这就使我们考虑到的话题有利的wep ,封闭essids ,陆委会过滤,作为保护措施。 这种防御是" bypassable " ,你就知道该如何去做。 然而,仍然有充分的理由,让这些保障措施。 其中一个原因是合法的。 攻击者绕过任何这些对策不能申辩无知和声称他或她会与网络,纯属偶然。 因此, wep协议或关闭essid可以作为一种形式的警告说, "我们预计有一定程度的隐私就这个网络;保持你的手赶走。 " 一个组织丧失宝贵的数据或资产后,无线为基础的攻击可以控告不够尽职调查,如果没有任何安全保障措施,部署了。 但是,如果基准对策付诸实施后,责任可以转移阵地到其他地方(制造商,标准的设计师,文献资料来源声称, "静态的wep是不够的, "等等) 。
|
|
另一个原因是,提高大律师资格。 穿透任何防需要时间和努力。 时间等于电池电源和更高的可能性,被人看见。 很大比例的无线饼干都是"带宽水蛭"的类型。 他们使用的电脑预装windows和netstumbler寻找开放无线网络,为建立一个自由的互联网连接,他们可能会利用下载色情和瓦雷兹或发送垃圾邮件。 该系统和工具及其处置的,他们往往不能裂纹的wep ,产生定制帧透露隐藏essids ,或发射层2人在该中或拒绝服务攻击。 与自己的知识,他们可能甚至不知道如何改变mac地址的,他们的无线接口。 因此,基线的保障条款,保护你不受这种攻击,但从来没有假设所有饼干,这是不合格的。 在一些关键的一点,它可能不会发生。
与此相反,适当地执行ssh的端口转发,可提高大律师公会由一个显着的保证金。 是一个好主意,是你的编译与sshd的tcp wrapper支持,并否认所有非ssh的交通流量对无线网络,同时过滤出的ssh交通来自未知ip地址(不要忘记关掉的dhcp ) 。 这可以成功地结合mac地址过滤和静态的arp藏匿在可能的。 一个典型的例子, ssh的端口转发使用的是输出x窗口申请用ssh :
arhontus # ssh的- x的氟xserverhost xapplication_to_use
除了提供数据加密和用户认证,这将是维护cpu循环和电池功率对移动主机。 另一个常见的例子是浏览网页或在网上购物,通过代理对无线网关保护你的浏览会议的ssh :
arhontus #的ssh -1 5777 : localhost : 3128 proxyhost
然后设置你的浏览器使用localhost : 5777年为http代理,你这样做(提供该委托书并听取有关港口3128年在另一边) 。 选择港口5777年就通过本地主机,完全是随机的,而squid代理听命于港口3128年在我们的一个无线网关。 如果你的移动主机是一个窗户框,你可以使用第三方的应用程序,为ssh的隧道。 比如,腻子,做好以下工作:
有多少可能的例子ssh的端口转发使用的是无止境的,我们不会纠缠于它的任何进一步。 刚刚确定你使用maclockdown议定书,如果你能和你的ssh服务器和客户都是最新的和不知道的安全漏洞(否则将面临可能被r00ted由三一,在今后几年) 。 如偏执,因为我们是。 我们已经提到,默认的密码选择在linux在/ etc / ssh的/ ssh_config是
#密码aes128 -央行, 3des将-央行, blowfish -央行, cast128 -央行, arcfour , aes192 -央行,解密-央行
我们建议代之以与unhashed
密码加密-央行, aes192 -央行, aes128 -央行, blowfish -央行, cast128 -央行, 3des将-央行, arcfour
并加入以下几行来档案:
互委会hmac - ripemd160 , hmac - sha1 , hmac -的md5 , hmac - sha1 - 96 , hmac -的md5 - 96 hostkeyalgorithms的ssh -直资, ssh的-的rsa
总之, ssh的端口转发提供了一种快速而容易添加到传统无线薄弱等保障措施wep和陆委会过滤。 虽然对一些具体的环境中,这可能是不够的,如果你是在寻求一个更完整的无线安全解决方案,以上的数据链路层,我们强烈建议考虑的ipsec 。
|
|