當(dāng)前位置:工程項目OA系統(tǒng) > 泛普各地 > 遼寧OA系統(tǒng) > 沈陽OA系統(tǒng) > 沈陽OA快博
WLAN安全五步曲
802.11無線局域網(wǎng)(WLAN)在移動性和生產(chǎn)力方面具有優(yōu)點,但不一定意味著就要以犧牲信息系統(tǒng)的安全為代價。盡管WLAN存在的陷阱讓一些企業(yè)放棄了對WLAN的使用,但還有更多的同樣關(guān)注安全的企業(yè)還是放心地部署了安全的WLAN,他們的辦法就是實施下列切合實際的步驟,以保護(hù)信息資產(chǎn)、識別漏洞、保護(hù)網(wǎng)絡(luò)免受專門針對無線的攻擊。
第一步:發(fā)現(xiàn)及緩解非法WLAN和漏洞
歸根到底,確保WLAN安全首先要了解WLAN所運行的環(huán)境。未授權(quán)的"非法"WLAN--包括接入點、軟接入點(充當(dāng)接入點的便攜式電腦)、用戶站、無線條形碼掃描器和打印機――是企業(yè)網(wǎng)絡(luò)安全面臨的最大威脅之一,因為它們給入侵者敞開了一個避開了所有現(xiàn)有安全措施的入口點。
因為只要把價格低廉的接入點連接到有線網(wǎng)絡(luò)、把WLAN卡插入到便攜式電腦上,就很容易安裝簡單的WLAN,所以員工們會趁IT部門遲遲不愿采用或者甚至反對新技術(shù)之際,擅自部署未授權(quán)的WLAN。這些非法的接入點通常缺乏標(biāo)準(zhǔn)安全,因而會避開企業(yè)投資搭建的網(wǎng)絡(luò)安全機制。
便攜式電腦等不安全的無線用戶站對企業(yè)網(wǎng)絡(luò)安全構(gòu)成的危險甚至比非法接入點還大。默認(rèn)配置的這些設(shè)備提供不了多少安全,很容易出現(xiàn)配置不當(dāng)。入侵者可以利用任何不安全的無線用戶站作為一塊跳板、闖入網(wǎng)絡(luò)。
同樣的不安全因素來自配置不當(dāng)?shù)腤LAN所引起的網(wǎng)絡(luò)漏洞。與WLAN建在同一個地方的鄰近WLAN也會帶來這些風(fēng)險:鄰近工作站訪問網(wǎng)絡(luò)、干擾無線信道。免費軟件如NetStumbler和 Kismet及其他商用掃描器可以掃描無線電波,尋找非法接入點和某些網(wǎng)絡(luò)漏洞。這個頗費時間的過程需要網(wǎng)絡(luò)管理員親自到WLAN覆蓋區(qū)域走一趟,尋找無線數(shù)據(jù),但效果不大,因為它只是對無線電波采樣掃描,尋找現(xiàn)有威脅。
新的非法接入點及其他漏洞可能會在掃描過后出現(xiàn),等到下一次網(wǎng)絡(luò)管理員掃描網(wǎng)絡(luò)時,才會被發(fā)現(xiàn)。Gartner公司的無線安全權(quán)威:John Girard曾在歐洲召開的一次安全大會上聲稱,要查找安全隱患,最簡單的辦法就是購買手持式"嗅探器",然后巡視本組織網(wǎng)絡(luò)的邊界。
據(jù)無線安全專家聲稱,要發(fā)現(xiàn)非法接入點、用戶站和漏洞,最好是全天候不間斷地監(jiān)控WLAN。不斷監(jiān)控可以實時發(fā)現(xiàn):非法接入點何時在何處首次出現(xiàn)、連接到哪個用戶、交換了多少數(shù)據(jù)、流量傳輸方向。Girard進(jìn)一步說,最安全的辦法就是另外安裝一套無線入侵檢測傳感器。
第二步:牢牢控制所有接入點和設(shè)備
WLAN安全的下一步涉及對WLAN實行邊界控制。應(yīng)當(dāng)部署個人代理軟件,以便向企業(yè)和用戶報告所有安全漏洞、執(zhí)行企業(yè)安全政策,從而保護(hù)每臺配備無線功能的便攜式電腦的安全。組織應(yīng)當(dāng)部署提供高級安全和管理功能的企業(yè)級接入點。
企業(yè)應(yīng)當(dāng)更改默認(rèn)的服務(wù)集標(biāo)識符(SSID)。SSID實際上就是每個接入點的名字。思科接入點的默認(rèn)SSID是tsunami;Linksys接入點的默認(rèn)SSID是linksys;而英特爾和Symbol接入點的默認(rèn)SSID是101。這些默認(rèn)的SSID無異于把易受攻擊的WLAN匯報給了黑客。應(yīng)當(dāng)把SSID改成對外人來說毫無意義的名字。名字平常的SSID只會叫黑客注意他們想要闖入的寶貴信息。
企業(yè)還應(yīng)當(dāng)配置接入點,禁用廣播模式。在廣播模式下,接入點會不斷廣播其SSID,作為搜尋哪些用戶站與之相連的信標(biāo)。如果關(guān)閉了這項默認(rèn)特性,用戶站必須知道SSID,才能連接到接入點。
大多數(shù)企業(yè)級接入點可以讓你根據(jù)對授權(quán)用戶站的媒體訪問控制(MAC)地址進(jìn)行過濾,以此限制哪些用戶站可以連接到接入點。盡管MAC地址過濾并非萬無一失,但這種方法對哪些用戶站可以連接到網(wǎng)絡(luò)提供了基本的控制功能。有些規(guī)模較大的企業(yè)所組建的比較復(fù)雜的WLAN允許上百個用戶站在接入點之間進(jìn)行漫游,這時它們可能需要遠(yuǎn)程驗證撥入用戶服務(wù)(RADIUS)服務(wù)器提供更復(fù)雜的過濾功能。
為了消除這種威脅:入侵者從連接速度大大降低的停車場或者樓上連接到你的WLAN,應(yīng)當(dāng)對接入點進(jìn)行配置,禁止比較低的連接速度。
第三步:加密和驗證――VPN
加密和驗證為WLAN提供了基本安全。不過,目前無懈可擊的加密和驗證標(biāo)準(zhǔn)還沒有出臺。2001年,研究人員和黑客向世人展示他們能夠破譯802.11 WLAN的標(biāo)準(zhǔn)加密方法:有線對等保密(WEP)。沒過多久,黑客就發(fā)布了WEPCrack這些免費軟件工具,這樣誰都可以用這些工具破譯這種加密方法,只要觀察網(wǎng)絡(luò)上足夠數(shù)量的流量,就能弄明白加密密鑰。
報告表明WEP及標(biāo)準(zhǔn)驗證存在漏洞之后,許多企業(yè)心灰意冷,不敢把WEP添加到部署的WLAN當(dāng)中。這樣一來,它們的網(wǎng)絡(luò)就完全暴露無遺。因為這些加密和驗證標(biāo)準(zhǔn)容易受到攻擊,所以應(yīng)當(dāng)部署更牢固的加密和驗證方法,利用無線虛擬專用網(wǎng)(VPN)和RADIUS服務(wù)器更加全面地保護(hù)WLAN的安全。VPN可以在接入點和網(wǎng)絡(luò)之間采用強驗證和強加密機制;而RADIUS系統(tǒng)可以用來管理驗證、記賬及對網(wǎng)絡(luò)資源的訪問。
雖然VPN被譽為是WLAN的安全解決方案,但單向驗證的VPN仍很容易被人鉆空子。部署在大組織的WLAN會帶來重大難題:需要把客戶軟件分發(fā)到所有客戶機,并加以維護(hù)。單向驗證的VPN也容易受到中間人攻擊(man-in-the-middle attack)及其他諸多的已知攻擊。雙向驗證的無線VPN可以提供強驗證,克服WEP的缺陷。
盡管存在上述漏洞,但加密和驗證仍是確保WLAN安全的必備要素。
第四步:制定及執(zhí)行WLAN政策
每個企業(yè)網(wǎng)絡(luò)都要有使用和安全方面的政策,WLAN同樣如此。雖然由于每個WLAN的安全和管理需求各不相同,政策也會隨之不同,但全面的政策(以及政策執(zhí)行)可以保護(hù)企業(yè)避免不必要的安全漏洞和性能衰退。
制訂WLAN政策應(yīng)當(dāng)從基本面入手:禁止未授權(quán)的接入點和特定網(wǎng)絡(luò),因為它們會避開網(wǎng)絡(luò)安全。由于許多安全特性是在接入點和用戶站上實現(xiàn)控制的,譬如啟用WEP或者VPN、SSID的廣播功能,所以相關(guān)政策要落實到位,禁止對接入點和WLAN卡重新配置,以免這些特性被更改。
如果制訂政策限制WLAN流量在指定信道上傳輸、連接速度為5.5Mbps和11Mbps、只可以在規(guī)定時間段訪問,就可以大大提高WLAN的安全。如果為每個接入點建立一個指定信道,其他信道上的所有流量就會被認(rèn)為是可疑活動。
制訂政策規(guī)定所有用戶站都以較高速度進(jìn)行連接,這可以保護(hù)WLAN,那樣在停車場或者鄰近辦公室的入侵者可能因為距離太遠(yuǎn),連接速度達(dá)不到5.5Mbps和11Mbps。如果制訂政策,把WLAN流量限制在特定的工作時間段,就可以保護(hù)WLAN,避免入侵者在停車場連接到網(wǎng)絡(luò)后,發(fā)動深夜攻擊,或者避免肆無忌憚的員工趁周圍沒人之機把敏感文件從有線網(wǎng)絡(luò)發(fā)送到無線網(wǎng)絡(luò)。
雖然政策不可或缺,但如果不加以執(zhí)行,就成了一紙空文。就像前面講到的有效發(fā)現(xiàn)網(wǎng)絡(luò)漏洞那樣,政策執(zhí)行也需要全天候不間斷地監(jiān)控WLAN。
第五步:入侵檢測和防護(hù)
安全管理人員依靠入侵檢測和入侵防護(hù)來確保:WLAN的所有部分都是安全的;免受無線威脅和攻擊。雖然許多組織已經(jīng)為有線網(wǎng)絡(luò)部署了入侵檢測系統(tǒng)(IDS),但只有專門針對WLAN的IDS才能保護(hù)你的網(wǎng)絡(luò),在流量到達(dá)有線網(wǎng)絡(luò)之前,防御無線攻擊。
最先進(jìn)的無線IDS包括實時監(jiān)控802.11a/b/g協(xié)議的功能。通過不斷監(jiān)控所有WLAN的攻擊特征、協(xié)議分析、統(tǒng)計異常和政策違反現(xiàn)象,組織就能夠查出針對WLAN的攻擊,包括MAC欺騙引起的身份失竊、中間人攻擊和拒絕服務(wù)攻擊;以及非工作時間的異常活動或者下載大容量文件引起的異常流量。
來源:CCW
- 1管理新型存儲系統(tǒng)的7點提示
- 2沈陽哪家公司做OA自動化辦公系統(tǒng)最好?
- 3信息的液態(tài)生存遐想
- 4讓應(yīng)用虛擬化
- 5信息技術(shù)應(yīng)用之Web服務(wù)最佳實踐之路
- 6防火墻的技術(shù)精粹
- 7ERP系統(tǒng)整合瓶頸之接口設(shè)計
- 8協(xié)鑫集團(tuán)CIO渠本強:知識管理驅(qū)動業(yè)務(wù)創(chuàng)新
- 9怎么樣利用VLAN擴(kuò)展企業(yè)網(wǎng)絡(luò)
- 10路由器中的管理間距和量度參數(shù)
- 11解析八種常見的ADSL斷流現(xiàn)象
- 12如何從體系結(jié)構(gòu)上避免DoS攻擊
- 13協(xié)作區(qū)在泛普OA軟件的應(yīng)用
- 14誰知道沈陽地區(qū)哪家的OA辦公系統(tǒng)專業(yè)度和服務(wù)都比較好嗎?
- 15泛普協(xié)同OA系統(tǒng)采用了開放的技術(shù)架構(gòu)
- 16流媒體服務(wù)器架設(shè)簡明攻略
- 17國外媒體評選2005年十大失敗技術(shù)
- 18計算機病毒的“罪與罰”
- 19VPN技術(shù)在電力系統(tǒng)中的應(yīng)用
- 20各種Linux版本簡析
- 212006年影響全球商業(yè)的技術(shù)是什么?
- 22所謂的集團(tuán)OA就是適合大型企業(yè)使用的OA辦公自動化系統(tǒng)
- 23為企業(yè)尋找反間諜助手
- 24信息安全催生完備可信的法律環(huán)境
- 25如何選擇復(fù)合型的網(wǎng)絡(luò)防火墻
- 26互聯(lián)網(wǎng)環(huán)境下決策支持系統(tǒng)的發(fā)展變遷
- 27信息安全:未來的五種攻擊手段
- 28信息安全風(fēng)險評估有據(jù)可依
- 29虛擬化簡化管理
- 30網(wǎng)絡(luò)安全:企業(yè)“終端壞死癥”的七個跡象
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓