搞定企業(yè)的WLAN安全

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

目前， Wi-Fi的發(fā)展如火如荼。無(wú)論是家庭網(wǎng)絡(luò)還是公司網(wǎng)絡(luò)無(wú)線技術(shù)都引起人們極大的熱情。但人們并沒(méi)有真正關(guān)注無(wú)線網(wǎng)絡(luò)的安全問(wèn)題。結(jié)果，很多公司的信息資源被暴露在無(wú)線威脅之下，而公司卻對(duì)此茫然無(wú)知，不加干預(yù)。Wi-Fi被誤用、濫用或攻擊可以導(dǎo)致財(cái)務(wù)損失，包括與調(diào)查相關(guān)的直接成本、“宕機(jī)”時(shí)間、恢復(fù)時(shí)間等，直接成本還可包括因不遵守私有數(shù)據(jù)保密規(guī)范所導(dǎo)致的賠償和罰款等，還有因公司競(jìng)爭(zhēng)能力和價(jià)值下降造成的間接損失。
 
由于這些需要審核和防止未授權(quán)的網(wǎng)絡(luò)應(yīng)用所帶來(lái)的各種內(nèi)部和外部的壓力，每一家公司，甚至包含那些禁用無(wú)線網(wǎng)絡(luò)的公司，都必須重點(diǎn)管理由Wi-Fi所引起的企業(yè)風(fēng)險(xiǎn)。傳統(tǒng)的那些用于保障應(yīng)用程序、操作系統(tǒng)和有線通信安全的措施仍然是基本的并且是有效的措施。然而，如果缺乏對(duì)無(wú)線信號(hào)的有效控制，也就意味著有線的防御就會(huì)是形同虛設(shè)。雇員經(jīng)常有意無(wú)意地連接鄰近的無(wú)線網(wǎng)絡(luò)或是一些惡意網(wǎng)點(diǎn)。一些錯(cuò)誤配置的訪問(wèn)點(diǎn)會(huì)在公司的網(wǎng)絡(luò)中長(zhǎng)期打開一扇未經(jīng)保護(hù)的、不可見的后門。

現(xiàn)存的安全策略、工具、方法必須改進(jìn)以面對(duì)這些新的威脅。一種有效的網(wǎng)絡(luò)防御系統(tǒng)需要控制所有影響企業(yè)的無(wú)線網(wǎng)絡(luò)活動(dòng)的能力。本文將保障企業(yè)無(wú)線網(wǎng)絡(luò)安全的難題分為五個(gè)基本的步驟。從保障無(wú)線客戶端和數(shù)據(jù)安全到審核和控制Wi-Fi連接，本文推薦了一些確保當(dāng)今企業(yè)網(wǎng)絡(luò)安全性和完整性的最佳方法。

第一招:保護(hù)無(wú)線客戶端

如今，正如許多手持式設(shè)備一樣，95%的便攜式電腦都支持Wi-Fi。不管你的公司是否支持無(wú)線網(wǎng)絡(luò)，這種普遍存在的客戶端必須確保免受這種無(wú)線威脅的損害。無(wú)論是病毒還是TCP/IP破解，還是由那些無(wú)經(jīng)驗(yàn)的用戶所引起的未授權(quán)的、意外的Wi-Fi連接都是重點(diǎn)防護(hù)的內(nèi)容。
傳統(tǒng)的防御通常都部署在互聯(lián)網(wǎng)主機(jī)上，包括文件加密、反病毒和個(gè)人防火墻程序，都應(yīng)該用于Wi-Fi客戶端。這些措施可以使Wi-Fi客戶端與TCP/IP入侵隔離開來(lái)，如在一些網(wǎng)絡(luò)熱點(diǎn)主機(jī)中的無(wú)意的文件共享和蠕蟲泛濫。

然而，這些措施并不能阻止那些危險(xiǎn)的Wi-Fi連接。新的客戶防御需要防止雇員與鄰近的WLAN或惡意站點(diǎn)連接。一些未受策略控制的連接是有企圖的，用于繞過(guò)公司對(duì)個(gè)人電子郵件或P2P的阻止功能。不過(guò)，大多數(shù)都是非故意的，可能由某些“零配置”（"zero config"）軟件所引起。不管怎么說(shuō)，未授權(quán)的Wi-Fi連接會(huì)由于將關(guān)鍵數(shù)據(jù)暴露在外而損害公司的信息資產(chǎn)。

為了重新獲得對(duì)雇員Wi-Fi的管理和控制，需要配置所有的客戶端，使其只能與經(jīng)過(guò)授權(quán)的服務(wù)集標(biāo)識(shí)符(SSID)相聯(lián)系。因?yàn)榉?wù)集標(biāo)識(shí)符是無(wú)線接入的身份標(biāo)識(shí)符，是無(wú)線網(wǎng)絡(luò)用于定位服務(wù)的一項(xiàng)功能，用戶用它來(lái)建立與接入點(diǎn)之間的連接。除非企業(yè)需要，一定要拒絕所有的未事先規(guī)定的連接。為了得到最好的結(jié)果，務(wù)必采用集中化的管理策略，例如，Windows的Wi-Fi連接參數(shù)可以通過(guò)活動(dòng)目錄組策略對(duì)象來(lái)配置。為了阻止雇員自己增加連接，可以使用一個(gè)支持對(duì)客戶端配置進(jìn)行鎖定的第三方的管理工具。

為了自動(dòng)斷開不安全的連接，需要在每一臺(tái)客戶端上部署一個(gè)常駐主機(jī)的Wi-Fi入侵防御程序。一個(gè)常駐主機(jī)的Wi-Fi入侵防御程序能夠密切注視家用的和熱點(diǎn)WLAN中的公司膝上型電腦，需要采取措施以加強(qiáng)已定義的Wi-Fi策略。在公司網(wǎng)絡(luò)的內(nèi)部和外部，需要控制在什么地方及用什么手段允許與Wi-Fi的連接，這是保護(hù)職工免受惡意攻擊和所有的常見無(wú)線網(wǎng)絡(luò)錯(cuò)誤的唯一可靠方法。

第二招：保障數(shù)據(jù)傳輸安全

無(wú)線網(wǎng)絡(luò)缺乏有線以太網(wǎng)絡(luò)所固有的物理安全性。因?yàn)閴Ρ?、門窗、地板不能有效地包含Wi-Fi傳輸，所以需要采取新的防御手段來(lái)阻止對(duì)企業(yè)數(shù)據(jù)的竊聽、偽造和重放攻擊(replay-attack)。

如果你的公司已經(jīng)使用了虛擬私有網(wǎng)絡(luò)（VPN）以保護(hù)在公用Internet上的企業(yè)數(shù)據(jù)，就要充分利用VPN以保護(hù)離開站點(diǎn)的Wi-Fi的數(shù)據(jù)傳輸。這種持續(xù)的安全保障獨(dú)立于WLAN所采用的任何措施。

有一些公司還使用VPN保護(hù)Wi-Fi線上通信站點(diǎn)。Wi-Fi的先行者們受到極其不安全的WEP協(xié)議的限制，無(wú)法對(duì)無(wú)線網(wǎng)絡(luò)實(shí)施真正的安全策略。幸運(yùn)的是，現(xiàn)在所有的Wi-Fi認(rèn)證產(chǎn)品都提供兩種經(jīng)過(guò)極大改進(jìn)的數(shù)據(jù)保護(hù)方法：

●WPA（Wi-Fi Protected Access）使用TKIP（Temporal Key Integrity Protocol，臨時(shí)密鑰完整性協(xié)議），此協(xié)議將加密從固定密鑰改為動(dòng)態(tài)密鑰，雖然還是基于RC4算法，但比采用固定密鑰的WEP先進(jìn)。除了密鑰管理以外，它還具有以EAP(可擴(kuò)展認(rèn)證協(xié)議，Extensible Authentication Protocol)為核心的用戶審核。

第三招：控制公司網(wǎng)絡(luò)使用

為了防止網(wǎng)絡(luò)破壞，必須將每一個(gè)暴露的Wi-Fi部件（無(wú)論是訪問(wèn)點(diǎn)還是用于數(shù)據(jù)傳輸?shù)慕粨Q機(jī)等）與未授權(quán)的使用隔離開。

可以從將傳統(tǒng)的外圍防御應(yīng)用到無(wú)線網(wǎng)絡(luò)的邊緣開始。舉例來(lái)說(shuō)，通過(guò)更新補(bǔ)丁、關(guān)閉未用的端口以及使用安全的管理界面進(jìn)一步強(qiáng)化無(wú)線訪問(wèn)點(diǎn)和交換機(jī)的安全。基于SSID和用戶身份，將已經(jīng)用于控制有線網(wǎng)絡(luò)的虛擬局域網(wǎng)（VLAN）和防火墻等擴(kuò)展使用，使其隔離所有通過(guò)Wi-Fi進(jìn)入的數(shù)據(jù)通信。

這是一個(gè)良好的開端，但卻遠(yuǎn)遠(yuǎn)不夠。一些插入到網(wǎng)絡(luò)中的配置錯(cuò)誤的訪問(wèn)節(jié)點(diǎn)可以繞過(guò)你的防火墻，從而長(zhǎng)期訪問(wèn)內(nèi)部的服務(wù)器和數(shù)據(jù)。如果不實(shí)施進(jìn)一步的控制，來(lái)賓和入侵者都可以使用你的無(wú)線網(wǎng)絡(luò)竊取互聯(lián)網(wǎng)絡(luò)服務(wù)，發(fā)送釣魚郵件或垃圾郵件，甚至攻擊你的有線網(wǎng)絡(luò)。

通過(guò)使用非默認(rèn)的SSID配置訪問(wèn)節(jié)點(diǎn)，就可以減少那些非正常的Wi-Fi連接。不只如此，還需要部署Wi-Fi的訪問(wèn)控制以明確地拒絕未授權(quán)的客戶端連接。

●由于存在著地址欺騙，千萬(wàn)不要依靠MAC地址過(guò)濾器實(shí)現(xiàn)Wi-Fi安全。

●如果你提供來(lái)賓（guest）訪問(wèn)，務(wù)必使用一個(gè)受控入口以跟蹤使用，并且增強(qiáng)時(shí)間、帶寬的限制。
●在小型的無(wú)線局域網(wǎng)中，使用支持預(yù)共用密鑰模式(pre-shared key，PSK， 又稱為個(gè)人模式)的WPA或WPA2，只準(zhǔn)許經(jīng)過(guò)授權(quán)的并且提交隨機(jī)長(zhǎng)口令的客戶端訪問(wèn)網(wǎng)絡(luò)資源。這特別適用家用WLAN使用。

●在企業(yè)級(jí)WLAN中，由于需要對(duì)個(gè)人用戶實(shí)施更強(qiáng)的口令控制，務(wù)必對(duì)被允許到達(dá)公司網(wǎng)絡(luò)的Wi-Fi連接部署802.1x以便實(shí)施授權(quán)和審核。在與服務(wù)器授權(quán)證書一起使用時(shí)，802.1X可以幫助客戶端避免連接到虛假的訪問(wèn)節(jié)點(diǎn)。

最后一點(diǎn)，增強(qiáng)Wi-Fi數(shù)據(jù)保護(hù)和訪問(wèn)控制是至關(guān)重要的。一個(gè)集中化的WLAN管理程序能夠幫助減少訪問(wèn)節(jié)點(diǎn)的錯(cuò)誤配置，并且在遭受故障或攻擊之后加速恢復(fù)的過(guò)程。

第四招：審核無(wú)線網(wǎng)絡(luò)活動(dòng)

不管你如何仔細(xì)部署你的網(wǎng)絡(luò)、客戶端和無(wú)線安全措施，一些意想不到的及未授權(quán)的無(wú)線訪問(wèn)活動(dòng)仍然可能會(huì)發(fā)生。為了滿足大多數(shù)企業(yè)面臨的內(nèi)、外審核的需要，你需要監(jiān)視公司網(wǎng)絡(luò)內(nèi)所有Wi-Fi設(shè)備所執(zhí)行的操作，并做出相應(yīng)的報(bào)告。

關(guān)于無(wú)線通信，傳統(tǒng)的審核資源（如防火墻日志和有線網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)）是不夠的。這些系統(tǒng)只能監(jiān)視有線網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)通信。對(duì)于超出策略范圍的Wi-Fi連接，它們是“看”不到的。它們無(wú)法察覺(jué)針對(duì)WLAN自身的攻擊，如802.11/802.1X 拒絕服務(wù)攻擊（Denial of Service (DoS)）以及口令破解。這些系統(tǒng)不能支持與已定義的Wi-Fi安全規(guī)則的一致性，也不能用于評(píng)估由無(wú)線網(wǎng)絡(luò)的濫用或誤用引起的公司網(wǎng)絡(luò)資源暴露的程度。

每一家公司-包括那些沒(méi)有授權(quán)的WLAN-都應(yīng)能夠發(fā)現(xiàn)并證明無(wú)線設(shè)備及其位置、活動(dòng)、規(guī)則沖突和攻擊。這可以通過(guò)部署一個(gè)無(wú)線入侵防御系統(tǒng)（Wireless Intrusion Prevention System (WIPS)）以監(jiān)視所有Wi-Fi活動(dòng)來(lái)實(shí)現(xiàn)-這些活動(dòng)對(duì)你的企業(yè)產(chǎn)生潛在的影響。WIPS使用分布式網(wǎng)絡(luò)傳感器掃描Wi-Fi使用的無(wú)線通道，分析數(shù)據(jù)通信并檢測(cè)未授權(quán)的連接、錯(cuò)誤配置和惡意活動(dòng)。一個(gè)WIPS系統(tǒng)能夠?qū)撛谛缘耐{發(fā)出警告并幫助用戶形象地實(shí)時(shí)地展示W(wǎng)i-Fi活動(dòng)。WIPS系統(tǒng)所維護(hù)的數(shù)據(jù)庫(kù)會(huì)允許用戶輕易地生成調(diào)整性的和連續(xù)性的報(bào)告。

第五招：增強(qiáng)無(wú)線規(guī)則

當(dāng)然，只進(jìn)行被動(dòng)監(jiān)視是遠(yuǎn)遠(yuǎn)不夠的。在用戶對(duì)WIPS警告響應(yīng)的時(shí)候，巨大的破壞可能已經(jīng)完成，入侵者可能早已消失得無(wú)影無(wú)蹤。因此，需要依靠公司及行業(yè)的規(guī)章制度和規(guī)范加強(qiáng)數(shù)據(jù)和網(wǎng)絡(luò)安全性的主動(dòng)防御。

部署一個(gè)無(wú)線入侵防御系統(tǒng)有其必要性，特別是它可給與用戶快速增強(qiáng)已定義的規(guī)則的能力，并可斷開未授權(quán)的、欺詐性的無(wú)線訪問(wèn)點(diǎn)，終止客戶端的錯(cuò)誤行為，阻止規(guī)則無(wú)法控制的通信，還可用于對(duì)付DoS攻擊。為了完成這些目標(biāo)，必須謹(jǐn)慎選擇并配置WIPS系統(tǒng)，例如：

●認(rèn)真規(guī)劃傳感器的位置，避免“盲點(diǎn)”-然后需要驗(yàn)證所期望的覆蓋范圍

●需要采用一種可自動(dòng)地、精確地對(duì)新發(fā)現(xiàn)的設(shè)備進(jìn)行分類的設(shè)備，從而使得“包含”這些設(shè)備的行動(dòng)總是適當(dāng)?shù)?，并不?huì)入侵相鄰的WLAN系統(tǒng)。

●測(cè)試你的WIPS的有效性以快速準(zhǔn)確地確認(rèn)欺詐性訪問(wèn)點(diǎn)、非正常連接和客戶端以及其它重要的Wi-Fi威脅。

●警惕那些生成錯(cuò)誤警告和錯(cuò)誤單元估計(jì)的系統(tǒng)，這些系統(tǒng)通過(guò)給你發(fā)送消息讓你進(jìn)行徒勞的搜索。

●為了遵循數(shù)據(jù)保密性的要求（這些要求需要嚴(yán)格的策略強(qiáng)化），選擇一種能對(duì)付多種安全威脅的無(wú)線入侵防御系統(tǒng)，此系統(tǒng)應(yīng)該能夠工作在實(shí)時(shí)的升級(jí)模式。
 
●最后，檢查WIPS警告和報(bào)告以了解WIPS如何加強(qiáng)你的策略。WIPS給你一種能力使你可以控制無(wú)線空間，但是明智地使用這種能力卻完全信賴于你。

雖然每一家公司都是不同的，但大多數(shù)公司最終會(huì)發(fā)現(xiàn)一個(gè)綜合性的防御體系需要上述的所有措施，它們協(xié)同工作以減輕常見的Wi-Fi威脅。然而，任何一項(xiàng)安全措施只有在風(fēng)險(xiǎn)管理的背景下才能產(chǎn)生最大的效益。

如果你的公司將要使用Wi-Fi，請(qǐng)從評(píng)估企業(yè)面臨的威脅及其潛在的影響開始，定義你的Wi-Fi需要：Wi-Fi用于支持企業(yè)活動(dòng)的何人、何事、何地、何時(shí)。檢查所有暴露的Wi-Fi設(shè)備以及它們?cè)鯓颖慌既徽`用或遭受故意的攻擊。

然后考慮每一種安全事件的可能性和相關(guān)的成本。你不可能減輕每一種可能的威脅。如果你沒(méi)有良好的企業(yè)風(fēng)險(xiǎn)管理，也不可能真正的知道有多少時(shí)間和金錢花費(fèi)在威脅的處理上。完成Wi-Fi漏洞評(píng)估和企業(yè)風(fēng)險(xiǎn)分析可以幫助你關(guān)注產(chǎn)生最大影響的措施所引起的安全預(yù)算。

一旦你已經(jīng)定義了一種用于減輕企業(yè)最關(guān)鍵的Wi-Fi威脅的安全策略，那就使用本文所介紹的這五招去實(shí)施你的策略并管理企業(yè)風(fēng)險(xiǎn)。雖然Wi-Fi安全并非自動(dòng)化的或簡(jiǎn)單的事情，但依靠那些可用的工具并通過(guò)策略定義和強(qiáng)化完全可以實(shí)現(xiàn)。總之，運(yùn)用本文所述的最佳方法可幫助你實(shí)現(xiàn)公司網(wǎng)絡(luò)的安全性和完整性。

機(jī)制，可以通過(guò)服務(wù)器審核接入用戶的ID，在一定程度上可避免黑客非法接入、竊聽、偽造和Wi-Fi數(shù)據(jù)重放。這種過(guò)度性的措施可阻止WEP破壞，但要比其后續(xù)版本W(wǎng)PA2速度慢些，WPA應(yīng)該用在那些使用遺留的老產(chǎn)品的WLAN中。

●WPA2從2004年年末開始被所有的Wi-Fi產(chǎn)品所支持，它使用802.11i和高級(jí)加密標(biāo)準(zhǔn)，以一種更加強(qiáng)健而有效的方式（AES-Advanced Encryption Standard）保障數(shù)據(jù)安全。AES是下一代的加密算法標(biāo)準(zhǔn)，速度快，安全級(jí)別高。 多數(shù)企業(yè)的WLAN應(yīng)該升級(jí)到WPA2以求強(qiáng)健的數(shù)據(jù)保密和完整性。

當(dāng)然，VPN還能夠用于今天的內(nèi)部辦公WLAN中。不過(guò)，VPN會(huì)增加開銷并阻止漫游。大多數(shù)公司會(huì)發(fā)現(xiàn)最好用離站(off-site) VPN和在站(on-site)WPA2來(lái)保障數(shù)據(jù)安全。(中國(guó)信息安全網(wǎng))