圖解WLAN安全

　　 
　　無線網絡的安全性差是不爭的事實，因此必要的安全措施不可少。通過下面的文章，我們就能掌握一些常用的安全技巧和操作步驟。
　　
　　發現網絡中的攻擊者

　　針對無線網絡潛在的安全問題，首先必須發現網絡中的可疑者。第一步大家應該檢查無線網絡的IP配置，在“開始→運行”處鍵入CMD，然后在命令行模式下鍵入Ipconfig查看分配到的IP地址（圖1），并且記下默認的網關地址（即路由器地址）。
　　
　　例如在圖1中，這臺主機分配到192.168.5.249地址，默認的網關為192.168.5.100。
　　
　　了解網絡的配置后，我們就可以使用某些端口掃描軟件（如LANguard、PortScan等）對網絡進行掃描，了解網絡上是否存在可疑的主機。為了加速掃描的過程，我們一般只須對本網段進行掃描。在上文中，本機網絡地址是192.168.5.249，因此我們只需要掃描192.168.5.0~192.168.5.254即可。端口掃描工具一般會列出此網段中的所有主機，掃描結束后，可對此結果進行分析。
　　　
　　圖1
　　例如在上文中，我們使用LANguard進行掃描，并且結果顯示除了網關和自身主機外，網絡中還存在192.168.5.101和192.168.5.219這兩臺主機（圖2）。
　　　
　　圖2
　　除了LANguard外，我們也可以用命令“net view”檢查在同一工作組中所連接的主機名稱（圖3）。
　　　
　　圖3
　　例如在公司的無線網絡中，我們就可以通過檢查主機名稱來發現是否存在可疑的主機。如果公司路由器支持的話，那么也可以通過核查路由器的訪問日志來發現是否存在可疑的主機。
　　
　　許多路由器都提供對Web訪問頁面，通過Web頁面的訪問，用戶可以了解路由器的狀態信息、安全日志和DHCP客戶端日志（圖4）。
　　　
　　圖4
　　管理人員可以通過分析這些路由器日志（如連接的MAC地址、連接的頻率、發送/接收數據包的流量）來發現可疑的主機，并在路由器中禁用此MAC地址。
　　
　　網絡共享的管理
　　和普通的局域網不同，通過無線局域網可以更加方便地訪問其他主機提供的共享文件。如果大家對共享文件不提供額外的管理機制的話，入侵者可以輕易地得到共享文件夾中的所有內容。在Windows XP系統中，我們進入“控制面板→計算機管理”中，選擇“共享文件夾”就可查看系統中共享的文件，操作系統還會自動羅列出所有的共享文件（圖5）。
　　　
　　圖5
　　右鍵點擊共享文件夾，可以了解該文件的共享情況。我們可以取消文件的共享權限，但是一般情況是取消“允許網絡用戶更改我的文件”這個選項（圖6），即網絡中的用戶只可以讀取共享的文件，但不能進行寫入、修改或刪除等操作。
　　　
　　圖6
　　如果你不希望共享的文件被其他用戶看到，那么可在文件的共享名字后面加入$（圖7），這樣一來所共享的文件就不會在網絡鄰居中顯示。如果好友要訪問的話，那么只需要在訪問的文件夾地址后面加上$即可（當然要事先告訴好友）。
　　　
　　圖7
　　例如對隱藏“article”文件夾的訪問，我們就可以在IE地址欄中輸入\\訪問的主機名字\article$。
　　
　　使用個人防火墻
　　目前最為有效的防止被攻擊的措施是使用“個人防火墻”——例如國外比較有名的Zonealarm，其實Windows XP操作系統也集成了一個功能較為簡單的防火墻。
　　
　　集成在Windows XP操作系統中的個人防火墻可以防止網絡中未經授權的用戶對共享文件夾的訪問，不過提供的功能極為有限。大家可在撥號連接中，右鍵點擊“屬性”，再選擇“高級”，最后啟動“防火墻”就可以了（圖8）。
　　
　　圖8
　　和大型的無線路由器防火墻不同，個人防火墻一般通過軟件來實現，它只是保護個人的主機，而大型的防火墻是保護整個網絡系統。使用個人防火墻后，主機在網絡中進出的數據都會受到嚴格的監控，未經授權的應用程序或者用戶的數據會被禁止進入。
　　
　　除了Windows XP自帶的防火墻之外，更為常用的是例如諾頓、瑞星之類的個人專業防火墻，這些軟件的安全機制是對系統中的每一個應用程序的發送數據進行監控，嚴格管理進出系統的數據包。本文就以國際上較為流行的Zonealarm個人防火墻為例加以介紹。
　　
　　程序安裝完成之后，ZoneAlarm就會根據系統應用程序動態地調整安全機制。例如，網絡中若存在其他進行掃描的主機（一般使用Ping程序），ZoneAlarm就會彈出禁止訪問的窗口。
　　
　　而系統中的應用程序第一次訪問網絡時，它還會彈出如圖9所示的對話框，用戶可以對應用程序的訪問等級進行設置。這樣做的主要目的是在于查看系統中是否已經存在某些惡意的木馬程序。

原文轉自：http://www.kjueaiud.com