保护无线局域网和防御无线威胁五个步骤

2008-04-01 13:25:24 作者：文三街在线来源：太平洋电脑网浏览次数：2 文字大小:【大】【中】【小】

制定一项WLAN安全策略

　　与有线接入所采用的安全策略类似，制定一项涵盖了授权使用和安全性的书面无线策略是必不可少的第一步。现在已经有很多针对特定部分的模板。通常，安全策略文档主要包含下列部分：

　　• 目的
　　• 范围
　　• 策略
　　• 职责
　　• 实施
　　• 定义
　　• 修订历史

　　在制定您的安全策略之前，必须进行彻底深入的调查――大部分安全漏洞都可以归咎于在部署安全策略时的疏忽或者错误。下面几节将介绍一些您应当在WLAN安全策略中采用的最佳实践。

保护WLAN

　　WLAN部署在最近几年中大幅增加――从会议室中的访客接入和机构中的有限连接“热”区，到全面覆盖整个机构的网络。不幸的是，其中有很多部署都是不安全的，让好奇的用户――或者恶意的黑客――有机会访问保密的信息。保护一个WLAN并不困难；技术的进步和思科统一无线网络让它变得比以往任何时候都要简便。网络保护建立在拓展思科自防御网络的基础上，该战略主要立足于三个原则：加密通信，威胁控制和隔离，以及策略遵从性管理。依照这三个原则，下面列出了保护您的思科统一无线网络的最佳实践。

加密通信

　　加密通信包括加密数据和对网络用户进行身份验证。在无线网络中，与有线网络一样，并不一定要将这两种措施结合到一起，但是对于大部分网络，思科建议同时使用这两项措施。例外情况包括热点或者访客网络，稍后将对这两种网络进行详细的讨论。另外，无线介质的特性要求采用其他一些安全技术来保护网络安全。

修改缺省的SSID

　　接入点都配有一个标准的网络名称，例如“tsunami”、“default”和“linksys”等。通过对客户端进行广播，它们可以表明接入点的可用性。您应当在安装完毕之后立即更改该参数。在重新命名接入点的服务集标识符（SSID）时，选择一个与您的企业没有直接联系的名称；不要选择您的企业名称，企业电话号码，或者其他容易被猜出或者在互联网上找到的、关于您的公司的信息。在缺省情况下，接入点会向覆盖范围内的任何无线客户端广播SSID。对于某些应用，例如热点或者访客接入，这项功能让用户可以自动地找到网络。但是，对于企业网络而言，您应当禁用广播功能，以限制那些随意寻找开放的无线网络的用户。
思科统一无线网络有助于确保所有客户端在某个由操作员限定的尝试次数内获得访问权限。如果客户端没有在限定次数内获得权限，它就会被自动地排除在外（即取消访问权），直到操作员设定的等待时间结束为止。该操作系统还可以在每个WLAN的基础上禁用SSID广播，从而进一步降低网络被随意监听的可能性。