无线局域网安全不管是在企业还是家庭中我们都不能掉以轻心。很多朋友在公司使用网络的时候都是很谨慎的,但是一回到家就放松了警惕。这就给不安的潜入因子提供了可乘之机……
正如许多人所共知的,通过无线方式连接至家庭网络,再通过ISP连接到Internet确实是一种行之有效的方式。但是如何保护用户以及在他们计算机上存储的公司数据,就必须首先理解所存在的无线局域网安全风险。
把握安全风险
毋庸质疑,WLAN确实存在脆弱性,当这种脆弱性与威胁等级遭遇到敏感信息窃取事件后,将会为公司造成大量损失。且这一脆弱性完全是因为WLAN技术本身的原因而造成的。对此,很多人有过亲身体验,当驱车行驶于高速公路时,甚至可采集到多达8个WAP访问点。但是WLAN技术所产生的威胁(或者威胁等级)则很难具体衡量,还须综合考虑多种物理参数。
当将对公司网络的威胁分析拓展至员工家庭网络,同样存在价值。因此,一旦攻击者将目标锁定于家庭网络用户,威胁等级将会攀升。至于如何估算因一次家庭网络入侵而对公司(或个人)造成的损失?这需酌情而定。实际上,在屋内安装了一台家用WAP(Wireless Acess Point,以下简称WAP)后,就相当于从一台交换机拉了一条5类网线到车道尽头,为宽带的高速公路增添了新的快车道。然而,别有用心之人却可以跑到房子外面,插好网线,然后访问用户的家庭网络。通过连接WAP,他们可以肆无忌弹,甚至可以嗅探到在WAP和每一个无线客户端之间传送的所有无线数据包。
重视策略、规程制定
针对家庭用户,或许最好的无线局域网安全应用策略就是禁止使用。但即使知道可能存在着无线局域网安全风险,用户出于使用需求,却仍可能选择忽略这条禁令。因此,切实可行的是制定一些切实可行的操作准则,便于遵守。
首先,应该使用WEP来进行身份验证和保证完整性。支持128位或者更高位数加密的PC卡要贵一些,所以许多家庭用户不会考虑购买它们。但是,假如用户想把他们的工作用电脑连接到家庭无线局域网上,就应该在策略中规定必须购买此类高位加密产品。
接着,要求用户使用一个随机密钥。许多WAP会根据一个密码来生成一个密钥。但是这在实现上存在的缺陷,使这个密钥生成机制成为一个摆设。如果用户采用这个方法,他们应该为密码使用随机字母和数字,并允许WAP生成密钥。然后,它们可以将生成的加密密钥人工输入无线客户端中。另外,必须每周改变一次密钥。
用户应该改变其WAP上的所有默认设置。默认密钥必须更换,默认无线局域网安全设置必须修改(因为所有这些设备都默认禁用了WEP),默认的广播频道也必须更换,而且必须将SSID重命名为某个不常见的名字。
用户应该更改WAP的默认IP地址以及默认的管理密码。有的WAP使用一个外置的USB端口来进行管理,但许多产品都允许使用一个通过网络连接的Web界面来进行管理。如果邻居家的小孩启动了他的无线网卡,并看到了您的WAP广播(因为两家使用的广播频道是一样的),并看到您的SSID是“Linksys”,他就可能好奇地尝试连接IP地址“192.168.1.251”,并使用密码“admin”来登录。每有厂商都有类似的默认设置,这正是为什么必须更改默认设置的原因。
运行WLAN的用户将面临比其他移动用户更大的无线局域网安全风险。PC断电和待机的时候,可以通过磁盘加密来保护PC上的数据。然而,如果数据在一个家庭网络中传输,就需要对网络或者计算机实行额外的保护。个人防火墙是必须使用的,而且要设置一个防火墙策略,不允许计算机之间的SMB服务。否则,就难以避免外部的计算机访问。
最后,或许是最重要的一点:建立一个策略,要求家庭无线局域网用户必须配置他们的WAP来进行过滤,只和固定MAC地址的设备进行通信。如果一个企业部署的计算机很多,这明显是一个相当繁琐的任务。但是,对于在家庭网络上工作的人来说,要进行这个配置是非常容易的。
并不是每个员工都安装了家庭无线局域网,也并不是每个人都有家庭网络。但是,就像目前没有家庭网络的每个计算机用户都有可能在某一天装上家庭网络一样,目前有家庭网络的每个人都有可能很快添加一个无线访问点。用户可以在某种程度上控制WLAN在办公室中的使用。但是,企业信息主管经常开车至每个员工住宅附近检查WAP的使用情况无法完全实现,所以必须提前制定好相关的策略和操作规程,尽可能减小员工现在或者将来在家庭无线局域网中使用工作电脑所带来的无线局域网安全风险。在这种情况下,人们虽然是在家中工作,但也必须接受网络的监管。
