讓黑客無路可走 保護WiFi網路的5種方法

WiFi是黑客可進入企業網路的入口點，而不需要踏足企業建築物內，畢竟無線網路比有線網路更加開放，這也意味著我們必須確保WiFi安全性。但WiFi的安全性並不只是涉及設置密碼，下面讓我們看看更好地保護WiFi網路的5種方法，讓黑客無路可走：

使用不顯眼的網路名稱(SSID)

SSID是最基本的WiFi網路設置之一。雖然表面看網路名稱似乎與安全無關，但它確實有影響。如果使用太常見的SSID，例如「無線」或者供應商的默認名稱，這會使攻擊者更容易破解個人模式的WPA或WPA2安全。這是因為加密演算法包含SSID，攻擊者使用的密碼破解詞典預先載入了常見和默認的SSID，因此使用這種SSDI只會讓黑客的工作變得更容易。(稍後我們將會討論，此漏洞並不適用於企業模式的WPA或WPA2安全，這是使用企業模式的眾多好處之一)

▲CloudTrax

聰明地命名你的網路--應該是通用但不太常見的名稱，並且不會透露位置。

儘管將SSID命名為容易識別的信息很有意義，例如公司名稱、地址或套件號碼，但這可能不是一個好主意，特別是當網路位於共享建築物或者靠近其他建築物或網路時。如果黑客路過擁擠的區域，看到十幾個不同的WiFi網路，他們可能會將目標定位最容易識別的WiFi，這可幫助他們了從中獲得什麼。

你也可以關閉SSID廣播，使你的網路名稱不可見，但並不建議這樣做。如果這樣做的話，用戶必須手動輸入SSID，這可能會引發用戶的負面情緒，這超過其帶來的安全優勢。並且，攻擊者通過正確的工具仍然可通過嗅探其他網路流量來捕獲SSID。

物理安全防止篡改

無線安全並不完全是關於花哨的技術和協議。你可能部署了最好的加密，仍然容易受到攻擊。物理安全就是這種漏洞之一，鎖好配線櫃的門可能並不夠。

大多數接入點(AP)都有重置按鈕，別人可通過按它來恢復出廠默認設置、刪除WiFi安全，並允許任何人連接。因此你必須確保分布在各地AP的物理安全以防止篡改。請確保它們安裝在無法觸及的位置，並要求AP供應商提供的鎖定機制來防止黑客對AP按鈕和埠的訪問。

▲Cisco接入點重置按鈕示例

與WiFI相關的另一個物理安全問題是有人添加未經授權AP到網路，通常被稱為「流氓AP」。這可很容易實現，例如當員工想要更多WiFi覆蓋範圍時。為了幫助阻止這些類型的流氓AP，請確保禁用任何未使用的乙太網埠(例如牆壁埠或鬆散的乙太網運行)。你可物理移除埠或線纜，或者禁用路由器或交換機插座或線纜的連接。如果你真的想要加強安全性，啟用有線端的802.1X身份驗證--如果你的路由器或交換機支持的話，這樣任何插入到乙太網埠的設備都需要輸入登錄憑證才能獲得網路訪問許可權。

使用802.1X身份驗證的企業WPA2

你可部署的最有效的WiFi安全機制之一是部署企業模式的WiFi安全，因為它可分別驗證每個用戶：每個人都有自己的WiFi用戶名和密碼。因此，當筆記本電腦或移動設備丟失或被盜時，或者員工離開公司時，你所要做的是更改或撤銷該用戶的登錄。(相比之下，在個人模式下，所有用戶共享相同的WiFi密碼，當設備丟失或者員工離職時，你必須更改每台設備的密碼，這是一個巨大的麻煩)

▲Microsoft

對於企業模式WiFI安全，用戶需要輸入獨特的用戶名和密碼來連接。

企業模式的另一大優點是每個用戶都分配有自己的加密密鑰，這意味著用戶只能解密自己連接的數據流量--無法監聽任何其他人的無線流量。

如果你想要你的AP變成企業模式，你首先需要設置RADIUS伺服器。這可啟用用戶身份驗證，並連接到或包含資料庫或目錄(例如Active Directory)--其中包含所有用戶的用戶名和密碼。

儘管你可部署獨立的RADIUS伺服器，但你首先應該檢查其他已經提供該功能的伺服器(例如Windows Server)。如果沒有的話，請考慮基於雲或者託管RADIUS服務。還要記住的是，有些無線接入點或控制器提供基本的內置RADIUS伺服器，但其性能限制和有限的功能使其僅對較小的網路有用。

▲CloudTrax 如何通過RADIUS伺服器的IP、埠和密碼配置AP的示例。

保護802.1X客戶端設置

與其他安全技術一樣，企業模式的WiFi安全也存在一些漏洞。其中一個是中間人攻擊，攻擊者坐在機場或咖啡廳，甚至坐在公司辦公室的停車場。攻擊者可通過製造假冒的WiFi網路，使用與其試圖攻擊的網路相同或者相似的SSID;當你的筆記本或設備嘗試連接時，虛假的RADIUS伺服器會捕獲你的登錄憑證。然後攻擊者可利用你的登錄憑證連接到真正的WiFi網路。

為了阻止這種中間人攻擊，其中一種方法是利用客戶端的伺服器驗證。當無線客戶端啟用伺服器驗證時，客戶端不會將你的WiFi登錄憑證傳遞到RADIUS伺服器，除非其驗證其在於合法伺服器通信。當然，你對客戶端可執行的伺服器驗證功能和要求取決於客戶端的設備或操作系統。

例如在Windows中，你可輸入合法伺服器的域名，選擇發布該伺服器證書的證書頒發機構，然後選擇不允許任何新的伺服器或證書頒發機構。當有人設置假的WiFi網路和RADIUS伺服器，並嘗試登錄時，Windows將會阻止連接。

▲Microsoft

當配置WiFi連接的EAP設置時，你會在Windows中看到802.1X伺服器驗證功能。

利用流氓AP檢測或無線入侵防護

我們已經談論了三種易受攻擊接入點情況：攻擊者設置假的WiFi網路和RADIUS伺服器;攻擊者可重置AP到出廠默認設置;第三種情況是攻擊者可能會插入自己的AP。

如果沒有部署適當的保護，這些未經授權AP可能會在長時間內不被IT人員檢測。因此，你應該啟用AP或無線控制器供應商提供的任何類型的流氓檢測。確切的檢測方法和功能會有所不同，但大多數檢測至少可定期掃描無線電波，並在授權AP範圍內檢測到新AP時向你發送警報。

▲Cisco簡單流氓AP檢測示例，你可看到該區域其他AP列表。

對於更多檢測功能，有些AP供應商提供完整無線入侵檢測系統(WIDS)或入侵保護系統(WIPS)，可檢測各種無線攻擊以及可疑活動。這些包括錯誤的取消身份驗證請求、錯誤關聯請求和MAC地址欺騙。

此外，如果它是真正提供保護的WIPS而不是僅提供檢測功能的WIDS，它應該可採取自動措施，例如解除或阻止可疑無線客戶端來保護受到攻擊的網路。

如果你的AP供應商不提供內置流氓AP檢測或WIPS功能，則考慮使用第三方解決方案。你可能會看到可監控WiFi性能及安全問題的基於感測器的解決方案，例如7SIGNAL、Cape Networks和NetBeez等公司的產品。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！