维护无线网络安全

㈠ 九大措施有效保护企业无线网络的安全

一般来说，黑客使用的设备到达不了无线网络，他们也就无法闯入。有些路由器让你能够控制广播的信号强度。如果你有这个选项，就把路由器的信号减小到所需要的最弱强度。另外，可以考虑在晚上及不使用的其他时间段禁用无线路由器。
你不一定非得是系统专家、才能更有效地保护自己防范黑客。很难阻止黑客访问像电子信号这种看不见、摸不着的东西。这就是为什么保护无线网络安全始终颇具挑战性。如果你的无线网络不安全，贵公司及数据就面临很大的风险。那样，黑客们也许能够监控你访问了哪些网站，或者查看你与业务合作伙伴交换了哪些信息。他们说不定还能登录到你的网络上、访问你的文件。
虽然无线网络一直容易受到黑客入侵，但它们的安全性还是得到了大大增强。下面这些方法旨在帮你提高安全系数。
一、安装安全的无线路由器
这个设备把你网络上的计算机连接到互联网。请注意：不是所有路由器都是天生一样的。至少，路由器需要具有以下三种功能：（1）支持最不容易被破解的密码；（2）可以把自己隐藏起来，防止被网络外面未经授权、过于好奇的人看见；以及（3）防止任何人通过未经授权的计算机进入网络。
二、选择安全的路由器名字
可以使用生产厂商的配置软件来完成这一步。路由器的名字将作为广播点（又叫热点），你或试图连接至路由器广播区范围之内的无线网络的任何人都看得见它。不要把路由器的品牌名或型号作为其名字。那样的话，黑客很容易找出路由器可能存在的安全漏洞。
同样，如果把你自己的姓名、住址、公司名称或项目团队等作为路由器的名字，这无异于帮助黑扰谨客猜出你的网络密码。
你可以通过这个办法来确保路由器名字的安全：名字完全由随机字母和数字或者不会透露路由器型号或你身份的其他任何字符串组成。
三、定制密码
应当更改路由器出厂设置的默认密码。如果你让黑客知道了所用路由器的型号，他们就会知道路由器的默认密码。而如果配置软件提供了允许远程管理的选项，就要禁用这项功能，以便没有人能够通过互联网控制路由器设置。
四、隐藏路由器名字
选择了一个安全的名字后，就要隐藏路由器名字以免广播，这个名字又叫服务集标识符（SSID）。
一旦你完成了这了步，路由器就不会出现在你所在地区的路由器广播列表上，邻居及黑客因而就看不见你的无线网络。以后你照样可以广播信号，而黑客需要复杂的设备才能确定你有没有无线网络。
五、限制网络访问
应当使用一种名为MAC地址过滤的方法，防止未经授权的计算机连接到你的无线网络。为此，首先必须查明允许连接到你网络上的每一台计算机的介质访问控制（MAC）地址。所有计算机统一采用12个字符长的MAC地址来标识。想查看你的那些计算机，点击“开始”，然后点击“运行”，输入cmd后点击“确定”。这时就会打开带DOS提示符的新窗口。
输入ipconfig/all，按回车键，即可查看所有计算机网卡方面的信息。“物理地址”（Physical Address）这一栏显示了计算机的MAC地址。
一旦你拥有了授权MAC地址的列表，可以使用安装软件来访问路由器的MAC地址控制表。然后，输入允许连接至网络的每一台计算机的MAC地址。如果某个计算机的MAC地址没有出现在该列表上，它就无法连接到你的路由器和网络。
请注意：这并非万无一失的安全方法。经验老余态到的黑客可以为自己的计算机设定一个虚假的MAC地址。但他们需要知道你的授权计算机列表上有哪些MAC地址。遗憾的是，因为MAC地址在传输时没有经过加密，所以黑客只要探测或监控你网络上传输的数据包，就能知道列表上有哪些MAC地址。所以，MAC地竖李源址过滤只能对付黑客新手。不过，如果你打消了黑客的念头，他们可能会放过你的网络，改而攻击没有过滤MAC地址的网络。
六、选择一种安全的加密模式
为无线网络开发的第一种加密技术是有线对等保密（WEP）。所有加密系统都使用一串字符（名为密钥）对数据进行加密及解密。为了对网络上广播的数据包进行解密，黑客必须弄清楚相关密钥的内容。密钥越长，提供的加密机制就越强。WEP的缺点在于，密钥长度只有128位，而且从不变化，这样黑客就比较容易破解密钥。
近些年来开发的无线保真保护接入2（WPA2）克服了WEP的部分缺陷。WPA2使用256位的密钥，只适用于款式的路由器上，它是目前市面上大的加密机制。数据包在广播过程中，WPA2加密密钥不断变化。所以黑客想通过探测数据包来破解WPA2密钥，那纯粹是在浪费时间。因而，如果你的路由器比较新，也提供了加密选项，就应当选择WPA2，而不是选择WEP.请注意：WPA1适用于大企业，配置起来比较复杂；WPA2适用于小公司和个人，有时被称为WPA-PSK（预共享密钥）。
WPA2消除不了所有风险。用户登录到WPA2无线网络时会出现的风险。为了获得访问权，用户必须提供名为预共享密钥的密码。系统管理员在构建设置网络时，在每个用户的计算机上设好了这个密钥。如果用户试图接入网络，黑客就会试图监控这个过程，从中破解预共享密钥的值。一旦他们得逞，就能连接至网络。
幸运的是，预共享密钥的长度可在8个至63个字符之间，可以包含特殊字符和空格。为了尽量提高安全系数，无线网络上的密码应当包含63个字符，包括词典中查不到的随机组合。
七、限制广播区
应当把路由器放在你所在大楼的中央，远离窗口或者大楼的四边。这样一来，就可以限制路由器的广播区。然后，带着笔记本电脑在大楼外面转一圈，看看能不能从附近的停车场或街道收到路由器的信号。
一般来说，黑客使用的设备到达不了无线网络，他们也就无法闯入。有些路由器让你能够控制广播的信号强度。如果你有这个选项，就要把路由器的信号减弱到所需要的最弱强度。可以考虑在晚上及不使用的其他时间段禁用无线路由器。没必要关闭网络或Web服务器，只要拨下路由器的电源插头就行了。这样既不会限制内部用户对网络的访问，也不会干扰普通用户使用你的网站。
八、考虑使用高级技术
如果你决定升级路由器，不妨考虑把原来的那只路由器用作蜜罐（honeypot）。这其实是伪装的路由器，是为了吸引及挫败黑客而设置的。只要插入原来的那只路由器，但不要把它与任何计算机连接起来。把该路由器命名为Confidential，不要把SSID隐藏起来，而是要广播它。
九、采取主动
不要坐以待毙。采用上述方法来保护贵公司及数据、远离入侵者。要熟悉你所用路由器的种种选项，并且主动设置到位。

㈡ 无线网络有什么安全措施呢

一、Open System
完全不认证也不加密，任何人都可以连到无线基地台使用网络。
二、WEP (Wired Equivalent Privacy) 有线等效加密
最基本的加密技术，手机用户、笔记型计算机与无线网络的Access Point（网络金钥AP）拥有相同的网络金钥，才能解读互相传递的数据。这金钥分为64bits及128bits两种，最多可设定四组不同的金钥。当用户端进入WLAN前必须输入正确的金钥才能进行连接。
WEP加密方法很脆弱。网络上每个客户或者计算机都使用了相同的保密字，这种方法使网络偷听者能刺探你的密钥，偷走数据并且在网络上造成混乱。
三、WPA (Wi-Fi Protected Access) 商务宝采用的加密方式
由Wi-Fi Alliance (http://www.wi-fi.com/)所提出的无线安全标准，有分成家用的WPA-PSK (Pre-Shared Key)与企业用的WPA-Enterprise版本。
1、WPA-PSK
为了堵塞WEP的漏洞而发展的加密技术，使用方法与WEP相似。无线基地台与笔记型计算机必须设定相同的Key，计算机才可以连入基地台。但其进入WLAN时以更长词组或字串作为网络金钥。并且WPA-PSK运用了TKIP (Temporal Key Integrity Protocol)技术，因此比WEP难被破解而更加安全。
WPA-PSK通过为每个客户分配唯一的密钥而工作，但需要给雇员密码以便登陆系统。这样，外部的人可通过他们享用网络资源。如果你希望修改密码（建议每隔一段时间修改密码以防止偷听者解码），你可能得跑到每台电脑前去输入新的密码。
2、WPA-Enterprise
采用IEEE 802.1x则需要有另一台储存无线使用者账户数据的RADIUS (Remote Authentication Dial-In User Service)服务器，当笔记型计算机连入无线基地台时，无线基地台会要求使用者输入账号密码、或是自动向笔记型计算机索取储存在计算机硬盘的使用者数字凭证，然后向RADIUS服务器确认使用者的身分。而用来加密无线封包的加密金钥(Key)，也是在认证的过程中自动产生，并且每一次联机所产生的金钥都不同(专业术语称为Session Key)，因此非常难被破解。
用用户名和密码安全登陆网络后，每个客户会自动得到一个唯一的密钥，密钥很长并且每隔一段时间就会被更新。这样wi-Fi监听者就不能获取足够的数据包来解码密钥。即使一个密钥因为某种原因被解码了，富于经验的黑客有可能发现新的密钥，但是加密锁已经变了。
一但应用了WPA-Enterprise，不像WPA-PSK那样，雇员将不会知道密码。这样，外部的人就不能通过他们享用网络资源。WPA-Enterprise还可以节约你大量的时间；你无需花费大量的时间去人工更换客户的密码。
四、WPA2
WPA2顾名思义就是WPA的加强版，也就是IEEE 802.11i无线网络标准。同样有家用的PSK版本与企业的IEEE 802.1x版本。WPA2与WPA的差别在于，它使用更安全的加密技术AES (Advanced Encryption Standard)，因此比WPA更难被破解、更安全。
五、MAC ACL (Access Control List)
MAC ACL只能用于认证而不能用于加密。在无线基地台输入允许被连入的无线网卡MAC地址，不在此清单的无线网卡无法连入无线基地台。
六、Web Redirection
这种方式是WISP (Wireless Internet Service Provider，例如统一安源WiFly)最常用的方式。无线基地台设定成Open System，但是另外在后台利用存取控制网关器(Access Control Gateway, ACG)，拦截笔记型计算机发出的Web封包(开启浏览器尝试上网)，并强制重导到认证网页要求输入账号密码，然后ACG向RADIUS认证服务器来确认使用者的身分，认证通过才可以自由到其它的网站。

加密方式对比
WEP安全加密方式:WEP特性里使用了rsa数据安全性公司开发的rc4 prng算法。全称为有线对等保密(Wired Equivalent Privacy，WEP)是一种数据加密算法，用于提供等同于有线局域网的保护能力。使用了该技术的无线局域网，所有客户端与无线接入点的数据都会以一个共享的密钥进行加密，密钥的长度有40位至256位两种，密钥越长，黑客就需要更多的时间去进行破解，因此能够提供更好的安全保护。
WPA安全加密方式:WPA加密即Wi-Fi Protected Access，其加密特性决定了它比WEP更难以入侵，所以如果对数据安全性有很高要求，那就必须选用WPA加密方式了(Windows XP SP2已经支持WPA加密方式)。 WPA作为IEEE 802.11通用的加密机制WEP的升级版，在安全的防护上比WEP更为周密，主要体现在身份认证、加密机制和数据包检查等方面，而且它还提升了无线网络的管理能力。

WPA2：目前最强的无线加密技术,WPA2是WiFi联盟验证过的IEEE 802.11i标准的认证形式，WPA2实现了802.11i的强制性元素，特别是Michael算法被公认彻底安全的CCMP(计数器模式密码块链消息完整码协议)讯息认证码所取代、而RC4加密算法也被AES所取代。 在WPA/WPA2中，PTK的生成是依赖于PMK的，而PMK的方式有两种，一种是PSK方式，也就是预共享密钥模式(pre-shared key，PSK，又称为个人模式)，在这种方式中PMK=PSK;而另一种方式则需要认证服务器和站点进行协商来产生PMK。下面我们通过公式来看看WPA和WPA2的区别：WPA = IEEE 802.11i draft 3 = IEEE 802.1X/EAP + WEP(选择性项目)/TKIP
WPA2 = IEEE 802.11i = IEEE 802.1X/EAP + WEP(选择性项目)/TKIP/CCMP

目前WPA2加密方式的安全防护能力非常出色，只要你的无线设备均支持WPA2加密，那你将体验到最安全的无线网络生活。即使是目前最热的“蹭网卡”也难以蹭入你的无线网络，用户大可放心使用。