問:我是一個企業(yè)的網(wǎng)絡(luò)管理員,最近我們領(lǐng)導(dǎo)要求在實驗室內(nèi)建立一套完整的網(wǎng)絡(luò),方便在實驗室查閱資料。由于實驗室內(nèi)的計算機要和外界進行通訊,但是在設(shè)計之初沒有在墻面預(yù)先留下任何接插面板,所以本人查閱了大量資料決定通過無線網(wǎng)絡(luò)來完成網(wǎng)絡(luò)接入服務(wù),選擇的設(shè)備都是市面上比較流行的54M標準的無線設(shè)備。但是這樣也存在了一個疑問,那就是由于企業(yè)對實驗室內(nèi)計算機上的數(shù)據(jù)有比較高的安全要求另外對計算機上網(wǎng)速度也有很高要求,所以本人決定針對無線網(wǎng)絡(luò)進行加密,從而提高安全性,避免非法入侵者的隨意連接,但是有人說對無線網(wǎng)絡(luò)進行加密會在一定程度上影響速度,所以在這里想請教專家,到底無線網(wǎng)絡(luò)安全的提升是否必須通過無線通訊加密來完成,如果必須通過無線加密手段來提高安全的話,這樣手段是否是把雙刃劍從而帶來無線傳輸速度的變慢呢? 答:這位朋友遇到的問題比較典型,隨著無線網(wǎng)絡(luò)的飛速發(fā)展,無線設(shè)備的價格也變得越來越便宜,于是很多企業(yè)都開始針對之前建立的有線網(wǎng)絡(luò)盲點區(qū)域進行升級,用無線網(wǎng)絡(luò)作為有線網(wǎng)絡(luò)的有力補充,然而在實際使用中都被安全與速度兩大因素困擾,下面我們就來根據(jù)這位朋友的實際問題進行回答。
一、無線網(wǎng)絡(luò)安全的提升是否必須通過無線通訊加密來完成?
提升無線網(wǎng)絡(luò)安全的方法有很多,通過針對無線通訊數(shù)據(jù)進行加密是一個有效的辦法,通過這個方法可以大大提升無線安全。但是他不是最有效的,高水平黑客是可以通過sniffer等手段來監(jiān)聽無線數(shù)據(jù)通訊來暴力破解加密密鑰的。所以說要想讓我們的無線網(wǎng)絡(luò)萬無一失僅僅對通訊進行加密是不夠的。下面筆者將常見的幾個方法和安全效果羅列出來提供參考。
(1)修改無線路由器默認密碼和默認IP地址:
安全級別:★★★☆
缺點:有點基礎(chǔ)的人會通過sniffer掃描出無線路由器的默認IP地址,不過默認密碼修改可以大大提高無線通訊安全性。
(2)禁止無線SSID廣播:(如圖1)
安全級別:★★
缺點:防菜鳥不防高手,同樣可以通過無線sniffer工具掃描出無線通訊數(shù)據(jù)包的信息,從中可以分析出隱藏了的SSID號。
(3)WEP加密無線網(wǎng)絡(luò)通訊數(shù)據(jù):
安全級別:★★★★
缺點:通過無線sniffer工具進行長時間監(jiān)聽數(shù)據(jù),當積累足夠多的數(shù)據(jù)包后可以通過暴力法來窮舉WEP加密密鑰。實際中筆者成功破解過。
(4)WPA加密無線網(wǎng)絡(luò)通訊數(shù)據(jù):
安全級別:★★★★★
缺點:配置比較麻煩,但是這個方法安全性非常高,除了員工不小心泄露了WPA加密密鑰造成非法人員連接外正常情況下此方法萬無一失。
(5)MAC地址過濾:(如圖2)
安全級別:★★★★
缺點:偽造MAC地址成為破解該方法的突破口,另外煩瑣的添加MAC地址過濾信息工作為網(wǎng)絡(luò)管理員增加了工作量。
在實際維護和使用無線網(wǎng)絡(luò)過程中,如果我們對無線網(wǎng)絡(luò)安全要求比較高那么就應(yīng)該采取上面多個方法結(jié)合的辦法,單獨的某一種方法都存在著“軟肋”,理論上講最安全的辦法就是通過WPA加密無線網(wǎng)絡(luò)通訊數(shù)據(jù)再結(jié)合MAC地址過濾,這樣可以避免員工不小心泄露了WPA加密密鑰造成非法人員連接,也可以阻止偽造 MAC地址的虛假連接。
小提示:
如果無法配置WPA加密的話我們用WEP加密來替代也是沒有任何問題的,這種安全措施的組合拳一樣非常有效。
