中小企業無線網絡威脅以及防御辦法
最近筆者幫助一位朋友在公司內建立了一套無線網絡應用系統,今天筆者就借此機會和各位讀者一起了解下在中小企業內部建立無線網絡所遇到的問題,通過分析無線網絡威脅以及防御方法讓我們可以建立一個更安全更有效的無線內網。
一,中小企業無線網絡與傳統有線網絡的差別和特點:(如圖1)
筆者的這位朋友是一個小公司的網絡管理人員,之前他租用了辦公大樓一層兩個房間作為業務辦公使用,最近隨著公司規模的擴大又增加了辦公樓二層兩個房間。不過擴張后新問題就出現了,以前都是通過有線網絡將兩個房間連接到一起,但是現在地域上出現了跨樓層問題。如果重新架線就需要對樓板進行施工,姑且不說增加的施工費用,就是施工過程所需時間也會對原有業務有所影響。正在其一籌莫展時碰到了我,在我的建議下決定通過無線網絡來解決上述網絡互連問題。
眾所周知有線網絡是通過網線將各個網絡設備連接到一起,不管是路由器,交換機還是計算機,網絡通訊都需要網線和網卡;而無線網絡則大大不同,目前我們廣泛應用的802.11標準無線網絡是通過2.4GHz無線信號進行通訊的,由于采用無線信號通訊,在網絡接入方面就更加靈活了,只要有信號就可以通過無線網卡完成網絡接入的目的;同時網絡管理者也不用再擔心交換機或路由器端口數量不足而無法完成擴容工作了。總的來說中小企業無線網絡相比傳統有線網絡的特點主要體現在以下兩個方面。
(1)無線網絡組網更加靈活:
無線網絡使用無線信號通訊,網絡接入更加靈活,只要有信號的地方都可以隨時隨地將網絡設備接入到企業內網。因此在企業內網應用需要移動辦公或即時演示時無線網絡優勢更加明顯。
(2)無線網絡規模升級更加方便:
無線網絡終端設備接入數量限制更少,相比有線網絡一個接口對應一個設備,無線路由器容許多個無線終端設備同時接入到無線網絡,因此在企業網絡規模升級時無線網絡優勢更加明顯。#p#
二,從安全先天不足分析企業無線網絡威脅:
雖然建立了企業無線網絡順利的將多個房間多個樓層的網絡設備連接到了一起,但是新問題又產生了,筆者的朋友發現自從有了無線網絡后病毒與木馬入侵企業內網的事件也多了起來,公司計算機頻繁感染病毒,無線路由器還被人惡意修改過幾次密碼。那么這是否意味著無線網絡自身在安全方面表現欠缺呢?
相比有線網絡而言無線網絡在靈活性和易升級等方面存在優勢,但是由于無線網絡是通過無線信號進行通訊,任何人在有信號的地方都可以獲取通訊數據,所以無線網絡在內網安全方面存在先天不足,這也是很多企業網絡管理者所擔憂的,俗話說“知己知彼,百戰百勝”,在探尋無線網絡安全防御方法之前我們首先要知道企業無線網絡所面臨的安全威脅。
(1)加密密文頻繁被破早已不再安全:
曾幾何時無線通訊最牢靠的安全方式就是針對無線通訊數據進行加密,加密方式種類也很多,從最基本的WEP加密到WPA加密。然而從去年開始這些加密方式被陸續破解,首先是WEP加密技術被黑客在幾分鐘內破解;繼而在今年11月國外研究員將WPA加密方式中TKIP算法逆向還原出明文。
WEP與WPA加密都被破解,這樣就使得目前無線通訊只能夠通過自己建立Radius驗證服務器或使用WPA2來提高通訊安全了。不過WPA2并不是所有設備都支持的。
(2)無線數據sniffer讓無線通訊毫無隱私:
另一個讓用戶最不放心的就是由于無線通訊的靈活性,只要有信號的地方入侵者就一定可以通過專業無線數據sniffer類工具嗅探出無線通訊數據包的內容,不管是加密的還是沒有加密的,借助其他手段都可以查看到具體的通訊數據內容。像隱藏SSID信息,修改信號發射頻段等方法在無線數據sniffer工具面前都無濟于事。
然而從根本上杜絕無線sniffer又不太現實,畢竟信號覆蓋范圍廣泛是無線網絡的一大特色。所以說無線數據sniffer讓無線通訊毫無隱私是其先天不安全的一個主要體現。
(3)修改MAC地址讓過濾功能形同虛設:
雖然無線網絡應用方面提供了諸如MAC地址過濾的功能,很多用戶也確實使用該功能保護無線網絡安全,但是由于MAC地址是可以隨意修改的,我們通過注冊表或網卡屬性都可以偽造MAC地址信息。所以當我們通過無線數據sniffer工具查找到有訪問權限MAC地址通訊信息后,就可以將非法入侵主機的MAC地址進行偽造,從而讓MAC地址過濾功能形同虛設。#p#
三,從解決方案入手提高企業無線安全:
既然選擇了無線網絡組建企業內網,我們就應該用好他,如何有效的提高無線網絡的安全呢?通過上文我們知道了無線網絡存在三個方面的先天不足,那么是否有辦法利用后天的操作彌補呢?筆者的朋友再次向本人求助,我也針對上面的幾大問題提供了相應的解決方案。
(1)拋棄WEP以及TKIP用更安全更高級的加密:
WEP加密以及WPA中的TKIP加密方式已經不再安全,所以我們可以轉向其他安全加密方式。例如目前應用的WPA2還是非常安全的,我們可以嘗試使用WPA2加密方式來提高無線網絡的安全。另外我國倡導和研發的WAPI協議也是非常安全的。
不過可能有的網絡管理者會遇到自己的設備不支持WPA2加密方式,那么我們也不用著急和擔心,要知道WPA加密方式有兩種,其中之一的TKIP已經被破解,但是另外一個還是非常安全的。他就是AES加密,我們通過無線路由器或AP設置加密方式時會在WPA加密下拉菜單中看到他的身影,選擇AES加密可以確保通訊是安全的,不會被破解。(如圖2)
(2)使用中文SSID讓無線sniffer暈頭轉向:
除了通過高級加密方式提高無線通訊安全外,我們還可以將無線網絡的SSID信息進行更改,使用中文字符命名SSID可以讓無線sniffer工具徹底迷糊。(如圖3)
使用中文SSID后不管是隱藏還是直接廣播入侵者通過無線sniffer工具看到的SSID信息將成為亂碼,這樣他們就無法順利的確認SSID明文信息了,從而保證了無線網絡的安全。(如圖4)
(3)多重防范策略結合互相彌補缺陷:
前文中提到了MAC地址過濾遇到了偽造MAC信息的問題,從而形同虛設。不過在實際設置過程中我們可以通過多重防范策略相互結合的方法來彌補各自缺陷。例如開啟MAC地址過濾后同時在具備權限的計算機上綁定無線路由器或AP的接入MAC地址信息,這樣通過雙向綁定的方法擊潰偽造MAC地址手段的入侵。
雙向綁定的方法多用于企業內部針對ARP欺騙病毒進行防御,不過對于偽造MAC地址非法入侵無線網絡來說同樣奏效。除了這種結合外我們還可以將MAC地址綁定與中文SSID設置以及WPA2加密等方法結合,從而在根本上徹底斷掉入侵者的攻擊念頭。#p#
(4)無線安全莫忘接入點:
除了針對無線網絡各個參數進行安全防護外,我們也不能夠忘記無線接入點的安全。一般來說企業會使用無線路由器或AP來提供接入服務,這些設備的安全同樣不容忽視。
首先我們要對這些接入設備設置密碼,不要使用默認口令或者弱口令;其次每當接入設備廠商推出新版本升級固件時都應該及時升級,擴展功能彌補相應的漏洞,從而避免入侵者利用設備漏洞入侵無線網絡。
(5)切忌過分依賴無線網絡:
企業內部一般都是將無線網絡作為有線網絡的補充,采取兩者結合的方式開展內網應用。所以作為企業網絡管理者來說應該本著能有線就不要用無線的原則,在有線網絡接口能夠覆蓋的地方繼續使用有線網絡;不到萬不得已不使用無線網絡,這樣可以大大減少無線網絡被入侵的機率。
(6)合理擺放適當調節工具讓信號收放自如:
無線網絡的信號是造成不安全的最大問題,因此我們可以通過合理擺放無線設備的位置調節信號覆蓋訪問讓其更好的為企業內網服務,在一些邊緣區域可以通過設備自身的調節無線信號發射功率的功能減少信號功率,從而阻止入侵者在邊緣區域sniffer企業通訊數據。(如圖5)
了解了以上六個行之有效的方法并實施到企業實際應用后,我們企業的無線內網才能夠更加安全。上述先天不足的安全威脅才會得到最大限度的解除。
【編輯推薦】
