無(wú)線網(wǎng)絡(luò)的發(fā)展如同野火一般，其勢(shì)深入消費(fèi)者，給企業(yè)帶來(lái)了巨大的利潤(rùn)。于是乎，現(xiàn)在越來(lái)越多的無(wú)線網(wǎng)絡(luò)暴露于威脅之中，沒(méi)有引起企業(yè)足夠的重視。無(wú)線網(wǎng)絡(luò)的誤用和濫用攻擊給企業(yè)帶來(lái)了直接的經(jīng)濟(jì)損失，也間接導(dǎo)致了企業(yè)競(jìng)爭(zhēng)力和市場(chǎng)價(jià)值的下降。

　　出于內(nèi)外部審計(jì)的壓力和防止未經(jīng)授權(quán)的網(wǎng)絡(luò)的濫用，每一家公司——即使是禁止無(wú)線網(wǎng)絡(luò)使用的企業(yè)——也必須考慮無(wú)線網(wǎng)絡(luò)帶來(lái)的風(fēng)險(xiǎn)。傳統(tǒng)的保護(hù)有線網(wǎng)絡(luò)系統(tǒng)和應(yīng)用程序的方法任然是必須的。但是由于缺乏對(duì)空中載波的實(shí)際控制，這意味著傳統(tǒng)的保護(hù)方法是不夠的。員工經(jīng)常有意無(wú)意地就進(jìn)入了鄰近的無(wú)線局域網(wǎng)，廣告網(wǎng)站，或是惡意的蜜罐。模糊的或是配置不正確的接入點(diǎn)給企業(yè)網(wǎng)絡(luò)安全打開了長(zhǎng)期的不受保護(hù)的隱形安全后門，這是很可怕的。

　　現(xiàn)行的安全政策，執(zhí)行和方法必須更新來(lái)應(yīng)對(duì)變化了的風(fēng)險(xiǎn)。一個(gè)有效的網(wǎng)絡(luò)防御方案要有能夠管制所有與商業(yè)相關(guān)的無(wú)線網(wǎng)絡(luò)活動(dòng)的能力。本文將分五步探討無(wú)線局域網(wǎng)面臨的挑戰(zhàn)。從保護(hù)無(wú)線網(wǎng)絡(luò)客戶端和數(shù)據(jù)，到安全審計(jì)和無(wú)線網(wǎng)絡(luò)連接，我們將提出一套整合的方法確保企業(yè)無(wú)線局域網(wǎng)的安全。

　　第一步：保護(hù)無(wú)線網(wǎng)絡(luò)客戶端

　　幾乎所有的筆記本和掌上設(shè)備出廠的時(shí)候都帶有無(wú)線網(wǎng)絡(luò)功能。不管你的公司是禁止還是允許無(wú)線網(wǎng)絡(luò)，這些無(wú)線網(wǎng)絡(luò)客戶端程序必須采取必要的措施防止無(wú)線網(wǎng)絡(luò)威脅。包括病毒，TCP/IP攻擊，還有未經(jīng)授權(quán)的無(wú)線網(wǎng)絡(luò)端口。

　　傳統(tǒng)的防御一般將焦點(diǎn)關(guān)注于主機(jī)上，包括文件加密，殺毒軟件和個(gè)人防火墻程序，當(dāng)然這些在無(wú)線網(wǎng)絡(luò)客戶端上也是必須的。這些措施有效防止了TCP/IP入侵，就譬如無(wú)線網(wǎng)絡(luò)熱點(diǎn)上偶發(fā)的文件共享個(gè)蠕蟲病毒傳播。

　　盡管如此，這些措施不能制止危險(xiǎn)的無(wú)線網(wǎng)絡(luò)連接。我們需要新的客戶端防御措施防止員工連接上鄰近的無(wú)線網(wǎng)絡(luò)，惡意偷窺者，惡意的蜜罐。有一些游離于安全政策之外的端口是有意地規(guī)避企業(yè)的限制是來(lái)使用個(gè)人電子郵件或是點(diǎn)對(duì)點(diǎn)下載。絕大多數(shù)是無(wú)意的，是由于雜亂的零配置軟件造成的。不管是什么原因造成的，未經(jīng)授權(quán)的無(wú)線網(wǎng)絡(luò)連接暴露了企業(yè)的機(jī)密數(shù)據(jù)，架起了個(gè)網(wǎng)絡(luò)之間的橋梁，直接威脅到了企業(yè)網(wǎng)絡(luò)。

　　要想重新贏得對(duì)員工無(wú)線網(wǎng)絡(luò)的控制，所有的機(jī)器上僅能使用授權(quán)的SSID(服務(wù)設(shè)置身份器)。除非企業(yè)的需要，禁止一切hoc連接。最好使用中央管理政策——譬如說(shuō)，Windows無(wú)線網(wǎng)絡(luò)連接必須通過(guò)Active Directory Group Policy Objects(活動(dòng)目錄群政策目標(biāo))配置。為了禁止員工自行添加私人網(wǎng)絡(luò)連接，使用具有禁止無(wú)線網(wǎng)絡(luò)客戶端配置的網(wǎng)絡(luò)第三方連接管理器。

　　為了自動(dòng)斷開不安全的連接，在每一臺(tái)客戶端上安全基于主機(jī)的無(wú)線網(wǎng)絡(luò)入侵防御系統(tǒng)。主機(jī)無(wú)線網(wǎng)絡(luò)入侵系統(tǒng)可以監(jiān)視公司筆記本在家里和熱點(diǎn)無(wú)線局域網(wǎng)中的使用，采取必要的措施執(zhí)行已定義的無(wú)線網(wǎng)絡(luò)安全政策�？刂瓶蛻舳顺绦虻陌惭b地和安裝方式控制無(wú)線網(wǎng)絡(luò)的連接，不管是在公司網(wǎng)絡(luò)之內(nèi)還是網(wǎng)絡(luò)之外，這是唯一能夠保證員工免受惡意攻擊和低級(jí)無(wú)線錯(cuò)誤的方法。

　　第二步：保護(hù)傳輸過(guò)程中數(shù)據(jù)的安全

　　與有線網(wǎng)絡(luò)相比，無(wú)線網(wǎng)絡(luò)更加缺乏實(shí)體保護(hù)。在無(wú)線網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)臅r(shí)候，我們需要新的防御方法清除監(jiān)聽，網(wǎng)絡(luò)詐騙。

　　如果已經(jīng)使用了虛擬個(gè)人網(wǎng)絡(luò)(VPN)保護(hù)公網(wǎng)中的企業(yè)數(shù)據(jù)的話，VPN還可以用來(lái)保護(hù)無(wú)線局域網(wǎng)傳輸?shù)臒o(wú)線網(wǎng)絡(luò)流量。這樣就確保了遠(yuǎn)離辦公點(diǎn)的數(shù)據(jù)傳輸?shù)陌踩�，拓展了安全保護(hù)的區(qū)域。

　　還有一些企業(yè)使用VPN保護(hù)實(shí)地的無(wú)線網(wǎng)絡(luò)——特別是那些早期使用的是WEP(有線同等隱私)協(xié)議的企業(yè)。所幸的是，現(xiàn)在所有的無(wú)線網(wǎng)絡(luò)授權(quán)產(chǎn)品提供了兩種廣泛接受的安全性能提高的數(shù)據(jù)保護(hù)協(xié)議。

　　WPA：WPA(無(wú)線網(wǎng)絡(luò)保護(hù)連接)使用TKIP(臨時(shí)密鑰整合協(xié)議)防范網(wǎng)絡(luò)竊聽，欺詐，無(wú)線網(wǎng)絡(luò)數(shù)據(jù)的復(fù)制。這一協(xié)議填補(bǔ)了以前WEP協(xié)議的一些缺陷，但是速度比WPA2慢�，F(xiàn)在WPA應(yīng)用在無(wú)線局域網(wǎng)很多產(chǎn)品中。

　　WPA2：WPA版本2(WPA2)，從2004年以來(lái)，所有的無(wú)線網(wǎng)絡(luò)產(chǎn)品都支持這一協(xié)議。使用802.11i和AES(高級(jí)加密標(biāo)準(zhǔn))保證數(shù)據(jù)更加安全地傳輸�，F(xiàn)在絕大多數(shù)的企業(yè)使用WPA2 這一更加安全的數(shù)據(jù)隱私協(xié)議。

　　當(dāng)然，現(xiàn)在VPN還在無(wú)線局域網(wǎng)中使用。但是，VPN的花費(fèi)比較高。絕大多數(shù)的企業(yè)在辦公室之內(nèi)使用WPA2協(xié)議，辦公室之外的數(shù)據(jù)傳輸使用VPN。

　　第三步，控制企業(yè)網(wǎng)絡(luò)的使用

　　為了防止網(wǎng)絡(luò)漏洞，無(wú)線網(wǎng)絡(luò)中的各個(gè)部分，從AP(網(wǎng)絡(luò)接入點(diǎn) access point)到發(fā)送連接的開關(guān)，到使用無(wú)線的企業(yè)網(wǎng)絡(luò)，這些都必須防止未經(jīng)授權(quán)的濫用。

　　始于傳統(tǒng)的安全防御影響了無(wú)線網(wǎng)絡(luò)的安全防護(hù)。譬如，升級(jí)補(bǔ)丁加強(qiáng)AP和網(wǎng)絡(luò)開關(guān)的安全，關(guān)閉不用的網(wǎng)絡(luò)關(guān)口，使用安全管理操作界面。在無(wú)線網(wǎng)絡(luò)中，基于SSID或是用戶身份使用防火墻和虛擬局域網(wǎng)(VLAN)。

　　這是一個(gè)良好的開端，簡(jiǎn)單卻不夠安全。插入到有線網(wǎng)絡(luò)中的模糊AP會(huì)繞開防火墻，提供長(zhǎng)時(shí)間的訪問(wèn)內(nèi)部服務(wù)器的網(wǎng)絡(luò)連接。如果不采取進(jìn)一步的限制，臨近網(wǎng)絡(luò)，客戶和入侵者都會(huì)使用你的無(wú)線局域網(wǎng)盜取網(wǎng)絡(luò)服務(wù)，發(fā)送網(wǎng)絡(luò)釣魚郵件和垃圾郵件，甚至是攻擊你的無(wú)線網(wǎng)絡(luò)。

　　在設(shè)置AP的時(shí)候使用非默認(rèn)的SSID可以減少意外的無(wú)線網(wǎng)絡(luò)連接。但是不能僅僅滿足于此，部署無(wú)線網(wǎng)絡(luò)連接控制阻斷來(lái)自于未經(jīng)授權(quán)的客戶的訪問(wèn)：

　　1.由于地址糊弄的出現(xiàn)，不能僅僅依靠MAC地址過(guò)濾無(wú)線網(wǎng)絡(luò)安全

　　2.如果你提供客戶訪問(wèn)，使用可獲取端口跟蹤使用，實(shí)行時(shí)間和帶寬限制

　　3.在小型的無(wú)線局域網(wǎng)中，使用帶有PSK的WPA或是WPA2保證連接僅限于授權(quán)客戶。這是為絕大多數(shù)家庭無(wú)線局域網(wǎng)用戶提供的服務(wù)。

　　在企業(yè)級(jí)的無(wú)線局域網(wǎng)中，僅僅依靠密碼對(duì)用戶進(jìn)行限制顯然是不夠的，使用802.1X授權(quán)和審計(jì)連接到企業(yè)網(wǎng)絡(luò)中的連接。如果與服務(wù)器認(rèn)證一起使用的話，802.1X還可以防止用戶誤入假冒的蜜罐AP。

　　最后，執(zhí)行無(wú)線網(wǎng)絡(luò)數(shù)據(jù)保護(hù)和訪問(wèn)控制選項(xiàng)是必須的。中央無(wú)線局域網(wǎng)管理人員可以幫助減少AP的誤配置，加快遭攻擊之后的系統(tǒng)恢復(fù)速度。

　　第四步，審計(jì)無(wú)線網(wǎng)絡(luò)活動(dòng)

　　不管你的網(wǎng)絡(luò)，客戶機(jī)，空中安全措施部署的多么仔細(xì)，百密一疏，出現(xiàn)意外情況的可能性還是很大的。要想達(dá)到內(nèi)外安全審計(jì)標(biāo)準(zhǔn)，你需要監(jiān)控所有的無(wú)線網(wǎng)絡(luò)設(shè)備上的活動(dòng)情況。

　　傳統(tǒng)的安全審計(jì)資源防火墻日志和有線網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(IDS)在面臨無(wú)線網(wǎng)絡(luò)流量往往顯得捉襟見(jiàn)肘。這些系統(tǒng)只能監(jiān)控有線網(wǎng)絡(luò)內(nèi)部的流量。如果無(wú)線網(wǎng)絡(luò)連接違規(guī)訪問(wèn)鄰近網(wǎng)絡(luò)或是蜜罐的時(shí)候，它們是無(wú)動(dòng)于衷的。面臨針對(duì)無(wú)線局域網(wǎng)本身的攻擊，譬如說(shuō)，802.1/802.1XDoS洪水攻擊和無(wú)線網(wǎng)絡(luò)密碼破解，它們也難以應(yīng)對(duì)。還有一個(gè)缺陷就是，它們不能記錄定義的無(wú)線網(wǎng)絡(luò)安全政策的兼容或評(píng)估由于無(wú)線濫用帶來(lái)的泄密事件。

　　每一家公司，即使沒(méi)有使用授權(quán)的無(wú)線局域網(wǎng)，也應(yīng)該發(fā)現(xiàn)和記錄先無(wú)線網(wǎng)絡(luò)設(shè)備和他們的地址，行為，違反政策的情況和攻擊行為。通過(guò)使用全天候監(jiān)控的無(wú)線網(wǎng)絡(luò)IPS(WIPS無(wú)線入侵防御系統(tǒng))可以實(shí)現(xiàn)上述目標(biāo)。WIPS使用分布式網(wǎng)絡(luò)監(jiān)控器掃描無(wú)線廣播通道，分析流量找出異常的網(wǎng)絡(luò)連接，找出錯(cuò)誤配置和惡意行為。WIPS會(huì)對(duì)潛在的威脅發(fā)出警報(bào)，將無(wú)線網(wǎng)絡(luò)行為實(shí)時(shí)可視化。由WIPS管理的數(shù)據(jù)會(huì)讓管理報(bào)告的提交更加簡(jiǎn)便。

　　第五步，執(zhí)行無(wú)線網(wǎng)絡(luò)安全政策

　　被動(dòng)的監(jiān)測(cè)當(dāng)然是不夠的。如果等到對(duì)WIPS作出人為響應(yīng)的時(shí)候，可能損失已經(jīng)造成了，而作禍者已逃之夭夭。預(yù)先的主動(dòng)防范是保證企業(yè)網(wǎng)絡(luò)安全必須的。

　　部署的WIPS要能夠迅速地執(zhí)行定義規(guī)則，斷開未經(jīng)授權(quán)的流氓AP，禁止客戶機(jī)的不良行為，阻止違反政策的通信，隔離DoS攻擊。要實(shí)現(xiàn)上訴目標(biāo)，選擇和配置WIPS的時(shí)候要慎之又慎。譬如，

　　1.感應(yīng)器的設(shè)置要預(yù)防盲點(diǎn)——確保完全覆蓋

　　2.配置的WIPS要能夠自動(dòng)準(zhǔn)確地區(qū)分新發(fā)現(xiàn)的設(shè)備，確保它們的行為符合規(guī)定，不入侵鄰近的無(wú)線局域網(wǎng)。

　　3.檢查WIPS針對(duì)流氓AP，行為不端的客戶機(jī)和其它無(wú)線網(wǎng)絡(luò)威脅響應(yīng)的速度和準(zhǔn)確性。

　　4.注意系統(tǒng)生成的錯(cuò)誤警報(bào)和不準(zhǔn)確的地點(diǎn)估計(jì)——這會(huì)浪費(fèi)你很多時(shí)間和資源

　　5.使用限制嚴(yán)格地?cái)?shù)據(jù)隱私授權(quán)，選擇能夠?qū)Χ喾N安全威脅作出實(shí)時(shí)響應(yīng)的WIPS工具

　　6.最后，檢查WIPS是否嚴(yán)格執(zhí)行了設(shè)定的安全政策，WIPS幫助你控制無(wú)線網(wǎng)絡(luò)的領(lǐng)空，至于如何使用這一能力則有賴于你的使用了。

　　總結(jié)

　　盡管各個(gè)公司的情況不盡相同，但是上述五步對(duì)于應(yīng)對(duì)無(wú)線網(wǎng)絡(luò)安全基本上對(duì)于各個(gè)企業(yè)都是共通的。但是，切記，一切從本企業(yè)的實(shí)際出發(fā)的安全措施才是最有效的，本本主義決不是最佳選擇，這也不是本篇文章的初衷。

　　不管你的公司是禁止無(wú)線網(wǎng)絡(luò)的使用，還是已經(jīng)大規(guī)模地使用無(wú)線網(wǎng)絡(luò)，都需要對(duì)無(wú)線網(wǎng)絡(luò)安全引起重視。定義無(wú)線網(wǎng)絡(luò)的使用，什么時(shí)間，什么地點(diǎn)，什么情況下什么人可以使用無(wú)線網(wǎng)絡(luò)，是在辦公室之內(nèi)還是之外?檢查所有可能應(yīng)用于無(wú)線網(wǎng)絡(luò)中的設(shè)備，以及其可能面臨的濫用的風(fēng)險(xiǎn)。

　　接著，考慮安全風(fēng)險(xiǎn)之間的相似性及其對(duì)企業(yè)可能造成的損失作出評(píng)估。記住，不是所有的風(fēng)險(xiǎn)都是可以處置的。你也不可能知道應(yīng)該在風(fēng)險(xiǎn)處置上投入多少，除非建立一套完善的應(yīng)對(duì)風(fēng)險(xiǎn)的方案。無(wú)線網(wǎng)絡(luò)漏洞評(píng)估和商業(yè)風(fēng)險(xiǎn)評(píng)估有助你把好鋼用在刀刃上。

　　一旦企業(yè)建立了安全策略處置企業(yè)面臨的最大的無(wú)線網(wǎng)絡(luò)風(fēng)險(xiǎn)，使用上述五步策略執(zhí)行安全政策，管理商業(yè)風(fēng)險(xiǎn)。盡管無(wú)線網(wǎng)絡(luò)安全不那么簡(jiǎn)單，但是通過(guò)行之有效的政策執(zhí)行和良好的技術(shù)工具還是可以實(shí)現(xiàn)的。在這個(gè)無(wú)線網(wǎng)絡(luò)安全面臨嚴(yán)重風(fēng)險(xiǎn)的網(wǎng)絡(luò)社會(huì)，使用本文建議的方法將幫助你從整體上保證企業(yè)網(wǎng)絡(luò)的安全!

標(biāo)簽： 安全 電子郵件 防火墻 服務(wù)器 漏洞 企業(yè)網(wǎng)絡(luò)安全 通信 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 無(wú)線網(wǎng)絡(luò)安全

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。