無線網(wǎng)絡的發(fā)展如同野火一般，其勢深入消費者，給企業(yè)帶來了巨大的利潤。于是乎，現(xiàn)在越來越多的無線網(wǎng)絡暴露于威脅之中，沒有引起企業(yè)足夠的重視。無線網(wǎng)絡的誤用和濫用攻擊給企業(yè)帶來了直接的經(jīng)濟損失，也間接導致了企業(yè)競爭力和市場價值的下降。

　　出于內(nèi)外部審計的壓力和防止未經(jīng)授權的網(wǎng)絡的濫用，每一家公司——即使是禁止無線網(wǎng)絡使用的企業(yè)——也必須考慮無線網(wǎng)絡帶來的風險。傳統(tǒng)的保護有線網(wǎng)絡系統(tǒng)和應用程序的方法任然是必須的。但是由于缺乏對空中載波的實際控制，這意味著傳統(tǒng)的保護方法是不夠的。員工經(jīng)常有意無意地就進入了鄰近的無線局域網(wǎng)，廣告網(wǎng)站，或是惡意的蜜罐。模糊的或是配置不正確的接入點給企業(yè)網(wǎng)絡安全打開了長期的不受保護的隱形安全后門，這是很可怕的。

　　現(xiàn)行的安全政策，執(zhí)行和方法必須更新來應對變化了的風險。一個有效的網(wǎng)絡防御方案要有能夠管制所有與商業(yè)相關的無線網(wǎng)絡活動的能力。本文將分五步探討無線局域網(wǎng)面臨的挑戰(zhàn)。從保護無線網(wǎng)絡客戶端和數(shù)據(jù)，到安全審計和無線網(wǎng)絡連接，我們將提出一套整合的方法確保企業(yè)無線局域網(wǎng)的安全。

　　第一步：保護無線網(wǎng)絡客戶端

　　幾乎所有的筆記本和掌上設備出廠的時候都帶有無線網(wǎng)絡功能。不管你的公司是禁止還是允許無線網(wǎng)絡，這些無線網(wǎng)絡客戶端程序必須采取必要的措施防止無線網(wǎng)絡威脅。包括病毒，TCP/IP攻擊，還有未經(jīng)授權的無線網(wǎng)絡端口。

　　傳統(tǒng)的防御一般將焦點關注于主機上，包括文件加密，殺毒軟件和個人防火墻程序，當然這些在無線網(wǎng)絡客戶端上也是必須的。這些措施有效防止了TCP/IP入侵，就譬如無線網(wǎng)絡熱點上偶發(fā)的文件共享個蠕蟲病毒傳播。

　　盡管如此，這些措施不能制止危險的無線網(wǎng)絡連接。我們需要新的客戶端防御措施防止員工連接上鄰近的無線網(wǎng)絡，惡意偷窺者，惡意的蜜罐。有一些游離于安全政策之外的端口是有意地規(guī)避企業(yè)的限制是來使用個人電子郵件或是點對點下載。絕大多數(shù)是無意的，是由于雜亂的零配置軟件造成的。不管是什么原因造成的，未經(jīng)授權的無線網(wǎng)絡連接暴露了企業(yè)的機密數(shù)據(jù)，架起了個網(wǎng)絡之間的橋梁，直接威脅到了企業(yè)網(wǎng)絡。

　　要想重新贏得對員工無線網(wǎng)絡的控制，所有的機器上僅能使用授權的SSID(服務設置身份器)。除非企業(yè)的需要，禁止一切hoc連接。最好使用中央管理政策——譬如說，Windows無線網(wǎng)絡連接必須通過Active Directory Group Policy Objects(活動目錄群政策目標)配置。為了禁止員工自行添加私人網(wǎng)絡連接，使用具有禁止無線網(wǎng)絡客戶端配置的網(wǎng)絡第三方連接管理器。

　　為了自動斷開不安全的連接，在每一臺客戶端上安全基于主機的無線網(wǎng)絡入侵防御系統(tǒng)。主機無線網(wǎng)絡入侵系統(tǒng)可以監(jiān)視公司筆記本在家里和熱點無線局域網(wǎng)中的使用，采取必要的措施執(zhí)行已定義的無線網(wǎng)絡安全政策�？刂瓶蛻舳顺绦虻陌惭b地和安裝方式控制無線網(wǎng)絡的連接，不管是在公司網(wǎng)絡之內(nèi)還是網(wǎng)絡之外，這是唯一能夠保證員工免受惡意攻擊和低級無線錯誤的方法。

　　第二步：保護傳輸過程中數(shù)據(jù)的安全

　　與有線網(wǎng)絡相比，無線網(wǎng)絡更加缺乏實體保護。在無線網(wǎng)絡數(shù)據(jù)傳輸?shù)臅r候，我們需要新的防御方法清除監(jiān)聽，網(wǎng)絡詐騙。

　　如果已經(jīng)使用了虛擬個人網(wǎng)絡(VPN)保護公網(wǎng)中的企業(yè)數(shù)據(jù)的話，VPN還可以用來保護無線局域網(wǎng)傳輸?shù)臒o線網(wǎng)絡流量。這樣就確保了遠離辦公點的數(shù)據(jù)傳輸?shù)陌踩�，拓展了安全保護的區(qū)域。

　　還有一些企業(yè)使用VPN保護實地的無線網(wǎng)絡——特別是那些早期使用的是WEP(有線同等隱私)協(xié)議的企業(yè)。所幸的是，現(xiàn)在所有的無線網(wǎng)絡授權產(chǎn)品提供了兩種廣泛接受的安全性能提高的數(shù)據(jù)保護協(xié)議。

　　WPA：WPA(無線網(wǎng)絡保護連接)使用TKIP(臨時密鑰整合協(xié)議)防范網(wǎng)絡竊聽，欺詐，無線網(wǎng)絡數(shù)據(jù)的復制。這一協(xié)議填補了以前WEP協(xié)議的一些缺陷，但是速度比WPA2慢�，F(xiàn)在WPA應用在無線局域網(wǎng)很多產(chǎn)品中。

　　WPA2：WPA版本2(WPA2)，從2004年以來，所有的無線網(wǎng)絡產(chǎn)品都支持這一協(xié)議。使用802.11i和AES(高級加密標準)保證數(shù)據(jù)更加安全地傳輸�，F(xiàn)在絕大多數(shù)的企業(yè)使用WPA2 這一更加安全的數(shù)據(jù)隱私協(xié)議。

　　當然，現(xiàn)在VPN還在無線局域網(wǎng)中使用。但是，VPN的花費比較高。絕大多數(shù)的企業(yè)在辦公室之內(nèi)使用WPA2協(xié)議，辦公室之外的數(shù)據(jù)傳輸使用VPN。

　　第三步，控制企業(yè)網(wǎng)絡的使用

　　為了防止網(wǎng)絡漏洞，無線網(wǎng)絡中的各個部分，從AP(網(wǎng)絡接入點 access point)到發(fā)送連接的開關，到使用無線的企業(yè)網(wǎng)絡，這些都必須防止未經(jīng)授權的濫用。

　　始于傳統(tǒng)的安全防御影響了無線網(wǎng)絡的安全防護。譬如，升級補丁加強AP和網(wǎng)絡開關的安全，關閉不用的網(wǎng)絡關口，使用安全管理操作界面。在無線網(wǎng)絡中，基于SSID或是用戶身份使用防火墻和虛擬局域網(wǎng)(VLAN)。

　　這是一個良好的開端，簡單卻不夠安全。插入到有線網(wǎng)絡中的模糊AP會繞開防火墻，提供長時間的訪問內(nèi)部服務器的網(wǎng)絡連接。如果不采取進一步的限制，臨近網(wǎng)絡，客戶和入侵者都會使用你的無線局域網(wǎng)盜取網(wǎng)絡服務，發(fā)送網(wǎng)絡釣魚郵件和垃圾郵件，甚至是攻擊你的無線網(wǎng)絡。

　　在設置AP的時候使用非默認的SSID可以減少意外的無線網(wǎng)絡連接。但是不能僅僅滿足于此，部署無線網(wǎng)絡連接控制阻斷來自于未經(jīng)授權的客戶的訪問：

　　1.由于地址糊弄的出現(xiàn)，不能僅僅依靠MAC地址過濾無線網(wǎng)絡安全

　　2.如果你提供客戶訪問，使用可獲取端口跟蹤使用，實行時間和帶寬限制

　　3.在小型的無線局域網(wǎng)中，使用帶有PSK的WPA或是WPA2保證連接僅限于授權客戶。這是為絕大多數(shù)家庭無線局域網(wǎng)用戶提供的服務。

　　在企業(yè)級的無線局域網(wǎng)中，僅僅依靠密碼對用戶進行限制顯然是不夠的，使用802.1X授權和審計連接到企業(yè)網(wǎng)絡中的連接。如果與服務器認證一起使用的話，802.1X還可以防止用戶誤入假冒的蜜罐AP。

　　最后，執(zhí)行無線網(wǎng)絡數(shù)據(jù)保護和訪問控制選項是必須的。中央無線局域網(wǎng)管理人員可以幫助減少AP的誤配置，加快遭攻擊之后的系統(tǒng)恢復速度。

　　第四步，審計無線網(wǎng)絡活動

　　不管你的網(wǎng)絡，客戶機，空中安全措施部署的多么仔細，百密一疏，出現(xiàn)意外情況的可能性還是很大的。要想達到內(nèi)外安全審計標準，你需要監(jiān)控所有的無線網(wǎng)絡設備上的活動情況。

　　傳統(tǒng)的安全審計資源防火墻日志和有線網(wǎng)絡入侵檢測系統(tǒng)(IDS)在面臨無線網(wǎng)絡流量往往顯得捉襟見肘。這些系統(tǒng)只能監(jiān)控有線網(wǎng)絡內(nèi)部的流量。如果無線網(wǎng)絡連接違規(guī)訪問鄰近網(wǎng)絡或是蜜罐的時候，它們是無動于衷的。面臨針對無線局域網(wǎng)本身的攻擊，譬如說，802.1/802.1XDoS洪水攻擊和無線網(wǎng)絡密碼破解，它們也難以應對。還有一個缺陷就是，它們不能記錄定義的無線網(wǎng)絡安全政策的兼容或評估由于無線濫用帶來的泄密事件。

　　每一家公司，即使沒有使用授權的無線局域網(wǎng)，也應該發(fā)現(xiàn)和記錄先無線網(wǎng)絡設備和他們的地址，行為，違反政策的情況和攻擊行為。通過使用全天候監(jiān)控的無線網(wǎng)絡IPS(WIPS無線入侵防御系統(tǒng))可以實現(xiàn)上述目標。WIPS使用分布式網(wǎng)絡監(jiān)控器掃描無線廣播通道，分析流量找出異常的網(wǎng)絡連接，找出錯誤配置和惡意行為。WIPS會對潛在的威脅發(fā)出警報，將無線網(wǎng)絡行為實時可視化。由WIPS管理的數(shù)據(jù)會讓管理報告的提交更加簡便。

　　第五步，執(zhí)行無線網(wǎng)絡安全政策

　　被動的監(jiān)測當然是不夠的。如果等到對WIPS作出人為響應的時候，可能損失已經(jīng)造成了，而作禍者已逃之夭夭。預先的主動防范是保證企業(yè)網(wǎng)絡安全必須的。

　　部署的WIPS要能夠迅速地執(zhí)行定義規(guī)則，斷開未經(jīng)授權的流氓AP，禁止客戶機的不良行為，阻止違反政策的通信，隔離DoS攻擊。要實現(xiàn)上訴目標，選擇和配置WIPS的時候要慎之又慎。譬如，

　　1.感應器的設置要預防盲點——確保完全覆蓋

　　2.配置的WIPS要能夠自動準確地區(qū)分新發(fā)現(xiàn)的設備，確保它們的行為符合規(guī)定，不入侵鄰近的無線局域網(wǎng)。

　　3.檢查WIPS針對流氓AP，行為不端的客戶機和其它無線網(wǎng)絡威脅響應的速度和準確性。

　　4.注意系統(tǒng)生成的錯誤警報和不準確的地點估計——這會浪費你很多時間和資源

　　5.使用限制嚴格地數(shù)據(jù)隱私授權，選擇能夠?qū)Χ喾N安全威脅作出實時響應的WIPS工具

　　6.最后，檢查WIPS是否嚴格執(zhí)行了設定的安全政策，WIPS幫助你控制無線網(wǎng)絡的領空，至于如何使用這一能力則有賴于你的使用了。

　　總結(jié)

　　盡管各個公司的情況不盡相同，但是上述五步對于應對無線網(wǎng)絡安全基本上對于各個企業(yè)都是共通的。但是，切記，一切從本企業(yè)的實際出發(fā)的安全措施才是最有效的，本本主義決不是最佳選擇，這也不是本篇文章的初衷。

　　不管你的公司是禁止無線網(wǎng)絡的使用，還是已經(jīng)大規(guī)模地使用無線網(wǎng)絡，都需要對無線網(wǎng)絡安全引起重視。定義無線網(wǎng)絡的使用，什么時間，什么地點，什么情況下什么人可以使用無線網(wǎng)絡，是在辦公室之內(nèi)還是之外?檢查所有可能應用于無線網(wǎng)絡中的設備，以及其可能面臨的濫用的風險。

　　接著，考慮安全風險之間的相似性及其對企業(yè)可能造成的損失作出評估。記住，不是所有的風險都是可以處置的。你也不可能知道應該在風險處置上投入多少，除非建立一套完善的應對風險的方案。無線網(wǎng)絡漏洞評估和商業(yè)風險評估有助你把好鋼用在刀刃上。

　　一旦企業(yè)建立了安全策略處置企業(yè)面臨的最大的無線網(wǎng)絡風險，使用上述五步策略執(zhí)行安全政策，管理商業(yè)風險。盡管無線網(wǎng)絡安全不那么簡單，但是通過行之有效的政策執(zhí)行和良好的技術工具還是可以實現(xiàn)的。在這個無線網(wǎng)絡安全面臨嚴重風險的網(wǎng)絡社會，使用本文建議的方法將幫助你從整體上保證企業(yè)網(wǎng)絡的安全!

標簽： 安全 電子郵件 防火墻 服務器 漏洞 企業(yè)網(wǎng)絡安全 通信 網(wǎng)絡 網(wǎng)絡安全 無線網(wǎng)絡安全

版權申明：本站文章部分自網(wǎng)絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。