如何安全的使用WIFI

1、如何安全的使用 WIFI以下是OMG小编为大家收集整理的文章，希望对大家有所 帮助。WiFi自身的特性注定了它很容易遭受攻击及窃听活动的骚 扰，但只要我们采取正确的保护措施，它仍然可以具备相当程度的安 全性。遗憾的是网上流传着太多过时的建议与虚构的指导，而我在本文中将与大家分享数项正面与负面措施，旨在为切实提高WiFi安全性带来帮助。1. 不要使用WEPWEP（即有线等效保密机制）保护早已过时，其底层加密机制 现在已经完全可以被一些没啥经验的初心者级黑客轻松打破。因此， 大家不应该再使用 WEP。立即升级到由 802.1X认证机制保护的 WPA2（即WiFi接入保护）是我们的不二选择。如果大家

2、使用的是旧版 客户端或是接入点不支持 WPA2，那么请马上进行固件升级或者干脆 更换设备吧。2. 不要使用 WPA/WPA2-PSKWPA以及WPA2中的预共享密钥（简称PSK）模式对于商务 或企业应用环境不够安全。在使用这一模式时，必须将同样的预共享 密钥输入到每个客户端当中。也就是说每当有员工离职或是某个客户 端遭遇丢失或被窃事件，我们都需要在全部设备上更改一次 PSK，这 对于大部分商务环境来说显然是不现实的。3. 必须采用802.11iWPA以及WPA2安全机制所采用的EAP（即扩展认证协议） 模式通过802.1X认证机制代替代替PSK，这样我们就有能力为每位 用户或每个客户端提供登录

3、凭证：用户名、密码以及/或者数字证书。 真正的加密密钥会定期修改，并在后台直接进行替换，使用者甚至不 会意识到这一过程的发生。因此要改变或撤销用户的访问权限，我们只需在中央服务器上修改登录凭证，而不必在每个客户端中更换 PSK。每次会话所配备的独立密钥也避免了用户流量遭受窃听的危险 —&m dash; 这一点如今在火狐插件Firesheep以及An droid 应用程序DroidSheep之类工具的辅助之下已经变得非常简单。要使 用802.1X认证机制，我们必须先拥有一套 RADUIS/AAA服务器。 如果大家使用的是 windows Server 2008或是该系列的更高版本，也

4、可以考虑使用网络策略服务器（简称NPS）或是互联网验证服务（简 称IAS）的早期服务器版本。而对于那些没有采用windows Server的用户来说，开源服务器FreeRADIUS是最好的选择4保证802.1X客户端得到正确的配置WPA/WPA2的EAP模式在中间人攻击面前仍然显得有些 脆弱，不过保证客户端得到正确的配置还是能够有效地防止此类威 胁。举例来说，我们可以在 Windows的EAP设置中通过选择 CA 认证机制以及指定服务器地址来启用服务器证书验证；也可以通过提 示用户新的受信任服务器或 CA认证机制来禁用该机制。我们同样可以将802.1X配置通过组策略或者像 Avenda的 Qu

5、ick1X这样的第三方解决方案应用在域客户端中。5. 必须采用无线入侵防御系统WiFi安全保卫战的内容可不仅仅局限于抵抗来自网络的直 接访问请求。举例来说，客户们可能会设置恶意接入点或者组织拒绝 服务攻击。为了帮助自身检测并打击此类攻击行为，大家应该采用无线入侵防御系统（简称WIPS）。WIPS的设计及运作方式与供应商提 供的产品不太一样，但总体来说该系统会监控搜索行为并及时向我们 发出通知，而且有可能阻止某些流氓 AP或恶意活动的发生。不少商业供应商都在提供WIPS解决方案，例如AirMag net公司及AirTightNetworks 公司。像Snort这样的开源方案也有不少。6. 必须部

6、署NAP或是NAC在802.11i及WIPS之外，大家还应该考虑部署一套网络访 问保护（简称NAP）或是网络访问控制（简称NAC）解决方案。它们能够 为网络访问提供额外的控制力，即根据客户的身份及明确的相关管理 政策为其分配权限。它们还具备一些特殊功能，用于隔离那些有问题 的客户端并依照管理政策对这些问题进行修正。有些NAC解决方案中可能还包含了网络入侵防御与检测功能，但大家一定要留意这些功能是否提供专门的无线保护机制。如果大家在客户端中使用的是 Win dows Server 2008 或更 高版本以及 Windows Vista系统或更高版本，那么微软的 NAP功 能也是值得考虑的。如果系

7、统版本不符合以上要求，类似 PacketFenee这样的第三方开源解决方案同样能帮上大忙。7. 不要相信隐藏SSID的功效无线安全性领域有种说法，即禁用 AP的SSID广播能够让我们的网络隐藏起来，或者至少将 SSID隐藏起来，这样会使黑客难以找到目标。而事实上，这么做只会将SSID从AP列表中移除。802.11连接请求仍然包含在其中，而且在某些情况下，还会探测连 接请求并响应发来的数据包。因此窃听者能够迅速找出那些“隐藏” 着的SSID—— 尤其是在网络繁忙的时段-要做到这 一点，一台完全合法的无线网络分析器就足够了。有些人可能坚持认为禁用SSID广播还是能够提供某种

8、程度 上的安全保障的，但请大家记住，它同样会给网络的配置及性能带来 负面影响。我们将不得不为客户端手动输入SSID，而客户端的配置也将变得更加复杂。这一切的一切最终会导致探测请求及响应数据包 的增加，也就变相减少了可用的带宽。8. 不要相信MAC地址过滤功能无线安全领域的另一大习俗是将启用 MAC地址过滤功能视 为另一重安全保障，并认为这能有效控制客户端与网络之间的连通。 这其中有一些道理，但请注意，窃听者们能够很轻松地监控MAC地址认证机制并将自己的计算机 MAC地址修改为符合要求的内容。因此，大家不该将保证安全的希望过多地寄托在 MAC地址 过滤功能上，而只应将其视为对内网计算机及终端设备

9、用户的一种松散化管理。此外，大家还要考虑到管理 MAC更新列表所带来的种种 麻烦与不便。9. 必须限制SSID用户的连接目标许多网络管理员都忽视了一个简单但潜在威胁巨大的安全 风险，即用户会有意无意地连接到邻近的或是某个未经授权的无线网 络中，而这很可能引发对其计算机设备的入侵活动。在这方面，SSID过滤机制是规避风险的一大有效手段。以Win dows Vista 系统及其更高版本为例，我们可以使用 Netsh wlan 命令为SSID用户添加可 搜索及可连接网络的过滤机制。对于台式机而言，我们则可以直接将 除自设无线网络之外的全部 SSID加以屏蔽。而在笔记本电脑方面， 最好是屏蔽掉所有邻近

10、网络的 SSID，只保留周边热点及家用网络连 接。10. 必须保证网络组件的物理安全性请记住，计算机安全保障的内容并不限于最新技术与加密手 段。为自己的网络组件做好物理安保同样重要。确保每个接入点都部署在他人无法触碰（例如天花吊顶中）的位置，甚至可以考虑将大量AP 设备安置在某个安全空间内，再甩一根天线摆在最利于信号传送的地 方。如果这方面得不到良好贯彻，某些家伙将能够很方便地对AP设备进行重启并恢复默认设置，这样连接的通路也就被打开了11. 不要忘记保护移动客户端在网络之外，用户智能手机、笔记本电脑与平板设备也是我 们必须关注的安全要点，因为它们同样会接入WiFi热点或是家庭无线路由器。要保障 WiFi连接之外的设备安全其实是相当困难的，因 为我们不仅要为用户提供建议及具体解决方案，还要对他们进行 WiFi安全风险及预防措施的相关指导。首先，所有的笔记本及上网 本必须要具备个人防火墙。其次，一定确保用户的互联网流量经过严 格加密，以防止犯罪分子通过在其它网络上利用发起访问来