保护企业无线网络安全的四项基本措施

　　大量的企业在自己的办公楼内都有WiFi网络，以便为客户和员工提供互联网连接。因此，许多企业在匆忙建立WiFi热点的时候都没有充分考虑自己的WiFi网络建立的安全性。

　　没有良好保护的无线网络可造成客户的无线通讯被黑客拦截，从而造成重大损失。黑客能够利用窃取的信用卡号码、银行账户口令、机密的商务信息以及其它敏感的数据为自己及其同伙牟利。对于托管网络的企业来说，不充分的保护措施可能把重要的有线和无线网络资源暴露给网络犯罪分子。

　　其实，保护WiFi网络的安全并不困难，但这需要时间，认真的规划，关注细节和一些简单的安全工具，还要学会像攻击者一样进行思考。攻击者一般寻求网络接入达到下列一项或者多项目标：

　　·拦截无线数据(窃听)

　　·窃取设备用户或者商务系统的数据(入侵者)

　　·使用非授权的互联网服务(不速之客)

　　·建立一个挫败所有这三种类型攻击的系统来保证一个WiFi网络的安全

　　保护你的接入点的安全。首先创建一个新的管理员口令。这是许多企业忽略的一个简单步骤。如果一个接入点的管理员口令区域使用“admin”或者“password”这种简单的口令就可以访问,这个系统就很容易遭到攻击。

　　启用加密措施。强烈推荐使用WPA或者WPA2形式的WPA(WiFi保护接入)加密措施。拥有用户和计算机认证的EAP-TLS(扩展认证协议-传输层安全)的WPA或者WPA2是最强大的身份识别方式。EAP-TLS使用数字证书提供互相身份识别。在这种身份识别过程中，无线客户向身份识别服务器进行身份识别，反之亦然。EAP-TLS身份识别需要一个PKI(公共密钥基础设施)发布证书并且保持证书处于最新状态。这个PKI经过设置应该能够为无线接入发出用户和计算机的证书。

　　一些老式的客户机不支持WPA或者WPA2。如果你决定你的网络必须要提供这种技术的服务，你要关闭128位WEP(有线等效隐私协议)加密，并且使用一个口令生成这个密钥。一定要保存这个口令的记录，这样就可以把这个口令提供给需要网络接入的人。然而，要记住，WEP是一种软弱的安全措施，很容易被有技巧的攻击者攻破。改善静态WEP安全的一种方法是设置接入点使用MAC(媒体接入控制)过滤，仅允许事先确定的用户群访问这个网络。遗憾的是真正的投入的攻击者也能够打败这种技术。

　　创建一个新的SSID。还有什么比使用默认的SSID(服务集标识符)更糟糕的吗?假如这是你的公司的名字，这当然更糟糕(尽管潜在的黑客将为找到他们的攻击目标而感谢你)。要使用密码式的名字，如“jup2fjk,”，或者让攻击者反复考虑的名字，如“infected node”(被感染的节点)。不过，这种名字也会吓跑合法的用户，使他们不敢使用这个公共热点。

　　发现恶意的接入点。大多数企业网络位于连接到其它网络的接入点的范围内。大多数这些接入点将连接到合法的系统。但是，有些接入点有可能是潜在的捣乱者制造的，如攻击者或者公司内部使用没有经过授权的网络的员工。没有管理的接入点可以成为一个企业网络遭到攻击的漏洞。在网络中插入一台笔记本电脑并且运行AirMagnet和Aruba Networks等厂商提供的检测工具能够使网络管理员或者其它授权的个人很快找到任何恶意设备。然后，可以采取步骤撤销这个接入点或者针对这个接入点采取保护网络安全的措施。