江湖秘笈：2 cats大侠过节陪好老丈家秘诀大揭秘 无线安全从基础8大点做起

一天一点

Hello，亲爱的看官们，大家晚上好。今天是周日啦，有不少单位为了能够让大家在假期中放松心情，于是借用了今天作为上班日期，虽然很多希望双休好好休息的看官们梦想幻灭了，不过考虑到公司再有一两天也就放假了，多少还是可以原谅他们的啦。

作为已经进入假期的2 cats大侠我呢，由于近来天天陪着家人猛吃猛喝，身材方面已经开始呈现走型状态。

当然，最关键的是为了能够陪好老丈杆子，这过年之中的酒是一定不能少的。

不要以为伺候好老丈杆子事就完了，俗话说一碗水要端平，光顾着和老丈杆子喝酒可不成，陪丈母娘打打牌、刷刷好心情也是必不可少的啦。因此作为一名专业IT人员，还是要努力学习社会工程学，以便未来各种场合随时应对啊。

闲话过啦，回到我们的主题中来。

WPA+Radius的安全措施

此前，2 cats大侠我一直和各位看官们讨论有关无线网络安全认知、欺诈、建设、认证等话题。可是却始终未给看官们带来有关核心——安全话题。

今天，我将在分享中，为众看官们介绍一点点有关WPA+Radius的安全措施话题。

WPA+Radius技术介绍

此前看过有关WPA+Radius技术分享的看官们一定都知道，WPA作为无线网络中的一种加密安全手段，被用来核实用户连接身份使用。

Radius作为一种单纯的身份认证型服务，与WPA性质有些类似，可整体来讲却有着明显的区别。

Radius的不同

Radius在进行用户身份认证识别时，需要用户先行接入NAS，然后NAS将通过Access-Require数据包向Radius服务器提交信息，这其中包括用户名、密码等。

这其中用户的密码将采用MD5加密的方式，使其成为共享密钥，不过该密钥是不经过网路传播的，仅供服务器认证与加密密码之间有效。

当Radius服务器对用户名和密码的合法性进行校验时，会进行必要的Challenge，实现进一步的用户认证，也可能是对NAS的认证，确保不会被设备欺诈。在经过校验后，确认信息合法性后，会给NAS返回Access-Accept数据包，允许用户开启下一步的工作。如果此时被返回的数据包为Access-Reject数据包，那么用户身份不合法将被拒绝在网络之外。

因此，在了解这些曾经被2 cats大侠我悄悄隐藏的信息后，我们在重新回到安全话题中来。

有什么办法能够帮助WPA+Radius认证服务整体确保无线网络安全呢？

安全设置八大点

第一点：作为安全运维看官，各位可以考虑修改无线路由器常用的默认设置，将它们变更为具有一定安全性且不会影响当前网路使用的设置信息，例如是否绑定MAC地址、是否需要限制流量或峰时连接数等。

第二点：改变服务集标识符并且禁止SSID广播，这点相信不需要介绍什么，各位看官们也都非常了解，特别是禁用SSID广播这条，为了防止无线网络的范围性使用进行的设置，当然这需要根据实际情况做判定。

第三点：设置MAC地址过滤，这个与第一条中默认设置的选择有关系。比如当前无线网络采用的是MAC地址绑定方式，那么就会出现地址欺诈等情况，而此时我们则需要通过过滤一些特定的地址来防止欺诈行为。

第四点：关闭WPA/QSS。对于这条，看官们或许会感到疑问了。WAP作为安全加密的方式，关闭它不等于告诉不法人员，快对我的网络进行攻击吧，我是开放的？其实不然，我们可以使用WPA2-PSK加密啊，它毕竟是WPA的升级版，明显安全性要比前者高出不少，对吧。

第五点：物理的保护网络。这条内容更好理解了，所谓物理就是通过现有或将增加的安全设备、安全方式等对网络形成安全保护。当然，如果安全意识也要算入其中的话，相信各位看官会感到十分头疼的。

第六点：根据网络环境选择是否关闭路由器DHCP功能，使用静态IP地址。这条建议其实与MAC地址那条有些相似性。都是基于一种有效的安全保护方式来确保网络中接入的用户身份属于正常状态。

第七点：设置较长的、复杂的密码，或双因素认证。这条是最好理解的，长且复杂的密码相信各位看官都晓得，双因素认证是个什么鬼？这其实就是WPA+Radius这种方式，采用多重身份认证的方式形成网络保护。

第八点：部署无线入侵检测系统。上面的工作都搞定了？那么加入最后一步吧，让我们一同智能的时刻了解无线网络状态吧。看看当前网络是否有人入侵，是否有人捣乱等等。

好啦，今天的安全话题就说到这里，2 cats大侠我要去打牌啦，那边正在三缺一哦。

2cats 寄语

老规矩不变，

如果有任何问题依旧可以发给e品小顽童。

小顽童的邮箱是：

xiaowantong@epinjianghu.com。

也可以在微信公众号的下方留言，我们会及时整理反馈的。

期待各位的来信交流！

Believe