無線網(wǎng)絡(luò)技術(shù)已經(jīng)讓企業(yè)可以大幅度的擴展PC利用度——特別是對那些流動性很高的雇員來說,比如保健行業(yè),銷售人員以及制造業(yè),等等。
部署無線網(wǎng)絡(luò)方面最主要的障礙是安全問題,特別對那些要處理大量敏感信息的企業(yè),或者隸屬特定行業(yè),特定種類數(shù)據(jù)的機密性受諸如HIPAA和GLB等法律管轄的企業(yè)來說,更是如此。
在部署一個WLAN之前就事先制定好一個安全策略是非常基本的一點,但是適合于小公司的安全措施卻未必適合于大企業(yè)。你需要切實留意自己公司的獨特需求,并以此來發(fā)展自己的安全規(guī)劃。
無線安全問題
因為無線傳輸是通過開放的無線電波進行,所以相對于有線網(wǎng)絡(luò)上的數(shù)據(jù)來說,更容易受到偵聽或破壞。并且,如果你的網(wǎng)絡(luò)沒有受到正確保護的話,未經(jīng)授權(quán)的“驅(qū)動”或者范圍內(nèi)的其他人則可以:
1、盜用你的互聯(lián)網(wǎng)帶寬,免費使用網(wǎng)絡(luò)的同時大幅拖慢你的合法用戶上網(wǎng)速度。
2、使用你的網(wǎng)絡(luò)作為實施攻擊的跳板,或進行一些非法行為,比如下載和分發(fā)盜版軟件,盜版音樂,色情圖片等。
3、察看,拷貝,修改或刪除無線網(wǎng)絡(luò)(以及有線網(wǎng)絡(luò))中電腦上的文件。
4、使用病毒,木馬,蠕蟲,間諜程序,以及其他惡意軟件感染你的系統(tǒng)。
5、通過癱瘓網(wǎng)絡(luò)上的工作站(以及服務(wù)器),導(dǎo)致拒絕服務(wù),或?qū)W(wǎng)絡(luò)造成過載,以致合法用戶根本無法正常使用網(wǎng)絡(luò)。
小企業(yè)(以及小預(yù)算)的無線安全
小公司的預(yù)算常常都很少,在很多情況下意味著沒有全職的IT雇員,也沒錢雇傭一個安全顧問來協(xié)助你正確建立無線局域網(wǎng)。好消息是,你無需花費大量金錢就可以讓你的無線局域網(wǎng)變得安全的多,而不僅僅是一個“裸網(wǎng)”。在這一點上,正確的網(wǎng)絡(luò)配置是關(guān)鍵。
任何一個安全計劃的目的都在于阻止?jié)撛诘娜肭终撸蛘咄下粽叩乃俣龋哟蠊舻碾y度,以及(或者)增加他們被捕獲的機會。豎起防護圍墻,鎖定大門,在院子中挖上陷阱,在窗戶上和門上安裝防盜鎖,并在家里和辦公室安裝警報系統(tǒng),這些措施并不能就此保證盜賊不會進來——實際上一個專業(yè)人員肯定可以破解所有上述這些措施——但是你的確給他增加了很多麻煩。這意味著偶然起意的入侵者更大可能會放棄你家,而轉(zhuǎn)去下一家更容易的地方。
一般而言,互聯(lián)網(wǎng)黑客們更喜歡使用更簡單的方法,正像那些過時的老賊們一樣。所以你在入侵者道路上每多放一個障礙,就意味著他放棄你這里而轉(zhuǎn)向攻擊其他更容易目標(biāo)的可能就多增加一分。尤其是現(xiàn)在有如此之多無線網(wǎng)絡(luò)毫不設(shè)防的時候,這一點就特別明顯。
某些安全專家會告訴你,一些常常被提到的推薦措施,比如修改默認(rèn)的SSID,關(guān)閉SSID廣播功能,以及啟用MAC過濾等,都是不值當(dāng)?shù)模驗楣粽哂泻芏噢k法繞過去。這聽起來有點像告訴你說,如果你的門上僅僅安裝了一個很容易被撬的廉價鎖的話,那你就根本不用鎖門了。這些手段當(dāng)然絕不能成為你所依賴安全策略的全部,但是每多延緩入侵者一點,就為入侵者們多增加了一點入侵的難度,所以這些手段顯然應(yīng)當(dāng)成為你安全策略的一部分。
小公司能在一個廉價無線AP(WAP,Wireless Access Point)上所部署的其他廉價(或無需成本)安全措施有:
1、使用靜態(tài)IP地址,并關(guān)閉路由器或WAP上的DHCP服務(wù),這樣一個未經(jīng)授權(quán)的人就無法輕易獲得一個有效的IP地址。
2、配置AP以最小化其范圍,這樣一個入侵者將不得不去尋找和使用一個高分辨率天線,才能獲取相應(yīng)信號,這會讓他很麻煩。
3、如果暫時不需要使用無線功能時就關(guān)閉無線AP。一些小企業(yè)可能只是偶爾需要使用無線網(wǎng)絡(luò),比如合作伙伴或者旅行雇員帶著筆記本來了你的辦公室中。
4、當(dāng)然,加密是你最應(yīng)當(dāng)采取的無成本安全措施。確保使用WPA(Wi-fi Protected Access)加密,而不是WEP(Wired Equivalent Privacy)加密,因為后者的加密強度很弱,更容易被擊破。你可能需要升級你的無線AP以及無線網(wǎng)卡才能使用WPA,但是這個代價是值得的。如果你的操作系統(tǒng)不是最新的,可能還需要單獨安裝WPA客戶端軟件,但是安裝最新的Windows XP系統(tǒng)補丁包,或者切換到Windows Vista(兩者都提供了更多安全方面的好處),可以讓你獲得對WPA的支持。
大企業(yè)的無線安全
當(dāng)你的公司不斷擴張時,限制無線網(wǎng)的使用就越發(fā)重要。制定策略防止AP盜用是非常必要的,并且要定期的監(jiān)控它們。但僅僅有了好的策略還不夠;你同時還需要增加部分預(yù)算來執(zhí)行這些策略。
使用防火墻來隔離你的無線局域網(wǎng);考慮將無線連接放入一個DMZ或者周邊網(wǎng)絡(luò)之中,一旦無線客戶端安全受到威脅,入侵者無法攻擊整個無線網(wǎng)絡(luò);要求無線局域網(wǎng)的用戶使用VPN來連接無線網(wǎng)絡(luò)。
使用IDS和響應(yīng)傳感器來監(jiān)控?zé)o線網(wǎng)絡(luò)上的所有流量。使用網(wǎng)絡(luò)存取保護來管理無線客戶端,并確保它們在被允許上網(wǎng)之前已經(jīng)得到了正確的配置。
對你的無線網(wǎng)絡(luò)進行滲透測試,以發(fā)現(xiàn)安全漏洞,并解決這些漏洞。
總結(jié)
無線網(wǎng)絡(luò)可以讓你做起生意來更加容易,但是它也會讓那些入侵者更加容易的完成他們黑暗的勾當(dāng)。根據(jù)公司的需要制定一個無線安全策略是很重要的,當(dāng)公司和預(yù)算都在不斷增長時,可以在建立更加完善的安全機制上投入更多資金。(T004)