- Văn bản
- Lịch sử
The Dangers of a Wide-Open WLANWire
The Dangers of a Wide-Open WLANWireless security is a large, complex topic. Administrators wishing to
implement wireless networks should exercise due care and due diligence
by becoming as familiar as possible with the operation and vulnerabilities
of wireless networks and the available countermeasures for defending
them. Installing a wireless network opens up the current wired network
to new threats. The security risks created by wireless networks can be mitigated,
however, to provide an acceptably safe level of security in most situations.
In some cases, the security requirements are high enough that
the wireless devices will require proprietary security features. This might
include, for example, the ability to use TKIP and MIC, which is currently
only available on some Cisco wireless products, but may be available on
other products in the near future. In many cases, however, standardsbased
security mechanisms that are available on wireless products from a
wide range of vendors will be sufficient.
Even though many currently implemented wireless networks support
a wide range of features that can be potentially enabled, the sad fact is
that most administrators do not use them. The media is full of reports of
the informal results of site surveys conducted by wardrivers. These reports
provide worrisome information, for example, that most wireless networks
are not using WEP and that many wireless networks are using default
SSIDs. There is no excuse for not minimizing the security threats created
by wireless networks through the implementation of security features
that are available on most wireless networks. The following is a summary
of common best practices that can be employed on many current and
future wireless networks.
■ Carefully review the available security features of wireless
devices to see if they fulfill your security requirements. The
802.11 and Wi–Fi standards specify only a subset of features
that are available on a wide range of devices. Over and above
these standards, there is a great deal of divergence of supported
features.
Head of the Class…
Continued
236_Splus_04.qxd 11/19/02 5:39 PM Page 225
226 Domain 2.0 • Communication Security
www.syngress.com
■ At a minimum, wireless APs and adapters should support
firmware updates, 128-bit WEP, MAC filtering, and the disabling
of SSID broadcasts.
■ Wireless vendors are continually addressing the security weaknesses
of wireless networks. Check the wireless vendors’ Web
sites frequently for firmware updates and apply them to all
wireless devices. You can leave your network exposed if you
fail to update even one device with the most recent firmware.
■ In medium- to high-security environments, wireless devices
should support EAP-based 802.1x authentication and, possibly,
TKIP. Another desirable feature is the ability to remotely
administer a wireless AP over a secure, encrypted channel.
Being able to use IPSec for communications between the AP
and the RADIUS server is also desirable.
■ Always use WEP. While it is true that WEP can be cracked,
doing so requires knowledge and time. Even 40-bit WEP is
better than no WEP.
■ Rotate static WEP keys frequently. If this is too much of an
administrative burden, consider purchasing devices that support
dynamic WEP keys.
■ Change the default administrative password used to manage
the AP frequently. The default passwords for wireless APs are
well known. If possible, use a password generator to create a
difficult and sufficiently complex password.
■ Change the default SSID of the AP. The default SSIDs for APs
from different vendors are well known, such as “tsunami” and
“Linksys” for Cisco and Linksys APs, respectively.
■ Do not put any kind of identifying information in the SSID,
such as company name, address, products, divisions, and so
on. Doing so provides too much information to potential
hackers and lets them know whether your network is of suffi-
cient interest to warrant further effort.
■ If possible, disable SSID broadcasts. This will make your network
invisible to site survey tools such as NetStumbler.
However, this will cause an administrative burden if you are
heavily dependent on Windows XP clients being able to automatically
discover and associate with the wireless network.
Continued
236_Splus_04.qxd 11/19/02 5:39 PM Page 226
Wireless • Chapter 4 227
www.syngress.com
■ If possible, avoid the use of DHCP for your wireless clients,
especially if SSID broadcasts are not disabled. By using DHCP,
casual wardrivers can potentially acquire IP address configurations
automatically.
■ Do not use shared-key authentication. Although it can protect
your network against specific types of DoS attacks, other kinds
of DoS attacks are still possible. Shared-key authentication
exposes your WEP keys to compromise.
■ Enable MAC filtering. It is true that MAC addresses can be
easily spoofed, but your goal is to slow down potential
attackers. If MAC filtering is too much of an administrative
burden, consider using port-based authentication available
through 802.1x.
■ Consider placing your wireless network in a Wireless
Demilitarized Zone (WDMZ), separated from the corporate
network by a router or a firewall.
■ In a WDMZ, restrict the number of hosts on the subnet
through an extended subnet mask, and do not use DHCP.
■ Learn how to use site survey tools such as NetStumbler, and
conduct frequent site surveys to detect the presence of rogue
APs and vulnerabilities in your own network.
■ Do not place the AP near windows. Try to place it in the center
of the building so that interference will hamper the efforts of
wardrivers and others trying to detect your traffic. Ideally, your
wireless signal would radiate only to the outside walls of the
building and not beyond. Try to come as close to that ideal as
possible.
■ If possible, purchase an AP that allows you to reduce the size of
the wireless zone (cell sizing) by changing the power output.
■ Educate yourself as to the operation and security of wireless
networks.
■ Educate users about safe computing practices in the context
of the use of both wired and wireless networks.
■ Perform a risk analysis of your network.
■ Develop relevant and comprehensive security policies and
implement them throughout your network
implement wireless networks should exercise due care and due diligence
by becoming as familiar as possible with the operation and vulnerabilities
of wireless networks and the available countermeasures for defending
them. Installing a wireless network opens up the current wired network
to new threats. The security risks created by wireless networks can be mitigated,
however, to provide an acceptably safe level of security in most situations.
In some cases, the security requirements are high enough that
the wireless devices will require proprietary security features. This might
include, for example, the ability to use TKIP and MIC, which is currently
only available on some Cisco wireless products, but may be available on
other products in the near future. In many cases, however, standardsbased
security mechanisms that are available on wireless products from a
wide range of vendors will be sufficient.
Even though many currently implemented wireless networks support
a wide range of features that can be potentially enabled, the sad fact is
that most administrators do not use them. The media is full of reports of
the informal results of site surveys conducted by wardrivers. These reports
provide worrisome information, for example, that most wireless networks
are not using WEP and that many wireless networks are using default
SSIDs. There is no excuse for not minimizing the security threats created
by wireless networks through the implementation of security features
that are available on most wireless networks. The following is a summary
of common best practices that can be employed on many current and
future wireless networks.
■ Carefully review the available security features of wireless
devices to see if they fulfill your security requirements. The
802.11 and Wi–Fi standards specify only a subset of features
that are available on a wide range of devices. Over and above
these standards, there is a great deal of divergence of supported
features.
Head of the Class…
Continued
236_Splus_04.qxd 11/19/02 5:39 PM Page 225
226 Domain 2.0 • Communication Security
www.syngress.com
■ At a minimum, wireless APs and adapters should support
firmware updates, 128-bit WEP, MAC filtering, and the disabling
of SSID broadcasts.
■ Wireless vendors are continually addressing the security weaknesses
of wireless networks. Check the wireless vendors’ Web
sites frequently for firmware updates and apply them to all
wireless devices. You can leave your network exposed if you
fail to update even one device with the most recent firmware.
■ In medium- to high-security environments, wireless devices
should support EAP-based 802.1x authentication and, possibly,
TKIP. Another desirable feature is the ability to remotely
administer a wireless AP over a secure, encrypted channel.
Being able to use IPSec for communications between the AP
and the RADIUS server is also desirable.
■ Always use WEP. While it is true that WEP can be cracked,
doing so requires knowledge and time. Even 40-bit WEP is
better than no WEP.
■ Rotate static WEP keys frequently. If this is too much of an
administrative burden, consider purchasing devices that support
dynamic WEP keys.
■ Change the default administrative password used to manage
the AP frequently. The default passwords for wireless APs are
well known. If possible, use a password generator to create a
difficult and sufficiently complex password.
■ Change the default SSID of the AP. The default SSIDs for APs
from different vendors are well known, such as “tsunami” and
“Linksys” for Cisco and Linksys APs, respectively.
■ Do not put any kind of identifying information in the SSID,
such as company name, address, products, divisions, and so
on. Doing so provides too much information to potential
hackers and lets them know whether your network is of suffi-
cient interest to warrant further effort.
■ If possible, disable SSID broadcasts. This will make your network
invisible to site survey tools such as NetStumbler.
However, this will cause an administrative burden if you are
heavily dependent on Windows XP clients being able to automatically
discover and associate with the wireless network.
Continued
236_Splus_04.qxd 11/19/02 5:39 PM Page 226
Wireless • Chapter 4 227
www.syngress.com
■ If possible, avoid the use of DHCP for your wireless clients,
especially if SSID broadcasts are not disabled. By using DHCP,
casual wardrivers can potentially acquire IP address configurations
automatically.
■ Do not use shared-key authentication. Although it can protect
your network against specific types of DoS attacks, other kinds
of DoS attacks are still possible. Shared-key authentication
exposes your WEP keys to compromise.
■ Enable MAC filtering. It is true that MAC addresses can be
easily spoofed, but your goal is to slow down potential
attackers. If MAC filtering is too much of an administrative
burden, consider using port-based authentication available
through 802.1x.
■ Consider placing your wireless network in a Wireless
Demilitarized Zone (WDMZ), separated from the corporate
network by a router or a firewall.
■ In a WDMZ, restrict the number of hosts on the subnet
through an extended subnet mask, and do not use DHCP.
■ Learn how to use site survey tools such as NetStumbler, and
conduct frequent site surveys to detect the presence of rogue
APs and vulnerabilities in your own network.
■ Do not place the AP near windows. Try to place it in the center
of the building so that interference will hamper the efforts of
wardrivers and others trying to detect your traffic. Ideally, your
wireless signal would radiate only to the outside walls of the
building and not beyond. Try to come as close to that ideal as
possible.
■ If possible, purchase an AP that allows you to reduce the size of
the wireless zone (cell sizing) by changing the power output.
■ Educate yourself as to the operation and security of wireless
networks.
■ Educate users about safe computing practices in the context
of the use of both wired and wireless networks.
■ Perform a risk analysis of your network.
■ Develop relevant and comprehensive security policies and
implement them throughout your network
0/5000
Sự nguy hiểm của một bảo mật Wide-Open WLANWireless là một chủ đề lớn, phức tạp. Các quản trị viên muốnthực hiện các mạng không dây nên tập thể dục chăm sóc và do siêng năngbằng cách trở thành quen thuộc như càng tốt với các hoạt động và lỗ hổngmạng không dây và các biện pháp đối phó có sẵn để bảo vệhọ. Cài đặt mạng không dây mở ra mạng có dây hiện tạiđể mối đe dọa mới. Rủi ro bảo mật tạo bởi mạng không dây có thể được giảm nhẹ,Tuy nhiên, để cung cấp một mức độ acceptably an toàn bảo mật trong hầu hết trường hợp.Trong một số trường hợp, các yêu cầu an ninh là cao đủ màCác thiết bị không dây sẽ yêu cầu tính năng bảo mật độc quyền. Điều này có thểbao gồm, ví dụ, khả năng sử dụng TKIP và MIC, mà hiện naychỉ có sẵn trên một số Cisco wireless sản phẩm, nhưng có thể có sẵn trênsản phẩm khác trong tương lai gần. Trong nhiều trường hợp, Tuy nhiên, standardsbasedcơ chế bảo mật có sẵn trên các sản phẩm không dây từ mộtloạt các nhà cung cấp sẽ được đầy đủ.Mặc dù nhiều người hiện đang triển khai thực hiện hỗ trợ mạng không dâymột loạt các tính năng có thể có hiệu lực có khả năng, một thực tế buồn làrằng hầu hết các quản trị viên không sử dụng chúng. Phương tiện truyền thông là đầy đủ của báo cáo củaCác kết quả không chính thức của trang web cuộc khảo sát tiến hành bởi wardrivers. Các báo cáocung cấp thông tin đáng lo ngại, ví dụ, rằng mạng không dây đặtkhông sử dụng WEP và nhiều mạng không dây đang sử dụng mặc địnhSSID. Có là không có lý do gì để không giảm thiểu những mối đe dọa an ninh tạobởi mạng không dây thông qua việc thực hiện các tính năng bảo mậtmà có sẵn trên hầu hết các mạng không dây. Sau đây là một bản tóm tắtphổ biến các thực hành tốt nhất có thể được sử dụng trên nhiều hiện tại vàmạng không dây trong tương lai.■ xem xét cẩn thận các tính năng bảo mật có sẵn không dâythiết bị để xem nếu họ đáp ứng yêu cầu bảo mật của bạn. Các802.11 và Wi-Fi tiêu chuẩn chỉ là một tập hợp con của tính năng chỉ định.mà có sẵn trên một phạm vi rộng của thiết bị. Lên trênCác tiêu chuẩn, có được một thỏa thuận tuyệt vời của các phân kỳ của hỗ trợtính năng.Đầu của các lớp học...Tiếp tục236_Splus_04.qxd 19-11-02 5:39 PM trang 225226 miền 2.0 • truyền thông an ninhwww.syngress.com■ Tại tối thiểu, không dây APs và bộ điều hợp mạng nên hỗ trợbản cập nhật phần vững, 128-bit WEP, MAC lọc, và vô hiệu hóa cáccủa SSID chương trình phát sóng.■ Wireless nhà cung cấp đang liên tục giải quyết các điểm yếu bảo mậtcủa mạng không dây. Kiểm tra trang Web của nhà cung cấp không dâyCác trang web thường xuyên cho phần vững Cập Nhật và áp dụng chúng cho tất cảthiết bị vô tuyến. Bạn có thể để lại mạng của bạn tiếp xúc với nếu bạnkhông cập nhật ngay cả một thiết bị với phần vững đặt.■ Trong môi trường trung bình đến cao bảo mật, thiết bị không dâynên hỗ trợ EAP dựa trên 802. 1 x xác thực và có thể,TKIP. Một tính năng mong muốn là khả năng điều khiển từ xaquản lý một AP không dây qua một kênh an toàn, được mã hóa.Khả năng sử dụng IPSec cho moïi giao tieáp giöõa APvà các máy chủ bán kính cũng là mong muốn.■ luôn luôn sử dụng WEP. Trong khi đó là sự thật rằng WEP có thể được nứt,làm như vậy đòi hỏi kiến thức và thời gian. Ngay cả 40-bit WEP làtốt hơn so với không có WEP.■ Xoay tĩnh WEP phím thường xuyên. Nếu điều này là quá nhiều của mộthành chính gánh nặng, xem xét việc mua thiết bị hỗ trợchìa khóa WEP năng động.■ thay đổi mật khẩu quản trị mặc định được sử dụng để quản lýAP thường xuyên. Các mật khẩu mặc định cho không dây APsnổi tiếng. Nếu có thể, sử dụng một máy phát điện mật khẩu để tạo ra mộtmật khẩu khó khăn và phức tạp đủ.■ thay đổi mặc định SSID của AP. SSID mặc định cho APstừ nhà cung cấp khác nhau được nổi tiếng, chẳng hạn như "sóng thần" và"Linksys" cho Cisco và Linksys APs, tương ứng.■ không đặt bất kỳ loại thông tin nhận dạng trong SSID,như tên công ty, địa chỉ, sản phẩm, phân chia, và do đóngày. Làm như vậy cung cấp quá nhiều thông tin để tiềm nănghacker và cho phép họ biết liệu mạng của bạn là suffi-gói các quan tâm để đảm bảo tiếp tục nỗ lực.■ Nếu có thể vô hiệu hóa SSID phát sóng. Điều này sẽ làm cho mạng của bạnvô hình để trang web khảo sát các công cụ như NetStumbler.Tuy nhiên, điều này sẽ gây ra một gánh nặng hành chính nếu bạnrất nhiều phụ thuộc vào khách hàng Windows XP có thể tự độngkhám phá và liên kết với mạng không dây.Tiếp tục236_Splus_04.qxd 19-11-02 5:39 PM trang 226Không dây • chương 4 227www.syngress.com■ Nếu có thể, tránh việc sử dụng DHCP cho khách hàng không dây của bạn,đặc biệt là nếu SSID phát sóng không bị vô hiệu hoá. Bằng cách sử dụng DHCP,không thường xuyên wardrivers có thể có khả năng có thể được cấu hình địa chỉ IPtự động.■ không sử dụng khóa chia sẻ xác thực. Mặc dù nó có thể bảo vệmạng của bạn chống lại các loại hình cụ thể của các cuộc tấn công DoS, các loại khácDOS tấn công được vẫn còn có thể. Phím chia sẻ xác thựccho thấy nhiều chìa khóa WEP để thỏa hiệp.■ Sử MAC lọc. Đó là sự thật rằng địa chỉ MAC có thểdễ dàng giả mạo, nhưng mục tiêu của bạn là để làm chậm tiềm năngkẻ tấn công. Nếu MAC lọc là quá nhiều của một hành chínhgánh nặng, xem xét sử dụng cổng dựa trên xác thực có sẵnthông qua 802. 1 x.■ xem xét việc đặt mạng không dây của bạn trong nhàKhu phi quân sự (WDMZ), tách ra từ các công tymạng bởi một router hoặc tường lửa.■ Trong một WDMZ, hạn chế số lượng các máy chủ trên mạng conthông qua một mạng con mở rộng mặt nạ, và không sử dụng DHCP.■ Tìm hiểu làm thế nào để sử dụng công cụ khảo sát trang web chẳng hạn như NetStumbler, vàtiến hành các trang web thường xuyên quan sát để phát hiện sự hiện diện của rogueAPs và các lỗ hổng trong mạng riêng của bạn.■ không đặt AP gần cửa sổ. Cố gắng đặt nó trong Trung tâmcủa tòa nhà để can thiệp đó sẽ cản trở nỗ lực củawardrivers và những người khác cố gắng để phát hiện các lưu lượng truy cập của bạn. Lý tưởng nhất, của bạntín hiệu không dây sẽ tỏa chỉ vào các bức tường bên ngoài của cácxây dựng và không xa hơn nữa. Cố gắng đến như gần đó lý tưởng nhưcó thể.■ Nếu có thể mua một AP cho phép bạn để giảm kích thước củakhông dây vùng (di động định cỡ) bằng cách thay đổi sản lượng điện.■ giáo dục chính mình về hoạt động và an ninh không dâymạng.■ giáo dục người dùng về an toàn máy tính thực tiễn trong bối cảnhsử dụng cả hai dây và không dây.■ thực hiện phân tích rủi ro về mạng của bạn.■ phát triển chính sách bảo mật có liên quan và toàn diện vàthực hiện chúng trong toàn bộ mạng của bạn
đang được dịch, vui lòng đợi..
Các nguy hiểm của một Wide-Open an ninh WLANWireless là một lớn, chủ đề phức tạp. Các quản trị viên có nhu cầu
thực hiện các mạng không dây nên tập thể dục chăm sóc do và sự tích cực
bằng cách trở thành quen thuộc nhất có thể với các hoạt động và các lỗ hổng
của các mạng không dây và các biện pháp đối phó có sẵn để bảo vệ
chúng. Cài đặt một mạng không dây mở ra các mạng có dây hiện
các mối đe dọa mới. Các nguy cơ bảo mật được tạo ra bởi các mạng không dây có thể được giảm nhẹ,
tuy nhiên, để cung cấp một mức độ chấp nhận được an toàn bảo mật trong hầu hết các tình huống.
Trong một số trường hợp, các yêu cầu bảo mật cao, đủ rằng
các thiết bị không dây sẽ đòi hỏi tính năng bảo mật độc quyền. Điều này có thể
bao gồm, ví dụ, khả năng sử dụng TKIP và MIC, mà hiện nay là
chỉ có trên một số sản phẩm không dây của Cisco, nhưng có thể có trên
các sản phẩm khác trong tương lai gần. Trong nhiều trường hợp, tuy nhiên, standardsbased
cơ chế bảo mật mà có sẵn trên sản phẩm không dây từ một
loạt các nhà cung cấp sẽ là đủ.
Mặc dù nhiều mạng không dây hiện đang triển khai hỗ trợ
một loạt các tính năng mà có thể có nhiều khả năng được kích hoạt, một thực tế đáng buồn là
hầu hết nhà quản trị không sử dụng chúng. Các phương tiện truyền thông có đầy đủ các báo cáo về
kết quả các cuộc điều tra chính thức của trang web được thực hiện bởi wardrivers. Các báo cáo này
cung cấp thông tin đáng lo ngại, ví dụ, hầu hết các mạng không dây
không sử dụng WEP và nhiều mạng không dây được sử dụng mặc định
SSID. Không có lý do gì để không giảm thiểu các mối đe dọa bảo mật được tạo ra
bởi các mạng không dây thông qua việc thực hiện các tính năng bảo mật
mà có sẵn trên hầu hết các mạng không dây. Sau đây là một bản tóm tắt
các thông lệ tốt nhất phổ biến mà có thể được sử dụng trên nhiều dòng và
các mạng không dây trong tương lai.
■ Cẩn thận xem xét các tính năng bảo mật có sẵn của không dây
các thiết bị để xem họ có thực hiện đầy đủ các yêu cầu bảo mật của bạn. Các
tiêu chuẩn 802.11 và Wi-Fi xác định chỉ một tập hợp con của các tính năng
có sẵn trên một loạt các thiết bị. Vượt lên trên
những tiêu chuẩn này, có rất nhiều sự phân kỳ của hỗ trợ
tính năng này.
Trưởng Class ...
Tiếp tục
236_Splus_04.qxd 11/19/02 05:39 Page 225
226 Miền 2.0 • An ninh Truyền thông
www.syngress.com
■ Vào tối thiểu, các AP không dây và bộ điều hợp cần hỗ trợ
cập nhật firmware, 128-bit WEP, lọc địa chỉ MAC, và vô hiệu hóa
các chương trình phát sóng SSID.
■ các nhà cung cấp không dây liên tục giải quyết các điểm yếu an ninh
của các mạng không dây. Kiểm tra Web các nhà cung cấp không dây
'các trang web thường xuyên để cập nhật firmware và áp dụng chúng cho tất cả các
thiết bị không dây. Bạn có thể để lại mạng của bạn tiếp xúc nếu bạn
không cập nhật khi một thiết bị với các firmware mới nhất.
■ Trong trung và môi trường bảo mật cao, các thiết bị không dây
nên hỗ trợ EAP dựa trên xác thực 802.1x và, có thể,
TKIP. Một tính năng mong muốn là khả năng điều khiển từ xa
quản lý một AP không dây trên một kênh được mã hóa an toàn.
Có thể sử dụng IPSec cho thông tin liên lạc giữa các AP
và máy chủ RADIUS cũng là mong muốn.
■ Luôn luôn sử dụng WEP. Trong khi sự thật là WEP có thể bị nứt,
làm như vậy đòi hỏi phải có kiến thức và thời gian. Ngay cả 40-bit WEP là
tốt hơn so với không có WEP.
■ Xoay chìa khóa WEP tĩnh thường xuyên. Nếu điều này là quá nhiều của một
gánh nặng hành chính, xem xét việc mua các thiết bị có hỗ trợ
phím WEP năng động.
■ Thay đổi mật khẩu quản trị mặc định được sử dụng để quản lý
các AP thường xuyên. Các mật khẩu mặc định cho các AP không dây
cũng được biết đến. Nếu có thể, hãy sử dụng một bộ tạo mật khẩu để tạo ra một
mật khẩu khó khăn và đủ phức tạp.
■ Thay đổi SSID mặc định của AP. Các SSID mặc định cho người bị ảnh hưởng
từ các nhà cung cấp khác nhau cũng được biết đến như "sóng thần" và
"Linksys" cho Cisco và Linksys AP, tương ứng.
■ Không đặt bất kỳ loại thông tin nhận dạng trong các SSID,
như tên công ty, địa chỉ, sản phẩm , chia rẽ, và do đó
trên. Làm như vậy cung cấp quá nhiều thông tin để tiềm năng
tin tặc và cho phép họ biết cho dù mạng của bạn là của suffi-
lãi cient để đảm bảo nỗ lực hơn nữa.
■ Nếu có thể, vô hiệu hóa chương trình phát sóng SSID. Điều này sẽ làm cho mạng của bạn
vô hình cho công cụ khảo sát trang web như NetStumbler.
Tuy nhiên, điều này sẽ gây ra một gánh nặng hành chính nếu bạn là
phụ thuộc nhiều vào các máy khách Windows XP có khả năng tự động
phát hiện và liên kết với các mạng không dây.
Tiếp
236_Splus_04.qxd 11/19 / 02 05:39 Page 226
Wireless • Chương 4 227
www.syngress.com
■ Nếu có thể, tránh việc sử dụng DHCP cho máy khách không dây của bạn,
đặc biệt là nếu SSID phát sóng không bị khuyết tật. Bằng cách sử dụng DHCP,
wardrivers thường có khả năng có thể có được cấu hình địa chỉ IP
tự động.
■ Không sử dụng xác thực được chia sẻ-key. Mặc dù nó có thể bảo vệ
mạng của bạn chống lại các loại cụ thể của các cuộc tấn công DoS, các loại khác
của các cuộc tấn công DoS là vẫn có thể. Shared-key xác thực
cho thấy chìa khóa WEP của bạn để thỏa hiệp.
■ Kích hoạt tính năng lọc MAC. Đúng là địa chỉ MAC có thể được
dễ dàng bị giả mạo, nhưng mục tiêu của bạn là để làm chậm khả năng
tấn công. Nếu lọc MAC là quá nhiều của một hành chính
gánh nặng, hãy xem xét sử dụng xác thực cổng cơ sở có sẵn
thông qua 802.1x.
■ Xem xét đặt mạng không dây của bạn trong một không dây
Demilitarized Zone (WDMZ), tách ra khỏi công ty
mạng bởi một router hoặc một bức tường lửa.
■ Trong một WDMZ, hạn chế số lượng host trên mạng con
thông qua một subnet mask dài, và không sử dụng DHCP.
■ Tìm hiểu làm thế nào để sử dụng công cụ khảo sát trang web như NetStumbler, và
tiến hành các cuộc điều tra trang web thường xuyên để phát hiện sự hiện diện của rogue
AP và các lỗ hổng trong mạng lưới của bạn.
■ Không đặt AP gần cửa sổ. Hãy thử đặt nó ở trung tâm
của tòa nhà để can thiệp đó sẽ cản trở những nỗ lực của
wardrivers và những người khác cố gắng để phát hiện giao thông của bạn. Lý tưởng nhất, bạn
tín hiệu không dây sẽ tỏa chỉ vào các bức tường bên ngoài của
tòa nhà và không được vượt quá. Cố gắng đi càng gần đó tưởng như
có thể.
■ Nếu có thể, hãy mua một AP cho phép bạn giảm kích thước của
các vùng không dây (cell cỡ) bằng cách thay đổi sản lượng điện.
■ Giáo dục chính mình như đến hoạt động và an ninh không dây
mạng.
■ Giáo dục người dùng về thực hành máy tính an toàn trong bối cảnh
của việc sử dụng cả hai mạng có dây và không dây.
■ Thực hiện phân tích rủi ro của mạng của bạn.
■ Xây dựng chính sách bảo mật có liên quan và toàn diện và
thực hiện chúng trên toàn mạng của bạn
thực hiện các mạng không dây nên tập thể dục chăm sóc do và sự tích cực
bằng cách trở thành quen thuộc nhất có thể với các hoạt động và các lỗ hổng
của các mạng không dây và các biện pháp đối phó có sẵn để bảo vệ
chúng. Cài đặt một mạng không dây mở ra các mạng có dây hiện
các mối đe dọa mới. Các nguy cơ bảo mật được tạo ra bởi các mạng không dây có thể được giảm nhẹ,
tuy nhiên, để cung cấp một mức độ chấp nhận được an toàn bảo mật trong hầu hết các tình huống.
Trong một số trường hợp, các yêu cầu bảo mật cao, đủ rằng
các thiết bị không dây sẽ đòi hỏi tính năng bảo mật độc quyền. Điều này có thể
bao gồm, ví dụ, khả năng sử dụng TKIP và MIC, mà hiện nay là
chỉ có trên một số sản phẩm không dây của Cisco, nhưng có thể có trên
các sản phẩm khác trong tương lai gần. Trong nhiều trường hợp, tuy nhiên, standardsbased
cơ chế bảo mật mà có sẵn trên sản phẩm không dây từ một
loạt các nhà cung cấp sẽ là đủ.
Mặc dù nhiều mạng không dây hiện đang triển khai hỗ trợ
một loạt các tính năng mà có thể có nhiều khả năng được kích hoạt, một thực tế đáng buồn là
hầu hết nhà quản trị không sử dụng chúng. Các phương tiện truyền thông có đầy đủ các báo cáo về
kết quả các cuộc điều tra chính thức của trang web được thực hiện bởi wardrivers. Các báo cáo này
cung cấp thông tin đáng lo ngại, ví dụ, hầu hết các mạng không dây
không sử dụng WEP và nhiều mạng không dây được sử dụng mặc định
SSID. Không có lý do gì để không giảm thiểu các mối đe dọa bảo mật được tạo ra
bởi các mạng không dây thông qua việc thực hiện các tính năng bảo mật
mà có sẵn trên hầu hết các mạng không dây. Sau đây là một bản tóm tắt
các thông lệ tốt nhất phổ biến mà có thể được sử dụng trên nhiều dòng và
các mạng không dây trong tương lai.
■ Cẩn thận xem xét các tính năng bảo mật có sẵn của không dây
các thiết bị để xem họ có thực hiện đầy đủ các yêu cầu bảo mật của bạn. Các
tiêu chuẩn 802.11 và Wi-Fi xác định chỉ một tập hợp con của các tính năng
có sẵn trên một loạt các thiết bị. Vượt lên trên
những tiêu chuẩn này, có rất nhiều sự phân kỳ của hỗ trợ
tính năng này.
Trưởng Class ...
Tiếp tục
236_Splus_04.qxd 11/19/02 05:39 Page 225
226 Miền 2.0 • An ninh Truyền thông
www.syngress.com
■ Vào tối thiểu, các AP không dây và bộ điều hợp cần hỗ trợ
cập nhật firmware, 128-bit WEP, lọc địa chỉ MAC, và vô hiệu hóa
các chương trình phát sóng SSID.
■ các nhà cung cấp không dây liên tục giải quyết các điểm yếu an ninh
của các mạng không dây. Kiểm tra Web các nhà cung cấp không dây
'các trang web thường xuyên để cập nhật firmware và áp dụng chúng cho tất cả các
thiết bị không dây. Bạn có thể để lại mạng của bạn tiếp xúc nếu bạn
không cập nhật khi một thiết bị với các firmware mới nhất.
■ Trong trung và môi trường bảo mật cao, các thiết bị không dây
nên hỗ trợ EAP dựa trên xác thực 802.1x và, có thể,
TKIP. Một tính năng mong muốn là khả năng điều khiển từ xa
quản lý một AP không dây trên một kênh được mã hóa an toàn.
Có thể sử dụng IPSec cho thông tin liên lạc giữa các AP
và máy chủ RADIUS cũng là mong muốn.
■ Luôn luôn sử dụng WEP. Trong khi sự thật là WEP có thể bị nứt,
làm như vậy đòi hỏi phải có kiến thức và thời gian. Ngay cả 40-bit WEP là
tốt hơn so với không có WEP.
■ Xoay chìa khóa WEP tĩnh thường xuyên. Nếu điều này là quá nhiều của một
gánh nặng hành chính, xem xét việc mua các thiết bị có hỗ trợ
phím WEP năng động.
■ Thay đổi mật khẩu quản trị mặc định được sử dụng để quản lý
các AP thường xuyên. Các mật khẩu mặc định cho các AP không dây
cũng được biết đến. Nếu có thể, hãy sử dụng một bộ tạo mật khẩu để tạo ra một
mật khẩu khó khăn và đủ phức tạp.
■ Thay đổi SSID mặc định của AP. Các SSID mặc định cho người bị ảnh hưởng
từ các nhà cung cấp khác nhau cũng được biết đến như "sóng thần" và
"Linksys" cho Cisco và Linksys AP, tương ứng.
■ Không đặt bất kỳ loại thông tin nhận dạng trong các SSID,
như tên công ty, địa chỉ, sản phẩm , chia rẽ, và do đó
trên. Làm như vậy cung cấp quá nhiều thông tin để tiềm năng
tin tặc và cho phép họ biết cho dù mạng của bạn là của suffi-
lãi cient để đảm bảo nỗ lực hơn nữa.
■ Nếu có thể, vô hiệu hóa chương trình phát sóng SSID. Điều này sẽ làm cho mạng của bạn
vô hình cho công cụ khảo sát trang web như NetStumbler.
Tuy nhiên, điều này sẽ gây ra một gánh nặng hành chính nếu bạn là
phụ thuộc nhiều vào các máy khách Windows XP có khả năng tự động
phát hiện và liên kết với các mạng không dây.
Tiếp
236_Splus_04.qxd 11/19 / 02 05:39 Page 226
Wireless • Chương 4 227
www.syngress.com
■ Nếu có thể, tránh việc sử dụng DHCP cho máy khách không dây của bạn,
đặc biệt là nếu SSID phát sóng không bị khuyết tật. Bằng cách sử dụng DHCP,
wardrivers thường có khả năng có thể có được cấu hình địa chỉ IP
tự động.
■ Không sử dụng xác thực được chia sẻ-key. Mặc dù nó có thể bảo vệ
mạng của bạn chống lại các loại cụ thể của các cuộc tấn công DoS, các loại khác
của các cuộc tấn công DoS là vẫn có thể. Shared-key xác thực
cho thấy chìa khóa WEP của bạn để thỏa hiệp.
■ Kích hoạt tính năng lọc MAC. Đúng là địa chỉ MAC có thể được
dễ dàng bị giả mạo, nhưng mục tiêu của bạn là để làm chậm khả năng
tấn công. Nếu lọc MAC là quá nhiều của một hành chính
gánh nặng, hãy xem xét sử dụng xác thực cổng cơ sở có sẵn
thông qua 802.1x.
■ Xem xét đặt mạng không dây của bạn trong một không dây
Demilitarized Zone (WDMZ), tách ra khỏi công ty
mạng bởi một router hoặc một bức tường lửa.
■ Trong một WDMZ, hạn chế số lượng host trên mạng con
thông qua một subnet mask dài, và không sử dụng DHCP.
■ Tìm hiểu làm thế nào để sử dụng công cụ khảo sát trang web như NetStumbler, và
tiến hành các cuộc điều tra trang web thường xuyên để phát hiện sự hiện diện của rogue
AP và các lỗ hổng trong mạng lưới của bạn.
■ Không đặt AP gần cửa sổ. Hãy thử đặt nó ở trung tâm
của tòa nhà để can thiệp đó sẽ cản trở những nỗ lực của
wardrivers và những người khác cố gắng để phát hiện giao thông của bạn. Lý tưởng nhất, bạn
tín hiệu không dây sẽ tỏa chỉ vào các bức tường bên ngoài của
tòa nhà và không được vượt quá. Cố gắng đi càng gần đó tưởng như
có thể.
■ Nếu có thể, hãy mua một AP cho phép bạn giảm kích thước của
các vùng không dây (cell cỡ) bằng cách thay đổi sản lượng điện.
■ Giáo dục chính mình như đến hoạt động và an ninh không dây
mạng.
■ Giáo dục người dùng về thực hành máy tính an toàn trong bối cảnh
của việc sử dụng cả hai mạng có dây và không dây.
■ Thực hiện phân tích rủi ro của mạng của bạn.
■ Xây dựng chính sách bảo mật có liên quan và toàn diện và
thực hiện chúng trên toàn mạng của bạn
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- Nếu bạn đã nắm tay tôi. Không bao giờ đư
- You worry she's will see you? She want t
- 이번에 농업기술센터가 내놓은 낙엽 활용 방안은 그동안의 고민을 해결할 수
- tôi rất thích mặc đồng phục vì vào mỗi b
- that country its located in asia
- Tỷ lệ lao động có trình độ đại học và tr
- The present article focuses on the desig
- All orders include a step-by-step cashou
- yesterday afternoon we argue, and that a
- Two studies examined beliefs about the p
- based
- mèo
- yesterday afternoon we argue, and that a
- You worry she's will see you?
- the WEP key can be determined
- không có gì. sau khi anh đi thinh thoảng
- I'm sleeping too. I'm tired
- tôi rất thích mặc đồng phục
- một vấn đề nhức nhối
- mặc dù quyền sở hữu hàng hóa tại cửa hàn
- Thank you honey. What will we do when I
- My mother.Since, you asked for one perso
- nguồn
- Con người văn hóa Đà Nẵng là con người b
