• 当您说 WPA2 时，我认为您的意思是 WPA2-Personal。在大多数情况下，只要它与一个非常好的密码相结合，它就足够了。https://www.grc.com/passwords.htm对他们来说是一个很好的生成器。
• 禁用 Wi-Fi 保护设置 (WPS)。否则，攻击者只需破解 8 位 PIN 码——这是完全可行的。
• 隐藏您的 SSID。它不会阻止一个坚定的攻击者，但会阻止一些像攻击者一样的脚本小子。
• 只允许特定的 MAC 地址可能是管理用户访问的好方法。但是再一次并不会真正减慢坚定的攻击者的速度，因为他们只能以纯文本形式查看当前连接到无线的 MAC 地址。
• 如果可能的话，减少 WiFi 受到攻击的机会的一个好策略是正确放置无线接入点，以便在建筑物外广播最少的信号量。这样一来，攻击者需要离得更近才能开始攻击，除非他们改进了无线天线以从数英里外抓取。

是的，人们可以使用Karma 等工具广播更强的信号来尝试让您连接到他们，而不是您实际想要的接入点。我不知道有什么具体的方法可以防止这种情况，除了每次您希望连接到无线时不允许任何自动关联，您应该手动进行并验证您连接到正确的接入点。

这取决于网络/环境。对于 SOHO 无线网络，具有用于 PSK 的强密码的 WPA 2 Personal 应该足够了。

对于企业网络或处理敏感信息的网络，应使用以下控件：

• WPA 2 Enterprise 与 IEEE 802.1X/EAP 绑定
• 与内部网络隔离的无线网络
• WIPS 和日志监控到位以检测/防止本地攻击
• 需要内部访问的无线客户端必须通过 VPN 连接
• 通过物理控制和/或操纵信号强度将覆盖范围限制在绝对必要的范围内

我同意到目前为止提到的所有观点，正如 Mark Davidson 和 sdanelson 都提到了无线电覆盖范围，我只是想稍微扩展一下，因为有几个方面：

信号强度- 通常您希望在特定区域使用可能的最小信号强度，因此您身边的攻击者无法获得访问权限，但如果恶意访问点复制您的 SSID和使用更高的信号强度。

一个解决方案是考虑您的传播路径- 将您的接入点定位在您的站点外部，并将天线配置为定向到您的站点将有很大帮助，因为您可以增加接入点信号强度（因此对客户来说看起来更强）没有将您的信号传播到外侧那么远。

我见过的一个更简单但更有效的解决方案（这对你来说可能有点过头了——我已经看到它在一个非常敏感的机构中使用过）是金属包覆的墙壁和天花板，窗户上有网状物——该站点的无线站点调查拾取零射频泄漏！

通过 Obscurity 实现安全 - 在这种情况下隐藏 SSID 信标 - 会给您一种虚假的安全感。您的接入点仍会广播 SSID，只是不在信标帧中。许多普通用户仍然可以连接，因为许多平台的驱动程序仍然可以识别 SSID，并且所有攻击者都可以像往常一样找到您 - 尝试使用Russix LiveCD上的任何工具，他们会非常愉快地使用SSID 广播已禁用。

只是把这个扔在这里。

最好的“无线”安全模型是用常规的 CAT-5 布线替换那些无线路由器。

下一个最好的项目是确保使用 kerberos 保护机器之间的所有流量以及无线路由器提供的加密。这可以通过 Windows 域上的组策略设置来完成。

无论您做什么，都不要本机信任任何能够针对您的路由器进行身份验证的机器。