搞定企業(yè)的WLAN安全

申請免費(fèi)試用、咨詢電話：400-8352-114

目前， Wi-Fi的發(fā)展如火如荼。無論是家庭網(wǎng)絡(luò)還是公司網(wǎng)絡(luò)無線技術(shù)都引起人們極大的熱情。但人們并沒有真正關(guān)注無線網(wǎng)絡(luò)的安全問題。結(jié)果，很多公司的信息資源被暴露在無線威脅之下，而公司卻對此茫然無知，不加干預(yù)。Wi-Fi被誤用、濫用或攻擊可以導(dǎo)致財務(wù)損失，包括與調(diào)查相關(guān)的直接成本、“宕機(jī)”時間、恢復(fù)時間等，直接成本還可包括因不遵守私有數(shù)據(jù)保密規(guī)范所導(dǎo)致的賠償和罰款等，還有因公司競爭能力和價值下降造成的間接損失。
 
由于這些需要審核和防止未授權(quán)的網(wǎng)絡(luò)應(yīng)用所帶來的各種內(nèi)部和外部的壓力，每一家公司，甚至包含那些禁用無線網(wǎng)絡(luò)的公司，都必須重點(diǎn)管理由Wi-Fi所引起的企業(yè)風(fēng)險。傳統(tǒng)的那些用于保障應(yīng)用程序、操作系統(tǒng)和有線通信安全的措施仍然是基本的并且是有效的措施。然而，如果缺乏對無線信號的有效控制，也就意味著有線的防御就會是形同虛設(shè)。雇員經(jīng)常有意無意地連接鄰近的無線網(wǎng)絡(luò)或是一些惡意網(wǎng)點(diǎn)。一些錯誤配置的訪問點(diǎn)會在公司的網(wǎng)絡(luò)中長期打開一扇未經(jīng)保護(hù)的、不可見的后門。

現(xiàn)存的安全策略、工具、方法必須改進(jìn)以面對這些新的威脅。一種有效的網(wǎng)絡(luò)防御系統(tǒng)需要控制所有影響企業(yè)的無線網(wǎng)絡(luò)活動的能力。本文將保障企業(yè)無線網(wǎng)絡(luò)安全的難題分為五個基本的步驟。從保障無線客戶端和數(shù)據(jù)安全到審核和控制Wi-Fi連接，本文推薦了一些確保當(dāng)今企業(yè)網(wǎng)絡(luò)安全性和完整性的最佳方法。

第一招:保護(hù)無線客戶端

如今，正如許多手持式設(shè)備一樣，95%的便攜式電腦都支持Wi-Fi。不管你的公司是否支持無線網(wǎng)絡(luò)，這種普遍存在的客戶端必須確保免受這種無線威脅的損害。無論是病毒還是TCP/IP破解，還是由那些無經(jīng)驗(yàn)的用戶所引起的未授權(quán)的、意外的Wi-Fi連接都是重點(diǎn)防護(hù)的內(nèi)容。
傳統(tǒng)的防御通常都部署在互聯(lián)網(wǎng)主機(jī)上，包括文件加密、反病毒和個人防火墻程序，都應(yīng)該用于Wi-Fi客戶端。這些措施可以使Wi-Fi客戶端與TCP/IP入侵隔離開來，如在一些網(wǎng)絡(luò)熱點(diǎn)主機(jī)中的無意的文件共享和蠕蟲泛濫。

然而，這些措施并不能阻止那些危險的Wi-Fi連接。新的客戶防御需要防止雇員與鄰近的WLAN或惡意站點(diǎn)連接。一些未受策略控制的連接是有企圖的，用于繞過公司對個人電子郵件或P2P的阻止功能。不過，大多數(shù)都是非故意的，可能由某些“零配置”（"zero config"）軟件所引起。不管怎么說，未授權(quán)的Wi-Fi連接會由于將關(guān)鍵數(shù)據(jù)暴露在外而損害公司的信息資產(chǎn)。

為了重新獲得對雇員Wi-Fi的管理和控制，需要配置所有的客戶端，使其只能與經(jīng)過授權(quán)的服務(wù)集標(biāo)識符(SSID)相聯(lián)系。因?yàn)榉?wù)集標(biāo)識符是無線接入的身份標(biāo)識符，是無線網(wǎng)絡(luò)用于定位服務(wù)的一項(xiàng)功能，用戶用它來建立與接入點(diǎn)之間的連接。除非企業(yè)需要，一定要拒絕所有的未事先規(guī)定的連接。為了得到最好的結(jié)果，務(wù)必采用集中化的管理策略，例如，Windows的Wi-Fi連接參數(shù)可以通過活動目錄組策略對象來配置。為了阻止雇員自己增加連接，可以使用一個支持對客戶端配置進(jìn)行鎖定的第三方的管理工具。

為了自動斷開不安全的連接，需要在每一臺客戶端上部署一個常駐主機(jī)的Wi-Fi入侵防御程序。一個常駐主機(jī)的Wi-Fi入侵防御程序能夠密切注視家用的和熱點(diǎn)WLAN中的公司膝上型電腦，需要采取措施以加強(qiáng)已定義的Wi-Fi策略。在公司網(wǎng)絡(luò)的內(nèi)部和外部，需要控制在什么地方及用什么手段允許與Wi-Fi的連接，這是保護(hù)職工免受惡意攻擊和所有的常見無線網(wǎng)絡(luò)錯誤的唯一可靠方法。

第二招：保障數(shù)據(jù)傳輸安全

無線網(wǎng)絡(luò)缺乏有線以太網(wǎng)絡(luò)所固有的物理安全性。因?yàn)閴Ρ?、門窗、地板不能有效地包含Wi-Fi傳輸，所以需要采取新的防御手段來阻止對企業(yè)數(shù)據(jù)的竊聽、偽造和重放攻擊(replay-attack)。

如果你的公司已經(jīng)使用了虛擬私有網(wǎng)絡(luò)（VPN）以保護(hù)在公用Internet上的企業(yè)數(shù)據(jù)，就要充分利用VPN以保護(hù)離開站點(diǎn)的Wi-Fi的數(shù)據(jù)傳輸。這種持續(xù)的安全保障獨(dú)立于WLAN所采用的任何措施。

有一些公司還使用VPN保護(hù)Wi-Fi線上通信站點(diǎn)。Wi-Fi的先行者們受到極其不安全的WEP協(xié)議的限制，無法對無線網(wǎng)絡(luò)實(shí)施真正的安全策略。幸運(yùn)的是，現(xiàn)在所有的Wi-Fi認(rèn)證產(chǎn)品都提供兩種經(jīng)過極大改進(jìn)的數(shù)據(jù)保護(hù)方法：

●WPA（Wi-Fi Protected Access）使用TKIP（Temporal Key Integrity Protocol，臨時密鑰完整性協(xié)議），此協(xié)議將加密從固定密鑰改為動態(tài)密鑰，雖然還是基于RC4算法，但比采用固定密鑰的WEP先進(jìn)。除了密鑰管理以外，它還具有以EAP(可擴(kuò)展認(rèn)證協(xié)議，Extensible Authentication Protocol)為核心的用戶審核。

第三招：控制公司網(wǎng)絡(luò)使用

為了防止網(wǎng)絡(luò)破壞，必須將每一個暴露的Wi-Fi部件（無論是訪問點(diǎn)還是用于數(shù)據(jù)傳輸?shù)慕粨Q機(jī)等）與未授權(quán)的使用隔離開。

可以從將傳統(tǒng)的外圍防御應(yīng)用到無線網(wǎng)絡(luò)的邊緣開始。舉例來說，通過更新補(bǔ)丁、關(guān)閉未用的端口以及使用安全的管理界面進(jìn)一步強(qiáng)化無線訪問點(diǎn)和交換機(jī)的安全?；赟SID和用戶身份，將已經(jīng)用于控制有線網(wǎng)絡(luò)的虛擬局域網(wǎng)（VLAN）和防火墻等擴(kuò)展使用，使其隔離所有通過Wi-Fi進(jìn)入的數(shù)據(jù)通信。

這是一個良好的開端，但卻遠(yuǎn)遠(yuǎn)不夠。一些插入到網(wǎng)絡(luò)中的配置錯誤的訪問節(jié)點(diǎn)可以繞過你的防火墻，從而長期訪問內(nèi)部的服務(wù)器和數(shù)據(jù)。如果不實(shí)施進(jìn)一步的控制，來賓和入侵者都可以使用你的無線網(wǎng)絡(luò)竊取互聯(lián)網(wǎng)絡(luò)服務(wù)，發(fā)送釣魚郵件或垃圾郵件，甚至攻擊你的有線網(wǎng)絡(luò)。

通過使用非默認(rèn)的SSID配置訪問節(jié)點(diǎn)，就可以減少那些非正常的Wi-Fi連接。不只如此，還需要部署Wi-Fi的訪問控制以明確地拒絕未授權(quán)的客戶端連接。

●由于存在著地址欺騙，千萬不要依靠MAC地址過濾器實(shí)現(xiàn)Wi-Fi安全。

●如果你提供來賓（guest）訪問，務(wù)必使用一個受控入口以跟蹤使用，并且增強(qiáng)時間、帶寬的限制。
●在小型的無線局域網(wǎng)中，使用支持預(yù)共用密鑰模式(pre-shared key，PSK， 又稱為個人模式)的WPA或WPA2，只準(zhǔn)許經(jīng)過授權(quán)的并且提交隨機(jī)長口令的客戶端訪問網(wǎng)絡(luò)資源。這特別適用家用WLAN使用。

●在企業(yè)級WLAN中，由于需要對個人用戶實(shí)施更強(qiáng)的口令控制，務(wù)必對被允許到達(dá)公司網(wǎng)絡(luò)的Wi-Fi連接部署802.1x以便實(shí)施授權(quán)和審核。在與服務(wù)器授權(quán)證書一起使用時，802.1X可以幫助客戶端避免連接到虛假的訪問節(jié)點(diǎn)。

最后一點(diǎn)，增強(qiáng)Wi-Fi數(shù)據(jù)保護(hù)和訪問控制是至關(guān)重要的。一個集中化的WLAN管理程序能夠幫助減少訪問節(jié)點(diǎn)的錯誤配置，并且在遭受故障或攻擊之后加速恢復(fù)的過程。

第四招：審核無線網(wǎng)絡(luò)活動

不管你如何仔細(xì)部署你的網(wǎng)絡(luò)、客戶端和無線安全措施，一些意想不到的及未授權(quán)的無線訪問活動仍然可能會發(fā)生。為了滿足大多數(shù)企業(yè)面臨的內(nèi)、外審核的需要，你需要監(jiān)視公司網(wǎng)絡(luò)內(nèi)所有Wi-Fi設(shè)備所執(zhí)行的操作，并做出相應(yīng)的報告。

關(guān)于無線通信，傳統(tǒng)的審核資源（如防火墻日志和有線網(wǎng)絡(luò)入侵檢測系統(tǒng)）是不夠的。這些系統(tǒng)只能監(jiān)視有線網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)通信。對于超出策略范圍的Wi-Fi連接，它們是“看”不到的。它們無法察覺針對WLAN自身的攻擊，如802.11/802.1X 拒絕服務(wù)攻擊（Denial of Service (DoS)）以及口令破解。這些系統(tǒng)不能支持與已定義的Wi-Fi安全規(guī)則的一致性，也不能用于評估由無線網(wǎng)絡(luò)的濫用或誤用引起的公司網(wǎng)絡(luò)資源暴露的程度。

每一家公司-包括那些沒有授權(quán)的WLAN-都應(yīng)能夠發(fā)現(xiàn)并證明無線設(shè)備及其位置、活動、規(guī)則沖突和攻擊。這可以通過部署一個無線入侵防御系統(tǒng)（Wireless Intrusion Prevention System (WIPS)）以監(jiān)視所有Wi-Fi活動來實(shí)現(xiàn)-這些活動對你的企業(yè)產(chǎn)生潛在的影響。WIPS使用分布式網(wǎng)絡(luò)傳感器掃描Wi-Fi使用的無線通道，分析數(shù)據(jù)通信并檢測未授權(quán)的連接、錯誤配置和惡意活動。一個WIPS系統(tǒng)能夠?qū)撛谛缘耐{發(fā)出警告并幫助用戶形象地實(shí)時地展示W(wǎng)i-Fi活動。WIPS系統(tǒng)所維護(hù)的數(shù)據(jù)庫會允許用戶輕易地生成調(diào)整性的和連續(xù)性的報告。

第五招：增強(qiáng)無線規(guī)則

當(dāng)然，只進(jìn)行被動監(jiān)視是遠(yuǎn)遠(yuǎn)不夠的。在用戶對WIPS警告響應(yīng)的時候，巨大的破壞可能已經(jīng)完成，入侵者可能早已消失得無影無蹤。因此，需要依靠公司及行業(yè)的規(guī)章制度和規(guī)范加強(qiáng)數(shù)據(jù)和網(wǎng)絡(luò)安全性的主動防御。

部署一個無線入侵防御系統(tǒng)有其必要性，特別是它可給與用戶快速增強(qiáng)已定義的規(guī)則的能力，并可斷開未授權(quán)的、欺詐性的無線訪問點(diǎn)，終止客戶端的錯誤行為，阻止規(guī)則無法控制的通信，還可用于對付DoS攻擊。為了完成這些目標(biāo)，必須謹(jǐn)慎選擇并配置WIPS系統(tǒng)，例如：

●認(rèn)真規(guī)劃傳感器的位置，避免“盲點(diǎn)”-然后需要驗(yàn)證所期望的覆蓋范圍

●需要采用一種可自動地、精確地對新發(fā)現(xiàn)的設(shè)備進(jìn)行分類的設(shè)備，從而使得“包含”這些設(shè)備的行動總是適當(dāng)?shù)?，并不會入侵相鄰的WLAN系統(tǒng)。

●測試你的WIPS的有效性以快速準(zhǔn)確地確認(rèn)欺詐性訪問點(diǎn)、非正常連接和客戶端以及其它重要的Wi-Fi威脅。

●警惕那些生成錯誤警告和錯誤單元估計的系統(tǒng)，這些系統(tǒng)通過給你發(fā)送消息讓你進(jìn)行徒勞的搜索。

●為了遵循數(shù)據(jù)保密性的要求（這些要求需要嚴(yán)格的策略強(qiáng)化），選擇一種能對付多種安全威脅的無線入侵防御系統(tǒng)，此系統(tǒng)應(yīng)該能夠工作在實(shí)時的升級模式。
 
●最后，檢查WIPS警告和報告以了解WIPS如何加強(qiáng)你的策略。WIPS給你一種能力使你可以控制無線空間，但是明智地使用這種能力卻完全信賴于你。

雖然每一家公司都是不同的，但大多數(shù)公司最終會發(fā)現(xiàn)一個綜合性的防御體系需要上述的所有措施，它們協(xié)同工作以減輕常見的Wi-Fi威脅。然而，任何一項(xiàng)安全措施只有在風(fēng)險管理的背景下才能產(chǎn)生最大的效益。

如果你的公司將要使用Wi-Fi，請從評估企業(yè)面臨的威脅及其潛在的影響開始，定義你的Wi-Fi需要：Wi-Fi用于支持企業(yè)活動的何人、何事、何地、何時。檢查所有暴露的Wi-Fi設(shè)備以及它們怎樣被偶然誤用或遭受故意的攻擊。

然后考慮每一種安全事件的可能性和相關(guān)的成本。你不可能減輕每一種可能的威脅。如果你沒有良好的企業(yè)風(fēng)險管理，也不可能真正的知道有多少時間和金錢花費(fèi)在威脅的處理上。完成Wi-Fi漏洞評估和企業(yè)風(fēng)險分析可以幫助你關(guān)注產(chǎn)生最大影響的措施所引起的安全預(yù)算。

一旦你已經(jīng)定義了一種用于減輕企業(yè)最關(guān)鍵的Wi-Fi威脅的安全策略，那就使用本文所介紹的這五招去實(shí)施你的策略并管理企業(yè)風(fēng)險。雖然Wi-Fi安全并非自動化的或簡單的事情，但依靠那些可用的工具并通過策略定義和強(qiáng)化完全可以實(shí)現(xiàn)?？傊?，運(yùn)用本文所述的最佳方法可幫助你實(shí)現(xiàn)公司網(wǎng)絡(luò)的安全性和完整性。

機(jī)制，可以通過服務(wù)器審核接入用戶的ID，在一定程度上可避免黑客非法接入、竊聽、偽造和Wi-Fi數(shù)據(jù)重放。這種過度性的措施可阻止WEP破壞，但要比其后續(xù)版本W(wǎng)PA2速度慢些，WPA應(yīng)該用在那些使用遺留的老產(chǎn)品的WLAN中。

●WPA2從2004年年末開始被所有的Wi-Fi產(chǎn)品所支持，它使用802.11i和高級加密標(biāo)準(zhǔn)，以一種更加強(qiáng)健而有效的方式（AES-Advanced Encryption Standard）保障數(shù)據(jù)安全。AES是下一代的加密算法標(biāo)準(zhǔn)，速度快，安全級別高。 多數(shù)企業(yè)的WLAN應(yīng)該升級到WPA2以求強(qiáng)健的數(shù)據(jù)保密和完整性。

當(dāng)然，VPN還能夠用于今天的內(nèi)部辦公WLAN中。不過，VPN會增加開銷并阻止漫游。大多數(shù)公司會發(fā)現(xiàn)最好用離站(off-site) VPN和在站(on-site)WPA2來保障數(shù)據(jù)安全。(中國信息安全網(wǎng))