SS公司的網絡拓撲結構
這種狀況給公司的網絡管理員Morris帶來了不少困擾,雖然他清楚地知道公司的任何計算機設備都應該被統一管理,但是SS從來是很少限制員工自由的。當Morris還在思索如何與Jack以及公司的管理層交涉這個問題的時候,一場危機已經在悄然發生了。之后的一個月里,公司參與的三宗投標項目均告失敗,由于一直以來SS對自己的策劃案都具有很高的信心,像這樣直截了當的被淘汰,讓所有人都感到非常迷惑。公司啟動了一切例行的檢查,以查找是不是競爭者從公司獲得了什么信息。
讓我們還是回到Morris這里,他首先按照網絡管理備案中的檢查表對環境進行了細致的分析和調查,憑借自己的直覺,Morris認為公司的無線網絡是個很大的疑點。在最近的一些夜間聚會上,Morris一個在網絡安全公司供職的死黨Seven向他談起過一些無線安全方面的問題,所以他打電話和 Seven討論了事件的情況。在一個周六的下午,Seven和Morris在與Jack溝通之后,利用一些嗅探程序對無線網絡進行了監控。最后的結局很符合戲劇情節,我們的英雄Seven和Morris逮到了入侵者,同樓層一家公司的員工在無意之中發現了SS的無線頻段,開始的時候他還只是借著SS的 Internet鏈路沖沖浪,但當他發現可以無限制出入SS局域網的時候,整件事情就演變成了一場商業犯罪。
無線網絡的弱點
無線網絡安全解決辦法
這個案件反映了正統無線安全問題背后的一個隱憂,那就是即使公司沒有籌建自己的無線網絡,無線網絡的安全問題仍有可能給公司造成威脅。該案件中的問題是因為員工私裝設備引起的,除了這種情況之外,還有一些情況可能更難以被察覺。由于無線信號利用空氣來傳播,所以無線設備能夠更好的被隱藏。在一個機柜紛亂的以太線纜背后隱蔽的插接一個AP是很容易辦到的,在疏于管理的環境下,甚至幾個月都不會被發現。在一些更大規模的企業中,這樣的漏洞可能很難被發現,而在之后的某天,讓所有人目瞪口呆的災難就會發生。
盡管基于802.11協議的無線網絡技術所存在的安全風險一直讓人深感擔憂,但是我們并不能因此放棄努力。下面簡短地給出一些無線網絡實施的安全建議,這些建議大部分取自Morris后來實施無線安全的備忘錄。
掌控信號覆蓋范圍
部署了無線網絡之后,應該用可移動的無線設備徹底的勘測信號覆蓋情況,并反映在公司的網絡拓撲圖里。由于無線信號是全向性的,所以某些情況下還需要到你的上層和下層查看一番。如果信號的覆蓋超過了公司的物理范圍,就必須做出相應的處理,比如移動AP的位置,也可以像SS所做的那樣,以帶有屏蔽效果的材質“裝飾”他們的外墻。另外要特別注意一點,隨著信號區域內物體的移動,信號覆蓋范圍可能會發生變動,在標記范圍的時候最好為那些可能對信號產生較大影響的物體做特別的標注。而且某個地點在檢查時沒有信號不代表一小時之后信號不會泄漏到這里,所以在檢測到的覆蓋范圍上擴展5%的比例。
啟用無線設備的安全能力
保護無線網絡安全的最基礎手段是加密,通過簡單的設置AP和無線網卡等設備,就可以啟用WEP加密。雖然WEP加密本身存在一些漏洞并且比較脆弱,但是仍然可以給非法訪問設置不小的障礙。我們建議經常對WEP密鑰進行更換,在有條件的情況下啟用獨立的認證服務為WEP自動分配密鑰。另外一個必須注意的問題就是用于標識每個無線網絡的SSID,在部署無線網絡的時候一定要將出廠時的缺省SSID更換為自定義的SSID。現在的AP大部分都支持屏蔽 SSID廣播,除非有特殊理由,否則應該禁用SSID廣播,這樣可以減少無線網絡被發現的可能。
使用安全性高的部署方式
相對來說,將無線網絡配置成Ad-hoc(端對端互連)模式會在很大程度上增加管理負擔和安全風險,盡可能使所有客戶端都通過AP連接。另外我們建議將AP放置在企業的安全防御設備之外,不要像SS公司最初那樣,將AP插接在局域網內部,這樣對于慣常使用的邊界安全防御模式來說,近乎于為入侵者敞開了大門。正確的方法是將AP部署在防火墻之外,使經過AP的訪問都受到防火墻的過濾。同時我們還可以利用防火墻及其它設施執行地址綁定,阻止未被允許的地址訪問內部網絡。
實施之外
面對高度動態變化的網絡環境,我們需要一直保持高度的警惕性。相對來說,無線網絡比有線網絡更需要啟用日常監測手段以發現安全問題,如果沒有專門的設備,可以使用一些針對無線網絡環境的入侵檢測軟件。定期檢查、變更管理這些常務的安全工作也要認真的執行,因為沒有任何設施是天然安全的,只有在管理中對安全做出足夠的努力,才能獲得所期望的安全。