監測非法無線局域網設備:無線局域網環境下的設備安全狀況可以借助監控裝置捕獲到的結果來進行分析評估,首先對捕獲設備部署數據幀以作為數據采集點。采集點設備的性能越高,則無線環境信息采集的精確度越高,同時部署的密度越高,信息采集的覆蓋率越高。然后通過監測捕獲無線環境下的數據幀,獲取到各種 AP 與無線終端設備的相關信息。除此之外,對于設備的嚴格控制,可以通過設置黑白名單實時對非授權設備進行報警。
部署無線入侵防御系統:可以對有惡意的用戶攻擊和入侵行為進行早期檢測,保護企業網絡和用戶不被無線網絡上未經授權的設備訪問。WIPS 可以在不影響網絡性能的情況下對無線網絡進行監測,從而提供對各種攻擊的實時防范。可以進行對非法 AP 及非法的客戶端進行檢測,防御 DOS 攻擊及進行無線網絡的接入控制。
WLAN安全防護措施如下:
有效隔離:在 WLAN 中,可以利用虛擬局域網(VLAN)把一個局域網從邏輯上分成幾個獨立的廣播域。網絡將根據無線客戶端的身份,而不是它的物理位置分配和執行 WLAN 策略。根據不同的身份為每個 VLAN 分配不同的 SSID,當 WLAN 與某個特定的 VLAN 關聯時,用戶通過 SSID 可以獲得對該 VLAN 上的網絡資源的訪問權限。同時若將 AP 安裝在像防火墻這樣的網絡安全設備的外面,可以阻止流量監聽和流量分析等攻擊手段。此外,通過對無線網絡設備的設定,建立基于 MAC 地址的訪問控制列表,AP 將對收到的每個數據包的源地址做出過濾,只有在訪問控制列表中的地址才能被轉發,否則將會被丟棄或攔阻。
加強 WLAN 的身份認證:身份認證是防護網絡安全的前提,一般家庭用戶可以啟用預共享密鑰 PSK 來進行用戶的身份認證,但如果對安全要求較高的企業和政府部門的 WLAN 系統必須使用增強的企業級安全認證方案 802.1x/EAP。802.1x/EAP-TLS 認證方式中,802.1x 的客戶端認證請求可以結合外部的RADIUS服務器進行認證,由于RADIUS部署的性價比較高,目前已成為中小型企業身份認證的首選。
監測非法無線局域網設備:無線局域網環境下的設備安全狀況可以借助監控裝置捕獲到的結果來進行分析評估,首先對捕獲設備部署數據幀以作為數據采集點。采集點設備的性能越高,則無線環境信息采集的精確度越高,同時部署的密度越高,信息采集的覆蓋率越高。然后通過監測捕獲無線環境下的數據幀,獲取到各種 AP 與無線終端設備的相關信息。除此之外,對于設備的嚴格控制,可以通過設置黑白名單實時對非授權設備進行報警。
部署無線入侵防御系統:可以對有惡意的用戶攻擊和入侵行為進行早期檢測,保護企業網絡和用戶不被無線網絡上未經授權的設備訪問。WIPS 可以在不影響網絡性能的情況下對無線網絡進行監測,從而提供對各種攻擊的實時防范。可以進行對非法 AP 及非法的客戶端進行檢測,防御 DOS 攻擊及進行無線網絡的接入控制。
采用無線加密協議防止未授權用戶:保護無線網絡安全的最基本手段是加密,通過簡單的設置AP和無線網卡等設備,就可以啟用WEP加密。無線加密協議(WEP)是對無線網絡上的流量進行加密的一種標準方法。
靜態IP與MAC地址綁定:無線路由器或AP在分配IP地址時,通常是默認使用DHCP即動態IP地址分配,這對無線網絡來說是有安全隱患的,“不法”分子只要找到了無線網絡,很容易就可以通過DHCP而得到一個合法的IP地址,由此就進入了局域網絡中。因此,建議關閉DHCP服務,為家里的每臺電腦分配固定的靜態IP地址,然后再把這個IP地址與該電腦網卡的MAC地址進行綁定,這樣就能大大提升網絡的安全性。
回答所涉及的環境:聯想天逸510S、Windows 10。