解析xp系統(tǒng)無線網(wǎng)絡(luò)安全

　　歡迎來到學(xué)習(xí)啦，本文教大家解析xp系統(tǒng)無線網(wǎng)絡(luò)安全，歡迎閱讀。

　　目前無線網(wǎng)絡(luò)的主要風(fēng)險體現(xiàn)在服務(wù)盜用、數(shù)據(jù)盜取，數(shù)據(jù)破壞、干擾正常服務(wù)幾個方面，這些在XP的無線網(wǎng)絡(luò)里同樣存在。為避免安全風(fēng)險的威脅，我們將逐一進行分析。

　　還是應(yīng)了上面的那句話：“簡易就是不安全的代名詞”，XP的無線安全風(fēng)險的最大因素，恰恰是來自于XP最簡單易用的功能——“無線零配置” (WIRELESS? ZERO? CONFIGURATION)，由于接入點可以自動發(fā)送接收信號，因此XP客戶端一旦進入了無線網(wǎng)絡(luò)信號的覆蓋范圍，就可以自動建立連接，如果進入了多個無線網(wǎng)絡(luò)的信號覆蓋范圍，系統(tǒng)能自動與最近的接入點聯(lián)系，并自動配置網(wǎng)卡進行連接，完成后，在“可用網(wǎng)絡(luò)”中將出現(xiàn)建立的連接的SSID，由于不少廠商使用網(wǎng)卡的半個MAC地址來默認(rèn)命名SSID，因此，使得SSID默認(rèn)名可以推測，攻擊者知道了默認(rèn)名稱后，至少連到接入點的網(wǎng)絡(luò)是輕而易舉了。

　　主要的針對措施有三個：

　　1、啟用無線設(shè)備的不廣播功能，不進行SSID的擴散。

　　這個功能需要在硬件設(shè)備的選項里尋找，啟用后將封閉網(wǎng)絡(luò)，

　　這個時候想連接網(wǎng)絡(luò)的人必須提供準(zhǔn)確的網(wǎng)絡(luò)名，而不是XP系統(tǒng)自動提供的網(wǎng)絡(luò)名。

　　2、使用不規(guī)則網(wǎng)絡(luò)名，禁止使用默認(rèn)名。

　　如果不廣播了，攻擊者還是可以通過猜測網(wǎng)絡(luò)名連入網(wǎng)絡(luò)，因此有必要修改默認(rèn)名。

　　這里的不規(guī)則可以借鑒一下密碼設(shè)置技巧，不設(shè)置具有敏感信息的網(wǎng)絡(luò)名。

　　3、客戶端MAC地址過濾

　　設(shè)定只有具有指定的MAC的客戶端才可以連接接入點，可以將連入者進一步把關(guān)。

　　上面的三個辦法只是屬于XP無線安全的初級設(shè)置，不要指望設(shè)置了這三個步驟后就可以高枕無憂了，從目前的安全設(shè)置來看，雖然可以防備部分無線攻擊了，但是，由于并沒有對傳輸中的數(shù)據(jù)采取任何加密措施，因此，只要攻擊者使用一些特定的無線局域網(wǎng)工具，就可以抓取空中的各種數(shù)據(jù)包，通過對這些數(shù)據(jù)包的內(nèi)容分析，可以獲得各種信息，其中就包括SSID和MAC地址，因此前面的三個辦法對于這種攻擊就形同虛設(shè)了。我們下一步面臨的是無線傳輸?shù)募用軉栴}---- WEP。

　　這是一個極具爭議的話題，因此，為避免走入誤區(qū)，我們將不對這個問題的強項和弱點一一詳細解釋，只一句話帶過：“WEP為無線局域網(wǎng)提供了從數(shù)據(jù)安全性、完整性到數(shù)據(jù)來源真實性較為全面的安全性，但是WEP的密鑰容易被攻擊者得到”。雖然目前針對這一點廠商有所加強，微軟也發(fā)布了相關(guān)的升級包 (KB826942，support.microsoft.com/default.aspx?scid=kb;zh-cn;826942)，但是不能從根本上解決這個問題。

　　WEP運行于接入點，如果我們是在2000上啟用WEP，那么必須使用客戶端軟件提供的共享密鑰，如果是使用的XP，就不需要了，系統(tǒng)會在第一次接入啟用WEP的時候進行提示，輸入密鑰后可繼續(xù)以下的配置：

　　1、打開“網(wǎng)絡(luò)連接”，點擊無線網(wǎng)卡的屬性。

　　2、選中“首選網(wǎng)絡(luò)”，選中或添加一個條目，然后點擊屬性。

　　3、打開“無線網(wǎng)絡(luò)屬性”后進行以下操作：

　　1)修改“網(wǎng)絡(luò)名”

　　2)將“數(shù)據(jù)加密(WEP)”打勾

　　3)將“網(wǎng)絡(luò)驗證”打勾

　　4)選擇匹配接入點的“密鑰格式”(ASCII或十六進制)和“密鑰長度”(40或104)。

　　5)需要輸入正確的“網(wǎng)絡(luò)密鑰”

　　6)不選“自動選中密鑰”。

　　4、保存關(guān)閉。

　　OK，針對XP下針對WEP的設(shè)置基本上就完成了，但是為了無線網(wǎng)絡(luò)的更加穩(wěn)固，我們再看看其他需要注意的安全措施：

　　1、網(wǎng)絡(luò)中盡可能包含一個驗證服務(wù)器。

　　將網(wǎng)絡(luò)配置成所有連接請求必須先通過驗證服務(wù)器的驗證，將大大提高無線網(wǎng)絡(luò)的安全性。

　　2、每月修改一次WEP密鑰

　　因為WEP有記錄缺陷，所以最好每隔一段時間就修改一次WEP密鑰。

　　3、避免有線與無線網(wǎng)絡(luò)互聯(lián)。

　　無線網(wǎng)絡(luò)應(yīng)該是獨立的，為避免互相牽連，避免增加安全風(fēng)險，應(yīng)將有線與無線網(wǎng)絡(luò)分開，至少應(yīng)該在二者之間建立防火墻。

　　4、建立驗證

　　在接入點和網(wǎng)絡(luò)之間再加入一臺服務(wù)器，這樣一來攻擊者可能可以接上接入點，

　　但只是死蟹一只，進不了網(wǎng)絡(luò)，無法對網(wǎng)絡(luò)搞任何破壞。

　　5、定期維護

　　維護的內(nèi)容是檢查網(wǎng)絡(luò)和審查日志，

　　檢查網(wǎng)絡(luò)可以使用一些攻擊無線網(wǎng)絡(luò)的掃描工具，

　　Netstumbler(.netstumbler.com/">www.netstumbler.com)

　　Kismet www.kismetwireless.net

　　審查日志的重點是審查帳戶登陸事件。

　　最后附上Ed Bott的無線網(wǎng)絡(luò)的檢查清單：

　　1、給接入點設(shè)置一個強壯的密碼。

　　2、禁用接入點的遠程管理功能。

　　3、無線網(wǎng)絡(luò)設(shè)備的固件(FirmWare)保持升級到最新。

　　4、修改接入點的網(wǎng)絡(luò)名的默認(rèn)名。

　　5、使用MAC過濾控制

　　6、啟用WEP并設(shè)置強壯密碼。