有其他一些活动只会在远程主机上实现。因此,除非在特别紧急的情况下,否则不要传输数据。 总结: 经常在外使用笔记本的人应该保持警惕。除了一些日常工作,他们经常需要在外做一些工作。以上一些建议能够保护他们在外使用时的信息安全。
H. 如何保障无线局域网安全
1、通过查看WiFi 网络设置来了解已有哪些保护措施。看晃否用有线等效加密(WEP),无线网络安全接入(WPA)或二代无线网络安全接入(WPA2)等保护措施。其中WEP是最早的无线安全协议,效果不佳。WPA优于WEP,不过WPA2才是最佳选择。
2、将网络安全设置改为WPA2模式。如果购买的是早期型号,建议更换支持WPA2的新型路由器。因为它更安全,速度也更快。
3、为WiFi 网络设置高强度密码。选择独特的密码十分重要,最好使用由数字,字母和符号组成的长密码,这样不易被别人猜出。
4、保护路由器,以免他人更改设置。路由器需要设置单独的密码,要与保护WiFi 网络的密码有所区别。不要用出厂给的简单用户名及密码(如Admin之类的)。
I. 请问怎样加强无线网络的安全管理
从简单的强制网络门户和防火墙过滤到流量整形和唯一的来宾登录,这类产品都可以不用IT协助自动生成。 举例说明,我们看下Meraki的企业级WLAN云控制器提供的来宾管理功能。为了创建一个Meraki来宾无线局域网,我们需要开始指令配置一个SSID,比如一次点击或者登入开始页面。如果选择了开始页面,用户会被重定向到一个定制的入口,通过输入用户名和密码登录。 来宾开始创建有三种选择。第一,管理员配置来宾账号。第二,来宾代表可以增加和删除来宾账号但是不能做其他改动,第三,允许来宾在入口提示页使用他们自己的账户,以管理员批准为准。 控制用户活动实现来宾无线局域网的安全性 下一步便是控制登录用户的活动。考虑强制网络门户是否要求用户运行防毒软件。然后设置允许的目的地,端口和URL,选择性的添加带宽限制和有线/无线属性。最后,考虑在允许或不允许本地局域网访问时,来宾流量是否需要桥接到一个VLAN或路由到Internet。云控制器可以分析流量来查看无线来宾网络的使用情况。 这些功能通常适用于未加密的来宾无线网络,但是也可以结合WPA2-PSK实现加密。设置PSK可以降低拒绝服务攻击和防止外部探测。然而传统的PSK是共享给每个用户的,他们没法跟踪或对单独的来宾取消跟踪。不过一些产品提供动态PSK给每个用户,如Ruckus DPSK和Aerohive PPSK可以解决这类问题。 例如,Ruckus无线局域网可以设置给每个来宾一个唯一的DPSK。任何有企业网络访问权的用户都可以通过一个Web表格来申请Ruckus来宾权限,每个发布的来宾权限都提供了他们可打印的说明,包括来宾姓名,来宾SSID,来宾唯一的DPSK和有效期限。这些设置甚至可以自动安装到Windows系统、OS X和iPhone客户端上,有效避免手工设置和可能出现的错误。一旦生效,DPSK会自动过期或被废除,不用中断其他的使用。 来宾无线网络上的设备完整性检查 这些来宾管理策略可以在无线局域网上提供很好的可视性和可控制行,包括来宾可以访问什么以及他们可以使用什么资源。然而,要预防被感染病毒的来宾所带来的破坏还需要更多的措施。据Gartner所述,网络准入控制部署中有四分之三就是为了应对这类威胁的。 虽然阻止被感染的无线客户端不是来宾无线局域网所需要做的事,但是来宾设备会造成更大的危险,因为他们不被IT部门所管理,一般不能强行安装IT部门要求的软件或者配置,甚至不能进行临时地完整性检查。例如,一个强制网络入门可能会使用ActiveX控制来快速查看来宾是否运行着授权的杀毒软件。然而,ActiveX控制不能查看非Windows的来宾设备或者被锁的浏览器。 对一些企业,针对使用windows的来宾进行完整性检查已经足够了,毕竟,病毒在Windows下比较普通。但是其他企业可能倾向于阻止那些不能检查的来宾或者对他们进行限制(如,只能HTTP,不能访问内网)。第三种可能是使用NAC或者IDS产品,比如ForeScout,CounterACT或Bradford Network Sentry,他们可以运行基于网络的检查。NAC设备可以整合到现有的无线网络设施中给来宾管理者提供访问控制策略,如果检测到客户端有病毒威胁或者策略违反就立即切断。 总之,企业级来宾网络必须有高效的用户管理控制,使其符合企业规范。而且他们必须提供突发事件的解决方案和有效的跟踪方案。有了这些策略,企业可以放心安全的提供网络给承包商,合作伙伴,客户,和其他授权的来宾,而不用担心什么情况都不知道了。