Windows XP Windows 7 Windows 2003 Windows Vista Windows教程綜合 Linux 系統教程
Windows 10 Windows 8 Windows 2008 Windows NT Windows Server 電腦軟件教程
 Windows教程網 >> Windows XP系統教程 >> XP系統基礎知識 >> Windows XP無線網絡安全精解

Windows XP無線網絡安全精解

日期:2017/1/24 12:03:08      編輯:XP系統基礎知識

早期無線網絡由於自身的特殊性和設備昂貴的原因,一直沒有普遍開來,因此,無線的網絡安全一直也沒有引起多少人的注意,隨著近幾年,無線網絡設備的價格一降再降,終於降到了大多數人可以接受的地步,而配置一個無線的網絡也不需要具備以往的高級工程師技術,在Win XP下,只需要按照向導點擊幾下鼠標,用不了幾分鐘就可以建成一個無線網絡,簡易就是不安全的代名詞,因此,無線網絡的安全也越來越被人們所關注。

目前無線網絡的主要風險體現在服務盜用、數據盜取,數據破壞、干擾正常服務幾個方面,這些在XP的無線網絡裡同樣存在。為避免安全風險的威脅,我們將逐一進行分析。

還是應了上面的那句話:“簡易就是不安全的代名詞”,XP的無線安全風險的最大因素,恰恰是來自於XP最簡單易用的功能——“無線零配置”(WIRELESS? ZERO? CONFIGURATION),由於接入點可以自動發送接收信號,因此XP客戶端一旦進入了無線網絡信號的覆蓋范圍,就可以自動建立連接,如果進入了多個無線網絡的信號覆蓋范圍,系統能自動與最近的接入點聯系,並自動配置網卡進行連接,完成後,在“可用網絡”中將出現建立的連接的SSID,由於不少廠商使用網卡的半個Mac地址來默認命名SSID,因此,使得SSID默認名可以推測,攻擊者知道了默認名稱後,至少連到接入點的網絡是輕而易舉了。

主要的針對措施有三個:

1、啟用無線設備的不廣播功能,不進行SSID的擴散。

這個功能需要在硬件設備的選項裡尋找,啟用後將封閉網絡,

這個時候想連接網絡的人必須提供准確的網絡名,而不是XP系統自動提供的網絡名。

2、使用不規則網絡名,禁止使用默認名。

如果不廣播了,攻擊者還是可以通過猜測網絡名連入網絡,因此有必要修改默認名。

這裡的不規則可以借鑒一下密碼設置技巧,不設置具有敏感信息的網絡名。

3、客戶端Mac地址過濾

設定只有具有指定的Mac的客戶端才可以連接接入點,可以將連入者進一步把關。

上面的三個辦法只是屬於XP無線安全的初級設置,不要指望設置了這三個步驟後就可以高枕無憂了,從目前的安全設置來看,雖然可以防備部分無線攻擊了,但是,由於並沒有對傳輸中的數據采取任何加密措施,因此,只要攻擊者使用一些特定的無線局域網工具,就可以抓取空中的各種數據包,通過對這些數據包的內容分析,可以獲得各種信息,其中就包括SSID和Mac地址,因此前面的三個辦法對於這種攻擊就形同虛設了。我們下一步面臨的是無線傳輸的加密問題----WEP。

這是一個極具爭議的話題,因此,為避免走入誤區,我們將不對這個問題的強項和弱點一一詳細解釋,只一句話帶過:“WEP為無線局域網提供了從數據安全性、完整性到數據來源真實性較為全面的安全性,但是WEP的密鑰容易被攻擊者得到”。雖然目前針對這一點廠商有所加強,微軟也發布了相關的升級包(KB826942,support.microsoft.com/default.ASPx?scid=kb;zh-cn;826942), 但是不能從根本上解決這個問題。

WEP運行於接入點,如果我們是在2000上啟用WEP,那麼必須使用客戶端軟件提供的共享密鑰,如果是使用的XP,就不需要了,系統會在第一次接入啟用WEP的時候進行提示,輸入密鑰後可繼續以下的配置:

1、打開“網絡連接”,點擊無線網卡的屬性。

2、選中“首選網絡”,選中或添加一個條目,然後點擊屬性。

3、打開“無線網絡屬性”後進行以下操作:

1)修改“網絡名”

2)將“數據加密(WEP)”打勾

3)將“網絡驗證”打勾

4)選擇匹配接入點的“密鑰格式”(ASCII或十六進制)和“密鑰長度”(40或

104)。

5)需要輸入正確的“網絡密鑰”

6)不選“自動選中密鑰”。

4、保存關閉。

OK,針對XP下針對WEP的設置基本上就完成了,但是為了無線網絡的更加穩固,

我們再看看其他需要注意的安全措施:

1、網絡中盡可能包含一個驗證服務器。

將網絡配置成所有連接請求必須先通過驗證服務器的驗證,

將大大提高無線網絡的安全性。

2、每月修改一次WEP密鑰

因為WEP有記錄缺陷,所以最好每隔一段時間就修改一次WEP密鑰。

3、避免有線與無線網絡互聯。

無線網絡應該是獨立的,為避免互相牽連,避免增加安全風險,應將有線與無線網絡分開,至少應該在二者之間建立防火牆。

4、建立VPN驗證

在接入點和網絡之間再加入一台VPN服務器,這樣一來攻擊者可能可以接上接入點,但只是死蟹一只,進不了網絡,無法對網絡搞任何破壞。

5、定期維護

維護的內容是檢查網絡和審查日志,

檢查網絡可以使用一些攻擊無線網絡的掃描工具,

Netstumbler(.netstumbler.com/">www.Netstumbler.com)

Kismet www.kismetwireless.Net

審查日志的重點是審查帳戶登陸事件。

最後附上Ed Bott的無線網絡的檢查清單:

1、給接入點設置一個強壯的密碼。

2、禁用接入點的遠程管理功能。

3、無線網絡設備的固件(FirmWare)保持升級到最新。

4、修改接入點的網絡名的默認名。

5、使用Mac過濾控制

6、啟用WEP並設置強壯密碼。


 

Copyright © Windows教程網 All Rights Reserved