保护无线WiFi网络的5种方式 (wifi保护设置按钮在哪)
整理分享保护无线WiFi网络的5种方式 (wifi保护设置按钮在哪),希望有所帮助,仅作参考,欢迎阅读内容。
内容相关其他词:怎么保护无线网络的安全,无线网保护是什么意思,无线网保护是什么意思,保护无线网的软件,无线网保护是什么意思,怎么保护无线,无线网保护是什么意思,保护无线网的软件,内容如对您有帮助,希望把内容链接给更多的朋友!
▲CloudTrax 聪明地命名你的网络--应该是通用但不太常见的名称,并且不会透露位置。 尽管将SSID命名为容易识别的信息很有意义,例如公司名称、*或套件号码,但这可能不是一个好主意,特别是当网络位于共享建筑物或者靠近其他建筑物或网络时。如果黑客路过拥挤的区域,看到十几个不一样的*WiFi网络,他们可能会将目标定位最容易识别的*WiFi,这可帮助他们了从中获得什么。 你也可以关闭SSID广播,使你的网络名称不可见,但并不建议这样做。如果这样做的话,用户必须手动输入SSID,这可能会引发用户的负面情绪,这超过其带来的安全优势。并且,攻击者通过正确的工具依旧可通过嗅探其他网络流量来捕获SSID。物理安全防止篡改 *安全并不完全是关于花哨的技术和协议。你可能部署了最好的加密,依旧容易受到攻击。物理安全就是这种漏洞之一,锁好配线柜的门可能并不够。 大多数接入点(AP)都有重置按钮,别人可通过按它来恢复出厂默认设置、删除*WiFi安全,并允许任何人连接。因此你必须确保分布在各地AP的物理安全以防止篡改。请确保它们安装在无法触及的位置,并要求AP供应商提供的锁定机制来防止黑客对AP按钮和端口的访问。▲Cisco接入点重置按钮示例 与WiFI相关的另一个物理安全问题是有人添加未经授权AP到网络,通常被称为“*AP”。这可很容易实现,例如当员工想要更多监听WiFi覆盖范围时。为了帮助阻止这些类型的*AP,请确保禁用任何未运用的以太网端口(例如墙壁端口或松散的以太网运行)。你可物理移除端口或线缆,或者禁用路由器或交换机插座或线缆的连接。如果你真的想要加强安全性,启用有线端的.1X身份验证--如果你的路由器或交换机支持的话,这样任何*到以太网端口的设备都需要输入登录凭证才能获得网络访问权限。运用.1X身份验证的企业WPA2 你可部署的最有效的*WiFi安全机制之一是部署企业模式的监听WiFi安全,因为它可分别验证每个用户:每个人都有自己的监听WiFi用户名和密码。因此,当笔记本电脑或移动设备遗失或被盗时,或者员工离开公司时,你所要做的是更改或撤销该用户的登录。(相比之下,在个人模式下,所有用户共享相同的*WiFi密码,当设备遗失或者员工离职时,你必须更改每台设备的密码,这是一个巨大的麻烦)▲Microsoft 对于企业模式WiFI安全,用户需要输入独特的用户名和密码来连接。 企业模式的另一大优点是每个用户都分配有自己的加密密钥,这意味着用户只能解密自己连接的数据流量--无法*任何其他人的监听流量。 如果你想要你的AP变成企业模式,你首先需要设置RADIUS服务器。这可启用用户身份验证,并连接到或包含数据库或目录(例如ActiveDirectory)--其中包含所有用户的用户名和密码。 尽管你可部署*的RADIUS服务器,但你首先应该检查其他已经提供该功能的服务器(例如WinServer)。如果没有的话,请考虑基于云或者托管RADIUS服务。还要记住的是,有些监听接入点或*提供基本的内置RADIUS服务器,但其性能*和有限的功能使其仅对较小的网络有用。▲CloudTrax如何通过RADIUS服务器的IP、端口和密码配置AP的示例。保护.1X客户端设置 与其他安全技术一样,企业模式的监听WiFi安全也存在一些漏洞。其中一个是中间人攻击,攻击者坐在机场或咖啡厅,甚至坐在公司办公室的停车场。攻击者可通过制造假冒的*WiFi网络,运用与其试图攻击的网络相同或者相似的SSID;当你的笔记本或设备尝试连接时,虚假的RADIUS服务器会捕获你的登录凭证。然后攻击者可利用你的登录凭证连接到真正的监听WiFi网络。 为了阻止这种中间人攻击,其中一种方式是利用客户端的服务器验证。当*客户端启用服务器验证时,客户端不会将你的监听WiFi登录凭证传递到RADIUS服务器,除非其验证其在于合法服务器通信。当然,你对客户端可执行的服务器验证功能和要求取决于客户端的设备或*作*。 例如在Win中,你可输入合法服务器的域名,选择发布该服务器证书的证书颁发机构,然后选择不允许任何新的服务器或证书颁发机构。当有人设置假的监听WiFi网络和RADIUS服务器,并尝试登录时,Win将会阻止连接。▲Microsoft 当配置*WiFi连接的EAP设置时,你会在Win中看到.1X服务器验证功能。利用*AP检测或*入侵防护 我们已经谈论了三种易受攻击接入点情况:攻击者设置假的监听WiFi网络和RADIUS服务器;攻击者可重置AP到出厂默认设置;第三种情况是攻击者可能会*自己的AP。 如果没有部署适当的保护,这些未经授权AP可能会在长时间内不被IT人员检测。因此,你应该启用AP或监听*供应商提供的任何类型的*检测。确切的检测方式和功能会有所不一样,但大多数检测至少可定期扫描*电波,并在授权AP范围内检测到新AP时向你发送警报。▲Cisco简单*AP检测示例,你可看到该区域其他AP列表。 对于更多检测功能,有些AP供应商提供完整监听入侵检测*(WIDS)或入侵保护*(WIPS),可检测各种*攻击以及可疑活动。这些包括错误的取消身份验证请求、错误关联请求和MAC*欺骗。 此外,如果它是真正提供保护的WIPS而不是仅提供检测功能的WIDS,它应该可采取自动措施,例如解除或阻止可疑监听客户端来保护受到攻击的网络。 如果你的AP供应商不提供内置*AP检测或WIPS功能,则考虑运用第三方搞定方案。你可能会看到可监控监听WiFi性能及安全问题的基于传感器的搞定方案,例如7SIGNAL、CapeNetworks和NetBeez等公司的产品。