图四:AP支持的加密选项
对许多个人的WLAN来说,使用WPA-PSK就可提供足够的安全保护了,不过所使用的密码必需足够长并且是没有什么具体含义的,不要使用数字,或者来自字典中的单词,因为如同cowpatty之类的程序已经可完成对WPA-PSK的基于字典的攻击 。许多安全方面的专家推荐使用128bit的PSK,现在的许多WPA设备都支持字母与数字的PSK,也就是说,只需要16个字符就可达到专家的要求 。
在因特网上有许多的密码产生器,我们可以通过Google来快速搜索到 。例如在http://www.elfqrin.com/pwgen.Html这个页面中,有诸如小写字母、大写字母、数字、空格与定制这些的组合来产生密码,甚至还可估计出要破解产生的这些密码大致需要多长的时间 。
在这点的最后,我想提到的是现在有些生产厂商已开始出售这样的产品了,他们许诺在无线连接的安全保密方便可轻易地通过“一键设置”来未完成 。Buffalo Technology最先生产出来了基于他们的AOSS(AirStation One-Touch Secure Station)技术的第一款产品;Linksys最近也开始出售基于相似技术的产品了,不过这种技术是从Broadcom的SecureEasySetup授权过来的 。
3、面对拥有WEP/WPS-PSK破解技术的人
虽然WPA和WPA2解决了许多由WEP带来的难题,但它们依旧轻易受到攻击,非凡是关于PSK,许多人已可破解WEP密钥了 。要破解WPA和WPA2“Personal”的pre-shared key是比较困难的,并且在时间上的开销也是相当长在,非凡是假如使用了AES加密编码的话更是困难 。虽说如此,但它还是可能被破解 。
对策8:增加身份验证
面对各种新兴的网络攻击,治理员应该在网络中使用身份验证 。身份验证通过要求一台客户端计算机“注册”到网络中来增加另外一层次上的安全措施 。一般来说,这个“注册”过程包含被身份验证服务器处理的证书、标记和手动输入的密码(也叫做Pre-Shared-Key)组成 。802.1x通过WEP、WPA和WPA2提供存取控制构架的使用,并且支持进行真实身份验证的几种EAP(Extensible Authentication Protocol)类型,George Ou’s关于Authentication Protocols的文章有大量的关于EPA、WPA和WPA2方面的内容 。
对专业的网络人员来说配置身份验证是一项繁琐和费时的任务,更不用说家庭网络的使用人员了 。举个例子来说,今年在旧金山举行的RSA大会上,各位与会者根本不必要操心去设置他们的无线连接,因为整页的说明书都是要求他们必须按照规定去做的 。幸运的是,现在这种现象有所好转,现在有许多比较轻易实现的产品可供选择了,LucidLink的2005年底提供一种名为“free fully-functional version”产品,对不超过三个用户,它支持无线安全和身份验证设置 。Wireless Security Corporation(最近被McAfee收购)公司的WSC Guard也是一款相类似的产品 。这是一款需要预订的产品,大量购买的话大概每用户每月的费用是从4.95美元开始的 。从http://www.wirelesssecuritycorp.com/wsc/public/WirelessGuard.do可下载到30天的试用版本 。
对有更多经验的网络人员来说另一个好的选择是TinyPEAP,它添加了一个小的支持基于PEAP身份验证的RADIUS服务到LinKsys WRT54G和GS无线路由器中,注重由于LinKsys并没有正式地支持这个固件,因此在安装TinyPEAP时出现了问题可是要自己负责的 。
4、破解方面的专业老手
到现在为止,我们对无线入侵者采取的封锁措施已算是比较严密的了,假如在有线的以太网中则是相当于把他们的端口给封住了,但不管你做得有多好,防范得有多严密,总有一些破解方面的老手能穿透你无线网络的所有防御措施 。那现在我们应该做些什么呢?现在有许多有线或无线网络的入侵检测和保护的产品可用,不过它们一般是定位于企业应用软件,因此是要收费的;不过也有一些开源的产品,但对网络初学者来说它们的用户界面都不是很友好,这方面最广泛使用的就是Snort了 。
推荐阅读
- 揭密--EF71的 收音机功能
- 山居秋暝释义 山居秋暝的译文
- 百度集好运活动邀请好友的图文操作
- WLAN 无线局域网部署仿真与现场勘测工具
- 油菜田黑壳虫的发生与防治
- 饮用纯净水标准 饮用纯净水标准是什么
- 煎茄子的家常做法
- 李庄白肉的意义
- 我的A63三次充电以来的感受
- 天天用车APP发布路线的操作流程