最近笔者帮助一位朋友在公司内建立了一套无线网络应用系统,今天笔者就借此机会和各位读者一起了解下在中小企业内部建立无线网络所遇到的问题,通过分析无线网络威胁以及防御方法让我们可以建立一个更安全更有效的无线内网。
一,中小企业无线网络与传统有线网络的差别和特点:(如图1)
笔者的这位朋友是一个小公司的网络管理人员,之前他租用了办公大楼一层两个房间作为业务办公使用,最近随着公司规模的扩大又增加了办公楼二层两个房间。不过扩张后新问题就出现了,以前都是通过有线网络将两个房间连接到一起,但是现在地域上出现了跨楼层问题。如果重新架线就需要对楼板进行施工,姑且不说增加的施工费用,就是施工过程所需时间也会对原有业务有所影响。正在其一筹莫展时碰到了我,在我的建议下决定通过无线网络来解决上述网络互连问题。
众所周知有线网络是通过网线将各个网络设备连接到一起,不管是路由器,交换机还是计算机,网络通讯都需要网线和网卡;而无线网络则大大不同,目前我们广泛应用的802.11标准无线网络是通过2.4GHz无线信号进行通讯的,由于采用无线信号通讯,在网络接入方面就更加灵活了,只要有信号就可以通过无线网卡完成网络接入的目的;同时网络管理者也不用再担心交换机或路由器端口数量不足而无法完成扩容工作了。总的来说中小企业无线网络相比传统有线网络的特点主要体现在以下两个方面。
(1)无线网络组网更加灵活:
无线网络使用无线信号通讯,网络接入更加灵活,只要有信号的地方都可以随时随地将网络设备接入到企业内网。因此在企业内网应用需要移动办公或即时演示时无线网络优势更加明显。
(2)无线网络规模升级更加方便:
无线网络终端设备接入数量限制更少,相比有线网络一个接口对应一个设备,无线路由器容许多个无线终端设备同时接入到无线网络,因此在企业网络规模升级时无线网络优势更加明显。#p#
二,从安全先天不足分析企业无线网络威胁:
虽然建立了企业无线网络顺利的将多个房间多个楼层的网络设备连接到了一起,但是新问题又产生了,笔者的朋友发现自从有了无线网络后病毒与木马入侵企业内网的事件也多了起来,公司计算机频繁感染病毒,无线路由器还被人恶意修改过几次密码。那么这是否意味着无线网络自身在安全方面表现欠缺呢?
相比有线网络而言无线网络在灵活性和易升级等方面存在优势,但是由于无线网络是通过无线信号进行通讯,任何人在有信号的地方都可以获取通讯数据,所以无线网络在内网安全方面存在先天不足,这也是很多企业网络管理者所担忧的,俗话说“知己知彼,百战百胜”,在探寻无线网络安全防御方法之前我们首先要知道企业无线网络所面临的安全威胁。
(1)加密密文频繁被破早已不再安全:
曾几何时无线通讯最牢靠的安全方式就是针对无线通讯数据进行加密,加密方式种类也很多,从最基本的WEP加密到WPA加密。然而从去年开始这些加密方式被陆续破解,首先是WEP加密技术被黑客在几分钟内破解;继而在今年11月国外研究员将WPA加密方式中TKIP算法逆向还原出明文。
WEP与WPA加密都被破解,这样就使得目前无线通讯只能够通过自己建立Radius验证服务器或使用WPA2来提高通讯安全了。不过WPA2并不是所有设备都支持的。
(2)无线数据sniffer让无线通讯毫无隐私:
另一个让用户最不放心的就是由于无线通讯的灵活性,只要有信号的地方入侵者就一定可以通过专业无线数据sniffer类工具嗅探出无线通讯数据包的内容,不管是加密的还是没有加密的,借助其他手段都可以查看到具体的通讯数据内容。像隐藏SSID信息,修改信号发射频段等方法在无线数据sniffer工具面前都无济于事。
然而从根本上杜绝无线sniffer又不太现实,毕竟信号覆盖范围广泛是无线网络的一大特色。所以说无线数据sniffer让无线通讯毫无隐私是其先天不安全的一个主要体现。
(3)修改MAC地址让过滤功能形同虚设:
虽然无线网络应用方面提供了诸如MAC地址过滤的功能,很多用户也确实使用该功能保护无线网络安全,但是由于MAC地址是可以随意修改的,我们通过注册表或网卡属性都可以伪造MAC地址信息。所以当我们通过无线数据sniffer工具查找到有访问权限MAC地址通讯信息后,就可以将非法入侵主机的MAC地址进行伪造,从而让MAC地址过滤功能形同虚设。#p#
三,从解决方案入手提高企业无线安全:
既然选择了无线网络组建企业内网,我们就应该用好他,如何有效的提高无线网络的安全呢?通过上文我们知道了无线网络存在三个方面的先天不足,那么是否有办法利用后天的操作弥补呢?笔者的朋友再次向本人求助,我也针对上面的几大问题提供了相应的解决方案。
(1)抛弃WEP以及TKIP用更安全更高级的加密:
WEP加密以及WPA中的TKIP加密方式已经不再安全,所以我们可以转向其他安全加密方式。例如目前应用的WPA2还是非常安全的,我们可以尝试使用WPA2加密方式来提高无线网络的安全。另外我国倡导和研发的WAPI协议也是非常安全的。
不过可能有的网络管理者会遇到自己的设备不支持WPA2加密方式,那么我们也不用着急和担心,要知道WPA加密方式有两种,其中之一的TKIP已经被破解,但是另外一个还是非常安全的。他就是AES加密,我们通过无线路由器或AP设置加密方式时会在WPA加密下拉菜单中看到他的身影,选择AES加密可以确保通讯是安全的,不会被破解。(如图2)
(2)使用中文SSID让无线sniffer晕头转向:
除了通过高级加密方式提高无线通讯安全外,我们还可以将无线网络的SSID信息进行更改,使用中文字符命名SSID可以让无线sniffer工具彻底迷糊。(如图3)
使用中文SSID后不管是隐藏还是直接广播入侵者通过无线sniffer工具看到的SSID信息将成为乱码,这样他们就无法顺利的确认SSID明文信息了,从而保证了无线网络的安全。(如图4)
(3)多重防范策略结合互相弥补缺陷:
前文中提到了MAC地址过滤遇到了伪造MAC信息的问题,从而形同虚设。不过在实际设置过程中我们可以通过多重防范策略相互结合的方法来弥补各自缺陷。例如开启MAC地址过滤后同时在具备权限的计算机上绑定无线路由器或AP的接入MAC地址信息,这样通过双向绑定的方法击溃伪造MAC地址手段的入侵。
双向绑定的方法多用于企业内部针对ARP欺骗病毒进行防御,不过对于伪造MAC地址非法入侵无线网络来说同样奏效。除了这种结合外我们还可以将MAC地址绑定与中文SSID设置以及WPA2加密等方法结合,从而在根本上彻底断掉入侵者的攻击念头。#p#
(4)无线安全莫忘接入点:
除了针对无线网络各个参数进行安全防护外,我们也不能够忘记无线接入点的安全。一般来说企业会使用无线路由器或AP来提供接入服务,这些设备的安全同样不容忽视。
首先我们要对这些接入设备设置密码,不要使用默认口令或者弱口令;其次每当接入设备厂商推出新版本升级固件时都应该及时升级,扩展功能弥补相应的漏洞,从而避免入侵者利用设备漏洞入侵无线网络。
(5)切忌过分依赖无线网络:
企业内部一般都是将无线网络作为有线网络的补充,采取两者结合的方式开展内网应用。所以作为企业网络管理者来说应该本着能有线就不要用无线的原则,在有线网络接口能够覆盖的地方继续使用有线网络;不到万不得已不使用无线网络,这样可以大大减少无线网络被入侵的机率。
(6)合理摆放适当调节工具让信号收放自如:
无线网络的信号是造成不安全的最大问题,因此我们可以通过合理摆放无线设备的位置调节信号覆盖访问让其更好的为企业内网服务,在一些边缘区域可以通过设备自身的调节无线信号发射功率的功能减少信号功率,从而阻止入侵者在边缘区域sniffer企业通讯数据。(如图5)
了解了以上六个行之有效的方法并实施到企业实际应用后,我们企业的无线内网才能够更加安全。上述先天不足的安全威胁才会得到最大限度的解除。
【编辑推荐】