中国政府捍卫钓鱼岛领土主权的决心坚定不移
17:39 , 北纬36度
外交部发言人洪磊3日在此间就日本右翼分子登上钓鱼岛一事表明严正立场。他指出,中国政府已就此向日方提出严正交涉和抗议。他说:“我愿重申,钓鱼岛及其附属岛屿自古以来就是中国的固有领土,中国对此拥有无可争辩的主权。中国政府捍卫钓鱼岛领土主权的决心是坚定不移的。”
本报东京1月3日电 (记者于青)据此间媒体报道,当地时间3日上午9时30分左右,日本第十一管区海上保安总部(那霸)的巡逻船发现冲绳县石垣市议员仲间均等3人登上了钓鱼岛。约20分钟后,石垣市议员仲岭忠师也登陆了该岛。4人于11时55分左右离开钓鱼岛,他们乘坐的渔船驶向石垣港。
冲绳县警察本部3日下午发布的消息说,2日晚10时40分左右,4人乘坐渔船从距离钓鱼岛约170公里处的石垣港出发,后来从该岛西南方向登陆。当时海上保安厅的巡逻船正在附近巡逻。但冲绳县警察本部没有说明,是否采取措施阻止这些人登岛。目前,冲绳县警察本部正准备以“未经许可登陆国管岛屿”为由传讯这4人。冲绳县警察本部3日发布的消息则证明,日本政府有关部门从事发开始就得到相关信息,明知登岛未经许可却听之任之,给中日关系大局再次平添噪音和障碍。
冲绳县石垣市市长中山义隆当天接受共同社采访时强调“希望以获得政府许可的合法的形式登陆”,并称仲间均等人“通过这种形式登陆是否恰当,给人留下疑问”。中山义隆此前已向日本政府申请批准登陆钓鱼岛,以实施固定资产税评估等调查。2010年12月,石垣市议会通过了将1月14日定为所谓“尖阁诸岛开拓日”的条例。
点评
“树欲静而风不止。”2012年新年伊始,日本数名市议员登上钓鱼岛挑起事端,给中日关系掀起新的波澜,给中日两国邦交正常化40周年的友好纪念气氛横泼冷水。
如果日方对钓鱼岛问题处理不当,将给中日关系带来严重后果。在邦交正常化40周年因钓鱼岛问题导致两国关系出现倒退,这是中日两国有识之士和广大民众都不愿意看到的。
本报东京1月3日电 (记者于青)据此间媒体报道,当地时间3日上午9时30分左右,日本第十一管区海上保安总部(那霸)的巡逻船发现冲绳县石垣市议员仲间均等3人登上了钓鱼岛。约20分钟后,石垣市议员仲岭忠师也登陆了该岛。4人于11时55分左右离开钓鱼岛,他们乘坐的渔船驶向石垣港。
冲绳县警察本部3日下午发布的消息说,2日晚10时40分左右,4人乘坐渔船从距离钓鱼岛约170公里处的石垣港出发,后来从该岛西南方向登陆。当时海上保安厅的巡逻船正在附近巡逻。但冲绳县警察本部没有说明,是否采取措施阻止这些人登岛。目前,冲绳县警察本部正准备以“未经许可登陆国管岛屿”为由传讯这4人。冲绳县警察本部3日发布的消息则证明,日本政府有关部门从事发开始就得到相关信息,明知登岛未经许可却听之任之,给中日关系大局再次平添噪音和障碍。
冲绳县石垣市市长中山义隆当天接受共同社采访时强调“希望以获得政府许可的合法的形式登陆”,并称仲间均等人“通过这种形式登陆是否恰当,给人留下疑问”。中山义隆此前已向日本政府申请批准登陆钓鱼岛,以实施固定资产税评估等调查。2010年12月,石垣市议会通过了将1月14日定为所谓“尖阁诸岛开拓日”的条例。
点评
“树欲静而风不止。”2012年新年伊始,日本数名市议员登上钓鱼岛挑起事端,给中日关系掀起新的波澜,给中日两国邦交正常化40周年的友好纪念气氛横泼冷水。
如果日方对钓鱼岛问题处理不当,将给中日关系带来严重后果。在邦交正常化40周年因钓鱼岛问题导致两国关系出现倒退,这是中日两国有识之士和广大民众都不愿意看到的。
Jan
17
2012
转载:钓鱼岛千年争夺 年轻国人需增强海权意识
17:32 , 北纬36度
曾多年从事海洋划界工作的高级工程师许森安在同八十年代出生的大学生们讲起中日海权争夺史的时候,更希望这批新时代的年轻人能增强海权意识,能在将来实现海洋资源的充分利用。
在国际关系学院举办的这次《钓鱼岛问题和中日海权之争》的演讲,虽听者不众,却个个认真,诺大个会场也因这种气氛未显出丝毫的空落。
许森安说,中国关于钓鱼岛的最早记载可追溯到千年前的隋朝,那时中国的台湾和钓鱼岛邻近着另一个独立的国家叫琉球,隋炀帝曾派使臣朱宽召其归顺,又曾派陈棱、周镇州等率军攻打,行军途中便有经过钓鱼岛。至明朝,中国人杨载在一三七二年首先驻足钓鱼岛。明永乐年间出版的《顺风相送》对钓鱼岛有详细记载。其间明人在台湾辖区钓鱼岛采珠集药、捕鱼开发从未间断过。明朝中叶,戚继光等抗击倭寇时,就以钓鱼岛为战略防线。一六〇二年日本侵犯琉球,琉球从此遭日人监督内政四十余年。一六五四年清康熙帝册封琉球王为尚质王,定两年进贡一次,称中国为父国,用大清年号。明清期间的多幅疆海图都清楚标明钓鱼岛为中国的一部分。
一八九五年中日甲午战争后,清王朝被迫与日本签订《马关条约》,割台湾和澎湖列岛。而二战中美、英发表的《开罗宣言》以及《波茨坦公告》,都明确要求日本将台湾、澎湖列岛等的土地归还中国。日本战败接受《波茨坦公告》,却未依照公告行事,反而同美国签订了片面的《旧金山和约》,将钓鱼诸岛连同日本冲绳交由美国托管。当时中国即提出抗议。一九七一年,美国又不顾中国反对,和日本签订“归还冲绳协定”,强行将冲绳连同钓鱼台的“行政权”一并交与日本。
美国企图造成中日对钓鱼岛的争端以至长期对抗,以便坐收渔人之利,达到牵制中国的目的;日本企图占领远距冲绳三百海里的钓鱼岛,大大扩张领海和经济区,以便分享中国大陆架资源,但无论是按照国际惯例、国际法还是地形地貌,日本提出的海洋划界理由都很难成立。而众所周知的钓鱼岛争端也是如此,连有些日本学者也自知理亏。
许老说起他亲身经历的一个小故事,一次日本右翼团体组织了一批“头脑”来中国辩论,气焰很是嚣张,首日会面甚至拍起桌子叫嚣。但中国的几位学者不慌不忙,将对方的提出的“观点”一一扳倒,日本人没了说辞,只得转换话题,改谈中日友好。许老还清楚地记得,在一次研讨会上,一位日本学者讲,钓鱼岛处于日本实际控制之下,这种控制具有国际法规定的时效性。许老当即在会场上将每一个历史阶段为什么说日本不构成时效的原因一一列举,让这位日本学者哑口无言。
说起中日东海划界的争端,许老认为能令日本如此“放不下”的无非是“资源”。一是海底蕴藏的石油资源。七十年代,日本曾与韩国签署了所谓《共同开发大陆架协定》,在东海海域划出了大片的大陆架作为日韩的“共同开发区”,但两国在这些区域始终没有收获。而中国后来在那开发区附近却发现了丰富的石油和燃气贮藏。日本甚至在八十年代向中国提出过“共同开发”的建议。另一样重要资源便是钓鱼岛附近通向太平洋的水道。美国在日本背后挑起钓鱼台之争,除了想借日本之势“制衡”中国外,还有着控制国际航道,实现东海“岛链封锁”的图谋。
在此,钓鱼台的战略意义尤显突出。
对钓鱼岛,中国早早提出“主权在我,搁置争议,共同开发”的方针。主权问题,中国断不会放弃。但搁置争议的同时,许老表示加紧开发是要务。与此同时,国民尤需加强海权意识,了解历史,“加大在国际上说话的声音”,让那些受日本右翼势力蒙蔽的人也清楚钓鱼岛问题的真相。
已是一头华发的许森安说这番话时,字字句句透着对下一辈人的寄望。
在国际关系学院举办的这次《钓鱼岛问题和中日海权之争》的演讲,虽听者不众,却个个认真,诺大个会场也因这种气氛未显出丝毫的空落。
许森安说,中国关于钓鱼岛的最早记载可追溯到千年前的隋朝,那时中国的台湾和钓鱼岛邻近着另一个独立的国家叫琉球,隋炀帝曾派使臣朱宽召其归顺,又曾派陈棱、周镇州等率军攻打,行军途中便有经过钓鱼岛。至明朝,中国人杨载在一三七二年首先驻足钓鱼岛。明永乐年间出版的《顺风相送》对钓鱼岛有详细记载。其间明人在台湾辖区钓鱼岛采珠集药、捕鱼开发从未间断过。明朝中叶,戚继光等抗击倭寇时,就以钓鱼岛为战略防线。一六〇二年日本侵犯琉球,琉球从此遭日人监督内政四十余年。一六五四年清康熙帝册封琉球王为尚质王,定两年进贡一次,称中国为父国,用大清年号。明清期间的多幅疆海图都清楚标明钓鱼岛为中国的一部分。
一八九五年中日甲午战争后,清王朝被迫与日本签订《马关条约》,割台湾和澎湖列岛。而二战中美、英发表的《开罗宣言》以及《波茨坦公告》,都明确要求日本将台湾、澎湖列岛等的土地归还中国。日本战败接受《波茨坦公告》,却未依照公告行事,反而同美国签订了片面的《旧金山和约》,将钓鱼诸岛连同日本冲绳交由美国托管。当时中国即提出抗议。一九七一年,美国又不顾中国反对,和日本签订“归还冲绳协定”,强行将冲绳连同钓鱼台的“行政权”一并交与日本。
美国企图造成中日对钓鱼岛的争端以至长期对抗,以便坐收渔人之利,达到牵制中国的目的;日本企图占领远距冲绳三百海里的钓鱼岛,大大扩张领海和经济区,以便分享中国大陆架资源,但无论是按照国际惯例、国际法还是地形地貌,日本提出的海洋划界理由都很难成立。而众所周知的钓鱼岛争端也是如此,连有些日本学者也自知理亏。
许老说起他亲身经历的一个小故事,一次日本右翼团体组织了一批“头脑”来中国辩论,气焰很是嚣张,首日会面甚至拍起桌子叫嚣。但中国的几位学者不慌不忙,将对方的提出的“观点”一一扳倒,日本人没了说辞,只得转换话题,改谈中日友好。许老还清楚地记得,在一次研讨会上,一位日本学者讲,钓鱼岛处于日本实际控制之下,这种控制具有国际法规定的时效性。许老当即在会场上将每一个历史阶段为什么说日本不构成时效的原因一一列举,让这位日本学者哑口无言。
说起中日东海划界的争端,许老认为能令日本如此“放不下”的无非是“资源”。一是海底蕴藏的石油资源。七十年代,日本曾与韩国签署了所谓《共同开发大陆架协定》,在东海海域划出了大片的大陆架作为日韩的“共同开发区”,但两国在这些区域始终没有收获。而中国后来在那开发区附近却发现了丰富的石油和燃气贮藏。日本甚至在八十年代向中国提出过“共同开发”的建议。另一样重要资源便是钓鱼岛附近通向太平洋的水道。美国在日本背后挑起钓鱼台之争,除了想借日本之势“制衡”中国外,还有着控制国际航道,实现东海“岛链封锁”的图谋。
在此,钓鱼台的战略意义尤显突出。
对钓鱼岛,中国早早提出“主权在我,搁置争议,共同开发”的方针。主权问题,中国断不会放弃。但搁置争议的同时,许老表示加紧开发是要务。与此同时,国民尤需加强海权意识,了解历史,“加大在国际上说话的声音”,让那些受日本右翼势力蒙蔽的人也清楚钓鱼岛问题的真相。
已是一头华发的许森安说这番话时,字字句句透着对下一辈人的寄望。
Jan
17
2012
日本夺岛新动态:钓鱼岛附近39个无人岛将被命名
17:24 , 北纬36度
日本夺岛新动态:钓鱼岛附近39个无人岛将被命名。近日,日本相关人士召开记者会,宣布将对日本专属经济区内的无人岛屿进行命名。近39个无人岛屿位于中国钓鱼岛附近,日本决定采取措施对岛屿进行命名,然后将岛屿标注在日本地图和海图上。
我们来看看人民网的详细报道:
日本官房长官藤村修16日在记者会宣布,将于3月底前确定日本专属经济区(EEZ)基点岛屿中39个无人岛的名称。
藤村强调:“我们优先开展了EEZ基点岛屿的命名工作。”他还解释说,这类岛屿共有99个,其中49个为无名岛,去年5月对其中的10个进行了命名。
据内阁官房综合海洋政策总部事务局介绍,剩余的39个岛屿位于2010年9月发生日中撞船事件的冲绳县尖阁诸岛(中国名:钓鱼岛)附近等处。
日本政府将向地方政府咨询岛屿名称,在无法确认的情况下给出命名建议,征询地方意见后确定岛屿名称,并标注在地图和海图上。
我们来看看人民网的详细报道:
日本官房长官藤村修16日在记者会宣布,将于3月底前确定日本专属经济区(EEZ)基点岛屿中39个无人岛的名称。
藤村强调:“我们优先开展了EEZ基点岛屿的命名工作。”他还解释说,这类岛屿共有99个,其中49个为无名岛,去年5月对其中的10个进行了命名。
据内阁官房综合海洋政策总部事务局介绍,剩余的39个岛屿位于2010年9月发生日中撞船事件的冲绳县尖阁诸岛(中国名:钓鱼岛)附近等处。
日本政府将向地方政府咨询岛屿名称,在无法确认的情况下给出命名建议,征询地方意见后确定岛屿名称,并标注在地图和海图上。
Jan
17
2012
保护Wi-Fi无线网络安全的十一个技巧
03:22 , 北纬36度
保护Wi-Fi无线网络安全的十一个技巧
Wi-Fi生来就容易受到黑客攻击和窃听。但是,如果你使用正确的安全措施,Wi-Fi可以是安全的。遗憾的是网站上充满了过时的忠告和误区。下面是Wi-Fi安全中应该做的和不应该做的一些事情。
1.不要使用WEP
WEP(有线等效加密协议)安全早就死了。大多数没有经验的黑客能够迅速地和轻松地突破基本的加密。因此,你根本就不应该使用WEP。如果你使用WEP,请立即升级到具有802.1X身份识别功能的802.11i的WPA2(WiFi保护接入)协议。如果你有不支持WPA2的老式设备和接入点,你要设法进行固件升级或者干脆更换设备。
2.不要使用WPA/WPA2-PSK
WPA/WPA2安全的预共享密钥(PSK)模式对于商务或者企业环境是不安全的。当使用这个模式的时候,同一个预共享密钥必须输入到每一个客户。因此,每当员工离职和一个客户丢失或失窃密钥时,这个PSK都要进行修改。这在大多数环境中是不现实的。
3.一定要应用802.11i
WPA和WPA2安全的EAP(可扩展身份识别协议)模式使用802.1X身份识别,而不是PSK,向每一个用户和客户提供自己的登录证书的能力,如用户名和口令以及一个数字证书。
实际的加密密钥是在后台定期改变和交换的。因此,要改变或者撤销用户访问,你要做的事情就是在中央服务器修改登录证书,而不是在每一台客户机上改变PSK。这种独特的每个进程一个密钥的做法还防止用户相互窃听对方的通讯。现在,使用火狐的插件Firesheep和Android应用DroidSheep等工具很容易进行窃听。
要记住,为了达到尽可能最佳的安全,你应该使用带802.1X的WPA2。这个协议也称作802.1i。
要实现802.1X身份识别,你需要拥有一台RADIUS/AAA服务器。如果你在运行WindowsServer2008和以上版本的操作系统,你要考虑使用网络政策服务器(NPS)或者早期服务器版本的互联网身份识别服务(IAS)。如果你没有运行Windows服务器软件,你可以考虑使用开源FreeRADIUS服务器软件。
如果你运行WindowsServer2008R2或以上版本,你可以通过组策略把802.1X设置到区域连接在一起的客户机。否则,你可以考虑采用第三方解决方案帮助配置这些客户机。
4.一定要保证802.1X客户机设置的安全
WPA/WPA2的EAP模式仍然容易受到中间人攻击。然而,你可以通过保证客户机EAP设置的安全来阻止这些攻击。例如,在Windows的EAP设置中,你可以通过选择CA证书、指定服务器地址和禁止它提示用户信任新的服务器或者CA证书等方法实现服务器证书验证。
你还可以通过组策略把802.1X设置推向区域连接在一起的客户机,或者使用Avenda公司的Quick1X等第三方解决方案。
5.一定要使用一个无线入侵防御系统
保证WiFi网络安全比抗击那些直设法获取网络访问权限的企图要做更多的事情。例如,黑客可以建立一个虚假的接入点或者实施拒绝服务攻击。要帮助检测和对抗这些攻击,你应该应用一个无线入侵防御系统(WIPS)。厂商直接的WIPS系统的设计和方法是不同的,但是,这些系统一般都监视虚假的接入点或者恶意行动,向你报警和可能阻止这些恶意行为。
有许多商业厂商提供WIPS解决方案,如AirMagnet和AirTightNeworks。还有Snort等开源软件的选择。
6.一定要应用NAP或者NAC
除了802.11i和WIPS之外,你应该考虑应用一个NAP(网络接入保护)或者NAC(网络接入控制)解决方案。这些解决方案能够根据客户身份和执行定义的政策的情况对网络接入提供额外的控制。这些解决方案还包括隔离有问题的客户的能力以及提出补救措施让客户重新遵守法规的能力。
有些NAC解决方案可能包括网络入侵防御和检测功能。但是,你要保证这个解决方案还专门提供无线保护功能。
如果你的客户机在运行WindowsServer2008或以上版本以及WindowsVista或以上版本的操作系统,你可以使用微软的NAP功能。此外,你可以考虑第三方的解决方案,如开源软件的PacketFence。
7.不要信任隐藏的SSID
无线安全的一个不实的说法是关闭接入点的SSID播出将隐藏你的网络,或者至少可以隐藏你的SSID,让黑客很难找到你的网络。然而,这种做法只是从接入点信标中取消了SSID。它仍然包含在802.11相关的请求之中,在某些情况下还包含在探索请求和回应数据包中。因此,窃听者能够使用合法的无线分析器在繁忙的网络中迅速发现“隐藏的”SSID。
一些人可能争辩说,关闭SSID播出仍然会提供另一层安全保护。但是,要记住,它能够对网络设置和性能产生负面影响。你必须手工向客户机输入SSID,这使客户机的配置更加复杂。这还会引起探索请求和回应数据包的增加,从而减少可用带宽。
8.不要信任MAC地址过滤
无线安全的另一个不实的说法是启用MAC(媒体接入控制)地址过滤将增加另一层安全,控制哪一个客户机能够连接到这个网络。这有一些真实性。但是,要记住,窃听者很容易监视网络中授权的MAC地址并且随后改变自己的计算机的MAC地址。
因此,你不要以为MAC过滤能够为安全做许多事情而采用MAC地址过滤。不过,你可以把这种做法作为松散地控制用户可以使用哪一台客户机和设备进入网络的方法。但是,你还要考虑保持MAC列表处于最新状态所面临的管理难题。
9.一定要限制SSID用户能够连接的网络
许多网络管理员忽略了一个简单而具有潜在危险的安全风险:用户故意地或者非故意地连接到临近的或者非授权的无线网络,使自己的计算机向可能的入侵敞开大门。然而,过滤SSID是防止发生这种情况的一个途径。例如,在WindowsVista和以上版本中,你可以使用netshwlan指令向用户能够看到和连接的那些SSID增加过滤器。对于台式电脑来说,你可以拒绝你的无线网络的那些SSID以外的所有的SSID。对于笔记本电脑来说,你可以仅仅拒绝临近网络的SSID,让它们仍然连接到热点和它们自己的网络。
10.一定要物理地保护网络组件的安全
要记住,计算机安全并不仅仅是最新的技术和加密。物理地保证你的网络组件的安全同样重要。要保证接入点放置在接触不到的地方,如假吊顶上面或者考虑把接入点放置在一个保密的地方,然后在一个最佳地方使用一个天线。如果不安全,有人会轻松来到接入点并且把接入点重新设置到厂商默认值以开放这个接入点。
11.不要忘记保护移动客户
你的WiFi安全的担心不应该仅限于你的网络。使用智能手机、笔记本电脑和平板电脑的用户也许也要得到保护。但是,在他们连接到WiFi热点或者自己家里的路由器的时候会怎样呢?你要保证他们其它的WiFi连接也是安全的以防止入侵和窃听。
遗憾的是保证WiFi连接外部的安全并不是一件容易的事情。这需要采取综合性的方法,如提供和推荐解决方案以及教育用户有关WiFi安全风险和防御措施等。
首先,所有的笔记本电脑和上网本都应该有一个个人防火墙以防止入侵。如果你运行WindowsServe操作系统,你可以通过组策略强制执行这个功能,你还可以使用WindowsIntune等解决方案管理非范围内的名计算机。
其次,你需要保证用户的互联网通讯是加密的以防止本地窃听,同时在其它网络上提供访问你的网络的VPN(虚拟专用网)接入。如果你不为这种应用使用内部的VPN,可以考虑使用HotspotShield或者Witopia等外包服务。对于iOS(iPhone、iPad和iPodTouch)和Android设备来说,你可以使用这些设备本地的VPN客户端软件。然而,对于黑莓和WindowsPhone7设备来说,你必须设置一个消息服务器并且设置这个设备使用自己的VPN客户端软件。
你还应该保证你的面向互联网的服务是安全的,一旦用户在公共网络或者不可信任的网络上不能使用VPN的时候可以使用这个服务。例如,如果你提供你的局域网、广域网或者VPN以外的电子邮件地址,你要保证使用SSL加密以防止本地窃听者。在不可信任的网络中的窃听者能够捕获用户的登录证书或者信息
Wi-Fi生来就容易受到黑客攻击和窃听。但是,如果你使用正确的安全措施,Wi-Fi可以是安全的。遗憾的是网站上充满了过时的忠告和误区。下面是Wi-Fi安全中应该做的和不应该做的一些事情。
1.不要使用WEP
WEP(有线等效加密协议)安全早就死了。大多数没有经验的黑客能够迅速地和轻松地突破基本的加密。因此,你根本就不应该使用WEP。如果你使用WEP,请立即升级到具有802.1X身份识别功能的802.11i的WPA2(WiFi保护接入)协议。如果你有不支持WPA2的老式设备和接入点,你要设法进行固件升级或者干脆更换设备。
2.不要使用WPA/WPA2-PSK
WPA/WPA2安全的预共享密钥(PSK)模式对于商务或者企业环境是不安全的。当使用这个模式的时候,同一个预共享密钥必须输入到每一个客户。因此,每当员工离职和一个客户丢失或失窃密钥时,这个PSK都要进行修改。这在大多数环境中是不现实的。
3.一定要应用802.11i
WPA和WPA2安全的EAP(可扩展身份识别协议)模式使用802.1X身份识别,而不是PSK,向每一个用户和客户提供自己的登录证书的能力,如用户名和口令以及一个数字证书。
实际的加密密钥是在后台定期改变和交换的。因此,要改变或者撤销用户访问,你要做的事情就是在中央服务器修改登录证书,而不是在每一台客户机上改变PSK。这种独特的每个进程一个密钥的做法还防止用户相互窃听对方的通讯。现在,使用火狐的插件Firesheep和Android应用DroidSheep等工具很容易进行窃听。
要记住,为了达到尽可能最佳的安全,你应该使用带802.1X的WPA2。这个协议也称作802.1i。
要实现802.1X身份识别,你需要拥有一台RADIUS/AAA服务器。如果你在运行WindowsServer2008和以上版本的操作系统,你要考虑使用网络政策服务器(NPS)或者早期服务器版本的互联网身份识别服务(IAS)。如果你没有运行Windows服务器软件,你可以考虑使用开源FreeRADIUS服务器软件。
如果你运行WindowsServer2008R2或以上版本,你可以通过组策略把802.1X设置到区域连接在一起的客户机。否则,你可以考虑采用第三方解决方案帮助配置这些客户机。
4.一定要保证802.1X客户机设置的安全
WPA/WPA2的EAP模式仍然容易受到中间人攻击。然而,你可以通过保证客户机EAP设置的安全来阻止这些攻击。例如,在Windows的EAP设置中,你可以通过选择CA证书、指定服务器地址和禁止它提示用户信任新的服务器或者CA证书等方法实现服务器证书验证。
你还可以通过组策略把802.1X设置推向区域连接在一起的客户机,或者使用Avenda公司的Quick1X等第三方解决方案。
5.一定要使用一个无线入侵防御系统
保证WiFi网络安全比抗击那些直设法获取网络访问权限的企图要做更多的事情。例如,黑客可以建立一个虚假的接入点或者实施拒绝服务攻击。要帮助检测和对抗这些攻击,你应该应用一个无线入侵防御系统(WIPS)。厂商直接的WIPS系统的设计和方法是不同的,但是,这些系统一般都监视虚假的接入点或者恶意行动,向你报警和可能阻止这些恶意行为。
有许多商业厂商提供WIPS解决方案,如AirMagnet和AirTightNeworks。还有Snort等开源软件的选择。
6.一定要应用NAP或者NAC
除了802.11i和WIPS之外,你应该考虑应用一个NAP(网络接入保护)或者NAC(网络接入控制)解决方案。这些解决方案能够根据客户身份和执行定义的政策的情况对网络接入提供额外的控制。这些解决方案还包括隔离有问题的客户的能力以及提出补救措施让客户重新遵守法规的能力。
有些NAC解决方案可能包括网络入侵防御和检测功能。但是,你要保证这个解决方案还专门提供无线保护功能。
如果你的客户机在运行WindowsServer2008或以上版本以及WindowsVista或以上版本的操作系统,你可以使用微软的NAP功能。此外,你可以考虑第三方的解决方案,如开源软件的PacketFence。
7.不要信任隐藏的SSID
无线安全的一个不实的说法是关闭接入点的SSID播出将隐藏你的网络,或者至少可以隐藏你的SSID,让黑客很难找到你的网络。然而,这种做法只是从接入点信标中取消了SSID。它仍然包含在802.11相关的请求之中,在某些情况下还包含在探索请求和回应数据包中。因此,窃听者能够使用合法的无线分析器在繁忙的网络中迅速发现“隐藏的”SSID。
一些人可能争辩说,关闭SSID播出仍然会提供另一层安全保护。但是,要记住,它能够对网络设置和性能产生负面影响。你必须手工向客户机输入SSID,这使客户机的配置更加复杂。这还会引起探索请求和回应数据包的增加,从而减少可用带宽。
8.不要信任MAC地址过滤
无线安全的另一个不实的说法是启用MAC(媒体接入控制)地址过滤将增加另一层安全,控制哪一个客户机能够连接到这个网络。这有一些真实性。但是,要记住,窃听者很容易监视网络中授权的MAC地址并且随后改变自己的计算机的MAC地址。
因此,你不要以为MAC过滤能够为安全做许多事情而采用MAC地址过滤。不过,你可以把这种做法作为松散地控制用户可以使用哪一台客户机和设备进入网络的方法。但是,你还要考虑保持MAC列表处于最新状态所面临的管理难题。
9.一定要限制SSID用户能够连接的网络
许多网络管理员忽略了一个简单而具有潜在危险的安全风险:用户故意地或者非故意地连接到临近的或者非授权的无线网络,使自己的计算机向可能的入侵敞开大门。然而,过滤SSID是防止发生这种情况的一个途径。例如,在WindowsVista和以上版本中,你可以使用netshwlan指令向用户能够看到和连接的那些SSID增加过滤器。对于台式电脑来说,你可以拒绝你的无线网络的那些SSID以外的所有的SSID。对于笔记本电脑来说,你可以仅仅拒绝临近网络的SSID,让它们仍然连接到热点和它们自己的网络。
10.一定要物理地保护网络组件的安全
要记住,计算机安全并不仅仅是最新的技术和加密。物理地保证你的网络组件的安全同样重要。要保证接入点放置在接触不到的地方,如假吊顶上面或者考虑把接入点放置在一个保密的地方,然后在一个最佳地方使用一个天线。如果不安全,有人会轻松来到接入点并且把接入点重新设置到厂商默认值以开放这个接入点。
11.不要忘记保护移动客户
你的WiFi安全的担心不应该仅限于你的网络。使用智能手机、笔记本电脑和平板电脑的用户也许也要得到保护。但是,在他们连接到WiFi热点或者自己家里的路由器的时候会怎样呢?你要保证他们其它的WiFi连接也是安全的以防止入侵和窃听。
遗憾的是保证WiFi连接外部的安全并不是一件容易的事情。这需要采取综合性的方法,如提供和推荐解决方案以及教育用户有关WiFi安全风险和防御措施等。
首先,所有的笔记本电脑和上网本都应该有一个个人防火墙以防止入侵。如果你运行WindowsServe操作系统,你可以通过组策略强制执行这个功能,你还可以使用WindowsIntune等解决方案管理非范围内的名计算机。
其次,你需要保证用户的互联网通讯是加密的以防止本地窃听,同时在其它网络上提供访问你的网络的VPN(虚拟专用网)接入。如果你不为这种应用使用内部的VPN,可以考虑使用HotspotShield或者Witopia等外包服务。对于iOS(iPhone、iPad和iPodTouch)和Android设备来说,你可以使用这些设备本地的VPN客户端软件。然而,对于黑莓和WindowsPhone7设备来说,你必须设置一个消息服务器并且设置这个设备使用自己的VPN客户端软件。
你还应该保证你的面向互联网的服务是安全的,一旦用户在公共网络或者不可信任的网络上不能使用VPN的时候可以使用这个服务。例如,如果你提供你的局域网、广域网或者VPN以外的电子邮件地址,你要保证使用SSL加密以防止本地窃听者。在不可信任的网络中的窃听者能够捕获用户的登录证书或者信息
Jan
14
2012
Wifi叠接十二问
很多最新款智能手机已经内置了叠接功能, 其让手机的作用超出了通话,发送邮件和网上冲浪,然而并未得到广泛使用。手机可以成为移动热点,为其附近的电脑、平板和其他设备提供无线上网服务。
In-Stat无线技术研究负责人Allen Nogee称,叠接技术让智能手机用户可以随时随地尽享无线网络而不需要携带其他额外的设备。
这些手机就好像连接移动数据网络的移动热点设备,可以作为wifi路由为附近的用户分配带宽。当然,作为热点的手机需要为此付费。
除此以外还需要了解什么吗?在与分析师,网络工程师和其他移动专家交谈过后,笔者罗列出了十二个常见的智能手机叠接技术问题,包括选项和运营商策略。此外,笔者在欧美多个地方使用了几个智能手机作为热点想看看实际使用效果。
什么是叠接技术?
叠接技术是指电脑或其他设备共享智能手机的互联网连接。可以通过一个USB电缆,一个蓝牙无线连接或是wifi连接来完成设备间的连接。本文关注的是wifi热点叠接因为它使用起来更方便而且可以同时服务多个用户——而且还因为现在所有笔记本和平板都内置wifi功能。
热点手机如何工作?
在连入移动手机数据网络后,智能手机可以通过wifi连接把自己的互联网连接分配给其他客户。任何带有wifi功能的电脑或平板都可以连接到此手机,而wifi路由就存在于智能手机中,因此不需要再携带其他设备。
哪些手机支持wifi叠接技术?
主流手机厂商的很多产品都支持此功能,包括安卓,黑莓,iOS,WebOS和WP;而且手机形状与大小也各异。目前,安卓提供的选择最多,有48种热点 模式可用。
笔者在自己的办公室,家里,火车上和移动的车子中使用了手机热点。基本上,只要你的手机有移动数据连接,就可以作为热点手机使用。
WiFi叠接技术会增加手机大小和重量吗?
不会。WiFi叠接需要手机内置WiFi芯片,但是智能手机已经植入了这样的芯片,你可以在网吧或办公室进行连接。热点功能通过软件开启,所以不会增加手机重量。事实上,有些具备热点功能的手机仅重3.2盎司。
安装起来麻烦吗?
任何安装过WiFi路由或是使用过移动热点的人都可以开启WiFi叠接。要想把手机当作热点使用,首先要启动叠接应用。
开启热点后,要输入网络名称对其进行配置,选择加密方式并指定一个密码。目前大多数热点手机都使用WPA2保护,因此其他人无法使用你的移动网络或是读取数据。只需几分钟就可完成安装。
哪些用户可以连接到热点,同一时间可支持多少用户呢?
一个手机热点可以与任何带有WiFi联网功能的设备连接,包括各种笔记本,iPad和各种安卓平板。
手机可以为五到八位用户提供互联网连接,这要取决于网络连接模式。不过,用户一多,网速自然也就会变慢。
连接速度可以达到什么水平?
连接速度取决于很多因素,包括手机与最近信号发射塔的距离,网络的繁忙程度。一般来说应该可以达到100Kbps,不过300Kbps是合理的期望。
如果是3G和4G网络,那么地理位置很重要,因为很多地方没有新网络的覆盖。你可以到运营商网站查询覆盖范围,然后看看在自己所处位置是否可以访问网络。
一般来说,手机的WiFi信号可达100英尺,因此可以满足当前办公室,海滩甚至是最大号酒店套房的需求。要记住,和WiFi路由一样,你离热点距离越远,信号的强度和带宽都会减小。
能够一边打电话一边使用热点功能吗?
这要取决于手机本身以及所使用的网络。大多数4G手机可以满足此需求;CDMA网络的3G手机则不行;在HSPA 3G网络上运行的手机则是个大杂烩。如果这是一个很重要的需求,那么最好是咨询运营商看是否有特定的机型可以同时支持语音与数据传输功能。
叠接技术怎样收费?
每个网络的叠接收费都不同,所以很难进行比较。事先,最好咨询一下运营商,谨慎消费。
可以使用第三方叠接应用取代运营商的订购费用吗?
如果你不怕这样做可能出现的风险,且你的手机有内置WiFi功能,就可以下载并使用某些应用,如为iPhone开发的MyWi,为安卓开发的Android WiFi Tether或是为塞班开发的JoikuSpot Light WiFi Hotspot,下载这些应用并安装到手机中运行就可以开启热点了。这些应用与手机内置叠接应用的功效一样,只是没有运营商授权和收费而已。
无疑,你使用这些不收费应用时,运营商是不乐意的,因为这减少了他们的收入,而且他们会对自己网络上的应用进行监控。有些运营商可能会关闭这类服务,有些可能让你自动升级到叠接计划并实施收费。要了解清楚运营商的服务条款,搞清楚自己的权利义务。
这些手机在海外也可以作为热点使用吗?
有些可以,有些不行,买之前就要确定这一点。通常,如果手机支持HSPA或HSPA+技术,那么在欧洲,澳洲,新西兰,以及非洲部分区域,亚洲和南美洲应该都不成问题。不过你可能要升级服务包,使其可以支持国际数据漫游。
如果你去到的国家不在上述几个区域之内,In-Stat的Nogee推荐可以租用带热点功能的手机使用。例如,你可以租用HTC MyTouch 4G,这款手机适合任何欧盟国家以及瑞士,可同时为四个设备提供热点服务。租用的话,大概是12美元一天,80美元一周或是200美元一月,有500MB的流量包,适合短期使用。
在不同国家的热点操作
笔者自己携带使用Verizon网络的热点手机进行尝试。LG Revolution和摩托罗拉 Droid 3效果不错,但是对于不同的情境它们也可用。因为它可以用于Verizon 4G LTE网络,前者在美国等地有较强的速度优势,而后者速度稍慢,但是在欧洲效果不错。
笔者在主页上点击了移动热点图标,两款手机都弹出了热点设置页面。配置完热点的网络名称后,将其配置为安全的WPA2加密,然后输入密码。这些设置一般一两分钟就可完成。
笔者在纽约市测试了LG Revolution想看看它在Verizon 4G LTE网络上的性能。使用惠普笔记本接入该热点,经SpeedTest.net宽带基站测速,其下载速度达到了19.6Mbps,上传速度达到了4.5Mbps。而且其峰值更令人印象深刻:下载速度21Mbps,上传速度5.6Mbps。当然这些是在LTE下产生的数字。如果你在3G网络中使用,速度肯定要慢一些。
下一步,测试了Verizon 3G网络下的摩托罗拉 Droid 3。虽然它达不到Revolution在LTE下的速度,但是它适合HSPA网络。在纽约市,Droid 3的平均下载和上传速度分别为1.4Mbps和747Kbps,下载峰值达到2.1Mbps,上传峰值为824Kbps。这是笔者常用有线宽带速度的一半,但是对于旅途中的用户而言,这个速度还是令人满意的。
在去往密歇根的路上,笔者早晚都用Droid 3的叠接功能与惠普笔记本连接。其间,平均下载和上传速度分别为1.4Mbps和620Kbps,峰值分别为2.2Mbps和651Kbps。
跨国旅行期间,平均下载速度为1.5Mbps,平均上传速度为640Kbps。笔者使用Droid 3热点连接惠普笔记本以及iPad,查看电子地图,听网络收音机,看视频,玩游戏并对一个网站进行升级。最惊讶的是发现在从伦敦开往巴黎的欧洲之星列车上,还有足够带宽看下一站的地图以及阅读新闻。
这种数据消耗也有负面影响。使用Droid 3的热点功能,连接iPad播放在线视频会让电池在3小时15分钟左右就耗尽,而使用普通的数据传输,其电池可使用15小时左右。换言之,如果你要使用手机热点功能,请先确保随身携带充电器,而且要注意电耗。
很多最新款智能手机已经内置了叠接功能, 其让手机的作用超出了通话,发送邮件和网上冲浪,然而并未得到广泛使用。手机可以成为移动热点,为其附近的电脑、平板和其他设备提供无线上网服务。
In-Stat无线技术研究负责人Allen Nogee称,叠接技术让智能手机用户可以随时随地尽享无线网络而不需要携带其他额外的设备。
这些手机就好像连接移动数据网络的移动热点设备,可以作为wifi路由为附近的用户分配带宽。当然,作为热点的手机需要为此付费。
除此以外还需要了解什么吗?在与分析师,网络工程师和其他移动专家交谈过后,笔者罗列出了十二个常见的智能手机叠接技术问题,包括选项和运营商策略。此外,笔者在欧美多个地方使用了几个智能手机作为热点想看看实际使用效果。
什么是叠接技术?
叠接技术是指电脑或其他设备共享智能手机的互联网连接。可以通过一个USB电缆,一个蓝牙无线连接或是wifi连接来完成设备间的连接。本文关注的是wifi热点叠接因为它使用起来更方便而且可以同时服务多个用户——而且还因为现在所有笔记本和平板都内置wifi功能。
热点手机如何工作?
在连入移动手机数据网络后,智能手机可以通过wifi连接把自己的互联网连接分配给其他客户。任何带有wifi功能的电脑或平板都可以连接到此手机,而wifi路由就存在于智能手机中,因此不需要再携带其他设备。
哪些手机支持wifi叠接技术?
主流手机厂商的很多产品都支持此功能,包括安卓,黑莓,iOS,WebOS和WP;而且手机形状与大小也各异。目前,安卓提供的选择最多,有48种热点 模式可用。
笔者在自己的办公室,家里,火车上和移动的车子中使用了手机热点。基本上,只要你的手机有移动数据连接,就可以作为热点手机使用。
WiFi叠接技术会增加手机大小和重量吗?
不会。WiFi叠接需要手机内置WiFi芯片,但是智能手机已经植入了这样的芯片,你可以在网吧或办公室进行连接。热点功能通过软件开启,所以不会增加手机重量。事实上,有些具备热点功能的手机仅重3.2盎司。
安装起来麻烦吗?
任何安装过WiFi路由或是使用过移动热点的人都可以开启WiFi叠接。要想把手机当作热点使用,首先要启动叠接应用。
开启热点后,要输入网络名称对其进行配置,选择加密方式并指定一个密码。目前大多数热点手机都使用WPA2保护,因此其他人无法使用你的移动网络或是读取数据。只需几分钟就可完成安装。
哪些用户可以连接到热点,同一时间可支持多少用户呢?
一个手机热点可以与任何带有WiFi联网功能的设备连接,包括各种笔记本,iPad和各种安卓平板。
手机可以为五到八位用户提供互联网连接,这要取决于网络连接模式。不过,用户一多,网速自然也就会变慢。
连接速度可以达到什么水平?
连接速度取决于很多因素,包括手机与最近信号发射塔的距离,网络的繁忙程度。一般来说应该可以达到100Kbps,不过300Kbps是合理的期望。
如果是3G和4G网络,那么地理位置很重要,因为很多地方没有新网络的覆盖。你可以到运营商网站查询覆盖范围,然后看看在自己所处位置是否可以访问网络。
一般来说,手机的WiFi信号可达100英尺,因此可以满足当前办公室,海滩甚至是最大号酒店套房的需求。要记住,和WiFi路由一样,你离热点距离越远,信号的强度和带宽都会减小。
能够一边打电话一边使用热点功能吗?
这要取决于手机本身以及所使用的网络。大多数4G手机可以满足此需求;CDMA网络的3G手机则不行;在HSPA 3G网络上运行的手机则是个大杂烩。如果这是一个很重要的需求,那么最好是咨询运营商看是否有特定的机型可以同时支持语音与数据传输功能。
叠接技术怎样收费?
每个网络的叠接收费都不同,所以很难进行比较。事先,最好咨询一下运营商,谨慎消费。
可以使用第三方叠接应用取代运营商的订购费用吗?
如果你不怕这样做可能出现的风险,且你的手机有内置WiFi功能,就可以下载并使用某些应用,如为iPhone开发的MyWi,为安卓开发的Android WiFi Tether或是为塞班开发的JoikuSpot Light WiFi Hotspot,下载这些应用并安装到手机中运行就可以开启热点了。这些应用与手机内置叠接应用的功效一样,只是没有运营商授权和收费而已。
无疑,你使用这些不收费应用时,运营商是不乐意的,因为这减少了他们的收入,而且他们会对自己网络上的应用进行监控。有些运营商可能会关闭这类服务,有些可能让你自动升级到叠接计划并实施收费。要了解清楚运营商的服务条款,搞清楚自己的权利义务。
这些手机在海外也可以作为热点使用吗?
有些可以,有些不行,买之前就要确定这一点。通常,如果手机支持HSPA或HSPA+技术,那么在欧洲,澳洲,新西兰,以及非洲部分区域,亚洲和南美洲应该都不成问题。不过你可能要升级服务包,使其可以支持国际数据漫游。
如果你去到的国家不在上述几个区域之内,In-Stat的Nogee推荐可以租用带热点功能的手机使用。例如,你可以租用HTC MyTouch 4G,这款手机适合任何欧盟国家以及瑞士,可同时为四个设备提供热点服务。租用的话,大概是12美元一天,80美元一周或是200美元一月,有500MB的流量包,适合短期使用。
在不同国家的热点操作
笔者自己携带使用Verizon网络的热点手机进行尝试。LG Revolution和摩托罗拉 Droid 3效果不错,但是对于不同的情境它们也可用。因为它可以用于Verizon 4G LTE网络,前者在美国等地有较强的速度优势,而后者速度稍慢,但是在欧洲效果不错。
笔者在主页上点击了移动热点图标,两款手机都弹出了热点设置页面。配置完热点的网络名称后,将其配置为安全的WPA2加密,然后输入密码。这些设置一般一两分钟就可完成。
笔者在纽约市测试了LG Revolution想看看它在Verizon 4G LTE网络上的性能。使用惠普笔记本接入该热点,经SpeedTest.net宽带基站测速,其下载速度达到了19.6Mbps,上传速度达到了4.5Mbps。而且其峰值更令人印象深刻:下载速度21Mbps,上传速度5.6Mbps。当然这些是在LTE下产生的数字。如果你在3G网络中使用,速度肯定要慢一些。
下一步,测试了Verizon 3G网络下的摩托罗拉 Droid 3。虽然它达不到Revolution在LTE下的速度,但是它适合HSPA网络。在纽约市,Droid 3的平均下载和上传速度分别为1.4Mbps和747Kbps,下载峰值达到2.1Mbps,上传峰值为824Kbps。这是笔者常用有线宽带速度的一半,但是对于旅途中的用户而言,这个速度还是令人满意的。
在去往密歇根的路上,笔者早晚都用Droid 3的叠接功能与惠普笔记本连接。其间,平均下载和上传速度分别为1.4Mbps和620Kbps,峰值分别为2.2Mbps和651Kbps。
跨国旅行期间,平均下载速度为1.5Mbps,平均上传速度为640Kbps。笔者使用Droid 3热点连接惠普笔记本以及iPad,查看电子地图,听网络收音机,看视频,玩游戏并对一个网站进行升级。最惊讶的是发现在从伦敦开往巴黎的欧洲之星列车上,还有足够带宽看下一站的地图以及阅读新闻。
这种数据消耗也有负面影响。使用Droid 3的热点功能,连接iPad播放在线视频会让电池在3小时15分钟左右就耗尽,而使用普通的数据传输,其电池可使用15小时左右。换言之,如果你要使用手机热点功能,请先确保随身携带充电器,而且要注意电耗。
Jan
14
2012
