防患于未然 无线网络安全也需提前预防

防患于未然 无线网络安全也需提前预防

有线网络安全有线可循，无线网络安全却无线难防。对于用空气作为桥接的无线网络，安全问题更需提前预防，不打无备之仗。各种加密手段尽量用上，全方位确保自己的无线网络安全。

如果读者朋友还对无线网络安全问题认识不够，这里可以先给大家举个实际的例子：笔者一个朋友前不久也“无线”了，他拿起本本在客厅上网时的速度比在AP旁边的速度要快得多！知道原因吗？原来在客厅无线上网时的信号来自邻居家！！探其原因，极有可能邻居家无线构造跟朋友家一样，而且邻居家的无线网络安全也受到威胁，是因为没有采取加密手段！

当然，以上例子也是属于无意的巧合。可是，我们不能不对现今的网络环境引起重视！有线网络的安全预防读者朋友也见得多了，那么我们该如何预防无线网络安全隐患的突发呢？

常见安全问题分析与解决

问题一：如何防止如上例中的未经授权用户擅自访问？

解决办法：1.使用各种最新的身份认证措施来防止未经授权用户的访问。我们知道，无线信号都是在空气中传播的，那么也就难免会传播到其它一些不希望到达的地方，只要是在信号覆盖范围内，那非法用户无需任何物理连接就可以获取无线网络的数据，因此，必须从多方面防止非法终端接入以及数据的泄漏问题。

2.利用网卡MAC地址来防止。每块无线网卡都拥有唯一的一个MAC 地址，如果我们为 AP 设置一个基于MAC 地址的 Access Control访问控制表），就可确保只有经过注册的设备才能进入网络。

问题二：如何预防非法AP的接入访问？

解决办法：可以利用对AP的合法性验证以及定期的站点审查来防止。在无线AP接入有线集线器时，会遇到非法AP的攻击，非法安装的AP会危害无线网络的宝贵资源，因此必须对AP的合法性进行验证。因此在选择购买AP时就应考虑到这一点。在此验证过程中不但AP需要确认无线用户的合法性，无线终端设备也必须验证AP是否为虚假的访问点，然后才能进行通信。

无线网络安全综合预防提议

一、 本文开篇时的例中情况就是无线访问点没有处在一个封闭的环境中造成的。所以，首先就应注意合理放置访问点的天线。以便能够限制信号在覆盖区以外的传输距离。别将天线放在窗户附近，因为玻璃无法阻挡信号。你最好将天线放在需要覆盖的区域的中心，尽量减少信号泄露到墙外。当然，完全控制信号泄露几乎是不可能的，所以还需要采取其它措施。

二、 将信号天线问题处理好之后，再将其加一层“保护膜”，即一定要采用无线加密协议Wired Equivalent Privacy，WEP）。它是对无线网络上的流量进行加密的一种标准方法，符合802.11b标准。这种协议标准尽管存在重大缺陷，但它仍有助于阻挠偶尔闯入的黑客，起到互补的作用。

三、 建议禁用DHCP和SNMP设置。从禁用DHCP对无线网络而言，这很有意义。如果采取这项措施，黑客不得不破译你的IP地址、子网掩码及其它所需的TCP/IP参数无疑也就增加了难度）。无论黑客怎样利用你的访问点，他仍需要弄清楚IP地址。而关于SNMP设置，要么禁用，要么改变公开及专用的共用字符串。如果不采取这项措施，黑客就能利用SNMP获得有关你方网络的重要信息。

四、 使用访问列表也称之为访问控制列表）。为了进一步保证你的无线网络安全，建议选用此项特性，但请注意，并不是所有的无线访问点都支持。因为此项特性可以具体地指定允许哪些机器连接到访问点。支持这项特性的访问点有时会使用普通文件传输协议(TFTP)，定期下载更新的列表，非常有用。

五、 综合使用无线和有线策略。无线网络安全不是单独的网络架构，它需要各种不同的程序和协议配合。制定结合有线和无线网络安全的策略能够最大限度提高安全水平。例如，不论我们是通过有线还是无线方式进入网络时，都采用集成化的单一用户ID和密码等。