日韩免费精品视频,91精品视频在线免费观看,91香焦国产线观看看免费,中文国产成人精品久久下载

熱門服務(wù)中心 English

返回頂部

熱點(diǎn)聚焦

酒店無(wú)線覆蓋方案中wifi無(wú)線網(wǎng)絡(luò)安全必須的技巧

日期:2016-03-07 點(diǎn)擊:     關(guān)鍵詞:酒店無(wú)線覆蓋方案中WiFi無(wú)線網(wǎng)絡(luò)安全必須的技巧

2016-03-07

  wifi無(wú)線網(wǎng)絡(luò)生來(lái)就容易受到黑客攻擊和竊聽。但是,如果你使用正確的安全措施,無(wú)線WiFi可以是安全的。遺憾的是網(wǎng)站上充滿了過時(shí)的忠告和誤區(qū)。下面是wifi無(wú)線網(wǎng)絡(luò)安全中應(yīng)該做的和不應(yīng)該做的一些事情。酒店無(wú)線覆蓋方案設(shè)計(jì)時(shí)也要考慮到這方面的問題。

酒店無(wú)線覆蓋方案中wifi無(wú)線網(wǎng)絡(luò)安全必須的技巧

  1.不要使用WEP

  WEP(有線等效加密協(xié)議)安全早就死了。大多數(shù)沒有經(jīng)驗(yàn)的黑客能夠迅速地和輕松地突破基本的加密。因此,你根本就不應(yīng)該使用WEP.如果你使用WEP,請(qǐng)立即升級(jí)到具有802.1X身份識(shí)別功能的802.11i的WPA2(WiFi保護(hù)接入)協(xié)議。如果你有不支持WPA2的老式設(shè)備和接入點(diǎn),你要設(shè)法進(jìn)行固件升級(jí)或者干脆更換設(shè)備。

  2.不要使用WPA/WPA2-PSK

  WPA/WPA2安全的預(yù)共享密鑰(PSK)模式對(duì)于商務(wù)或者企業(yè)環(huán)境是不安全的。當(dāng)使用這個(gè)模式的時(shí)候,同一個(gè)預(yù)共享密鑰必須輸入到每一個(gè)客戶。因此,每當(dāng)員工離職和一個(gè)客戶丟失或失竊密鑰時(shí),這個(gè)PSK都要進(jìn)行修改。這在大多數(shù)環(huán)境中是不現(xiàn)實(shí)的。

  3.一定要應(yīng)用802.11i

  WPA和WPA2安全的EAP(可擴(kuò)展身份識(shí)別協(xié)議)模式使用802.1X身份識(shí)別,而不是PSK,向每一個(gè)用戶和客戶提供自己的登錄證書的能力,如用戶名和口令以及一個(gè)數(shù)字證書。

  實(shí)際的加密密鑰是在后臺(tái)定期改變和交換的。因此,要改變或者撤銷用戶訪問,你要做的事情就是在中央服務(wù)器修改登錄證書,而不是在每一臺(tái)客戶機(jī)上改變PSK.這種獨(dú)特的每個(gè)進(jìn)程一個(gè)密鑰的做法還防止用戶相互竊聽對(duì)方的通訊。現(xiàn)在,使用火狐的插件Firesheep和Android應(yīng)用DroidSheep等工具很容易進(jìn)行竊聽。

  要記住,為了達(dá)到盡可能最佳的安全,你應(yīng)該使用帶802.1X的WPA2.這個(gè)協(xié)議也稱作802.1i.

  要實(shí)現(xiàn)802.1X身份識(shí)別,你需要擁有一臺(tái)RADIUS/AAA服務(wù)器。如果你在運(yùn)行Windows Server 2008和以上版本的操作系統(tǒng),你要考慮使用網(wǎng)絡(luò)政策服務(wù)器(NPS)或者早期服務(wù)器版本的互聯(lián)網(wǎng)身份識(shí)別服務(wù)(IAS)。如果你沒有運(yùn)行Windows服務(wù)器軟件,你可以考慮使用開源FreeRADIUS服務(wù)器軟件。

  如果你運(yùn)行Windows Server 2008 R2或以上版本,你可以通過組策略把802.1X設(shè)置到區(qū)域連接在一起的客戶機(jī)。否則,你可以考慮采用第三方解決方案幫助配置這些客戶機(jī)。

  4.一定要保證802.1X客戶機(jī)設(shè)置的安全

  WPA/WPA2的EAP模式仍然容易受到中間人攻擊。然而,你可以通過保證客戶機(jī)EAP設(shè)置的安全來(lái)阻止這些攻擊。例如,在Windows的EAP設(shè)置中,你可以通過選擇CA證書、指定服務(wù)器地址和禁止它提示用戶信任新的服務(wù)器或者CA證書等方法實(shí)現(xiàn)服務(wù)器證書驗(yàn)證。

  你還可以通過組策略把802.1X設(shè)置推向區(qū)域連接在一起的客戶機(jī),或者使用Avenda公司的Quick1X等第三方解決方案。

  5.一定要使用一個(gè)無(wú)線入侵防御系統(tǒng)

  保證WiFi網(wǎng)絡(luò)安全比抗擊那些直設(shè)法獲取網(wǎng)絡(luò)訪問權(quán)限的企圖要做更多的事情。例如,黑客可以建立一個(gè)虛假的接入點(diǎn)或者實(shí)施拒絕服務(wù)攻擊。要幫助檢測(cè)和對(duì)抗這些攻擊,你應(yīng)該應(yīng)用一個(gè)無(wú)線入侵防御系統(tǒng)(WIPS)。廠商直接的WIPS系統(tǒng)的設(shè)計(jì)和方法是不同的,但是,這些系統(tǒng)一般都監(jiān)視虛假的接入點(diǎn)或者惡意行動(dòng),向你報(bào)警和可能阻止這些惡意行為。

  有許多商業(yè)廠商提供WIPS解決方案,如AirMagnet和AirTight Neworks.還有Snort等開源軟件的選擇。

  6.一定要應(yīng)用NAP或者NAC

  除了802.11i和WIPS之外,你應(yīng)該考慮應(yīng)用一個(gè)NAP(網(wǎng)絡(luò)接入保護(hù))或者NAC(網(wǎng)絡(luò)接入控制)解決方案。這些解決方案能夠根據(jù)客戶身份和執(zhí)行定義的政策的情況對(duì)網(wǎng)絡(luò)接入提供額外的控制。酒店無(wú)線覆蓋方案的這些解決方案還包括隔離有問題的客戶的能力以及提出補(bǔ)救措施讓客戶重新遵守法規(guī)的能力。

  有些NAC解決方案可能包括網(wǎng)絡(luò)入侵防御和檢測(cè)功能。但是,你要保證這個(gè)解決方案還專門提供無(wú)線網(wǎng)絡(luò)覆蓋保護(hù)功能。

  如果你的客戶機(jī)在運(yùn)行Windows Server 2008或以上版本以及Windows

  Vista或以上版本的操作系統(tǒng),你可以使用微軟的NAP功能。此外,你可以考慮第三方的解決方案,如開源軟件的PacketFence.

  7.不要信任隱藏的SSID

  無(wú)線安全的一個(gè)不實(shí)的說(shuō)法是關(guān)閉接入點(diǎn)的SSID播出將隱藏你的網(wǎng)絡(luò),或者至少可以隱藏你的SSID,讓黑客很難找到你的網(wǎng)絡(luò)。然而,這種做法只是從接入點(diǎn)信標(biāo)中取消了SSID.它仍然包含在802.11相關(guān)的請(qǐng)求之中,在某些情況下還包含在探索請(qǐng)求和回應(yīng)數(shù)據(jù)包中。因此,竊聽者能夠使用合法的無(wú)線分析器在繁忙的網(wǎng)絡(luò)中迅速發(fā)現(xiàn)“隱藏的”SSID.

  一些人可能爭(zhēng)辯說(shuō),關(guān)閉SSID播出仍然會(huì)提供另一層安全保護(hù)。但是,要記住,它能夠?qū)W(wǎng)絡(luò)設(shè)置和性能產(chǎn)生負(fù)面影響。你必須手工向客戶機(jī)輸入SSID,這使客戶機(jī)的配置更加復(fù)雜。這還會(huì)引起探索請(qǐng)求和回應(yīng)數(shù)據(jù)包的增加,從而減少可用帶寬。

  8.不要信任MAC地址過濾

  無(wú)線安全的另一個(gè)不實(shí)的說(shuō)法是啟用MAC(媒體接入控制)地址過濾將增加另一層安全,控制哪一個(gè)客戶機(jī)能夠連接到這個(gè)網(wǎng)絡(luò)。這有一些真實(shí)性。但是,要記住,竊聽者很容易監(jiān)視網(wǎng)絡(luò)中授權(quán)的MAC地址并且隨后改變自己的計(jì)算機(jī)的MAC地址。

  因此,你不要以為MAC過濾能夠?yàn)榘踩鲈S多事情而采用MAC地址過濾。不過,你可以把這種做法作為松散地控制用戶可以使用哪一臺(tái)客戶機(jī)和設(shè)備進(jìn)入網(wǎng)絡(luò)的方法。但是,你還要考慮保持MAC列表處于最新狀態(tài)所面臨的管理難題。

  9.一定要限制SSID用戶能夠連接的網(wǎng)絡(luò)

  許多網(wǎng)絡(luò)管理員忽略了一個(gè)簡(jiǎn)單而具有潛在危險(xiǎn)的安全風(fēng)險(xiǎn):用戶故意地或者非故意地連接到臨近的或者非授權(quán)的無(wú)線網(wǎng)絡(luò),使自己的計(jì)算機(jī)向可能的入侵敞開大門。然而,過濾SSID是防止發(fā)生這種情況的一個(gè)途徑。例如,在Windows Vista和以上版本中,你可以使用netsh

  wlan指令向用戶能夠看到和連接的那些SSID增加過濾器。對(duì)于臺(tái)式電腦來(lái)說(shuō),你可以拒絕你的無(wú)線網(wǎng)絡(luò)的那些SSID以外的所有的SSID.對(duì)于筆記本電腦來(lái)說(shuō),你可以僅僅拒絕臨近網(wǎng)絡(luò)的SSID,讓它們?nèi)匀贿B接到熱點(diǎn)和它們自己的網(wǎng)絡(luò)。

  10.一定要物理地保護(hù)網(wǎng)絡(luò)組件的安全

  要記住,計(jì)算機(jī)安全并不僅僅是最新的技術(shù)和加密。物理地保證你的網(wǎng)絡(luò)組件的安全同樣重要。要保證接入點(diǎn)放置在接觸不到的地方,如假吊頂上面或者考慮把接入點(diǎn)放置在一個(gè)保密的地方,然后在一個(gè)最佳地方使用一個(gè)天線。如果不安全,有人會(huì)輕松來(lái)到接入點(diǎn)并且把接入點(diǎn)重新設(shè)置到廠商默認(rèn)值以開放這個(gè)接入點(diǎn)。

  11.不要忘記保護(hù)移動(dòng)客戶

  你的WiFi安全的擔(dān)心不應(yīng)該僅限于你的網(wǎng)絡(luò)。無(wú)線wifi覆蓋方案設(shè)計(jì)時(shí)還要考慮到使用智能手機(jī)、筆記本電腦和平板電腦的用戶也許也要得到保護(hù)。但是,在他們連接到WiFi熱點(diǎn)或者自己家里的路由器的時(shí)候會(huì)怎樣呢?你要保證他們其它的WiFi連接也是安全的以防止入侵和竊聽。

  遺憾的是保證WiFi連接外部的安全并不是一件容易的事情。這需要采取綜合性的方法,如提供和推薦解決方案以及教育用戶有關(guān)WiFi安全風(fēng)險(xiǎn)和防御措施等。

  首先,所有的筆記本電腦和上網(wǎng)本都應(yīng)該有一個(gè)個(gè)人防火墻以防止入侵。如果你運(yùn)行Windows Serve操作系統(tǒng),你可以通過組策略強(qiáng)制執(zhí)行這個(gè)功能,你還可以使用Windows Intune等解決方案管理非范圍內(nèi)的名計(jì)算機(jī)。

  其次,你需要保證用戶的互聯(lián)網(wǎng)通訊是加密的以防止本地竊聽,同時(shí)在其它網(wǎng)絡(luò)上提供訪問你的網(wǎng)絡(luò)的VPN(虛擬專用網(wǎng))接入。無(wú)線wifi運(yùn)營(yíng)時(shí),如果你不為這種應(yīng)用使用內(nèi)部的VPN,可以考慮使用Hotspot Shield或者Witopia等外包服務(wù)。對(duì)于iOS(iPhone、iPad和iPod Touch)和Android設(shè)備來(lái)說(shuō),你可以使用這些設(shè)備本地的VPN客戶端軟件。然而,對(duì)于黑莓和Windows Phone 7設(shè)備來(lái)說(shuō),你必須設(shè)置一個(gè)消息服務(wù)器并且設(shè)置這個(gè)設(shè)備使用自己的VPN客戶端軟件。

  你還應(yīng)該保證你的面向互聯(lián)網(wǎng)的服務(wù)是安全的,一旦用戶在公共網(wǎng)絡(luò)或者不可信任的網(wǎng)絡(luò)上不能使用VPN的時(shí)候可以使用這個(gè)服務(wù)。例如,如果你提供你的局域網(wǎng)、廣域網(wǎng)或者VPN以外的電子郵件地址,你要保證使用SSL加密以防止本地竊聽者。在不可信任的網(wǎng)絡(luò)中的竊聽者能夠捕獲用戶的登錄證書或者信息。

  云爍服務(wù),專業(yè)無(wú)線覆蓋,期待與您的合作!

  更多酒店無(wú)線覆蓋解決方案,請(qǐng)咨詢 在線客服,或致電400-0806-056.

  來(lái)源:互聯(lián)網(wǎng)

400-0806-056