![]("http://searchsmallbizit.techtarget.com.cn/imagelist/06/02/tbwl8l6ojslg.jpg")
SS公司的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)
這種狀況給公司的網(wǎng)絡(luò)管理員Morris帶來了不少困擾,雖然他清楚地知道公司的任何計算機設(shè)備都應(yīng)該被統(tǒng)一管理,但是SS從來是很少限制員工自由的。當(dāng)Morris還在思索如何與Jack以及公司的管理層交涉這個問題的時候,一場危機已經(jīng)在悄然發(fā)生了。之后的一個月里,公司參與的三宗投標(biāo)項目均告失敗,由于一直以來SS對自己的策劃案都具有很高的信心,像這樣直截了當(dāng)?shù)谋惶蕴屗腥硕几械椒浅C曰蟆9締恿艘磺欣械臋z查,以查找是不是競爭者從公司獲得了什么信息。
讓我們還是回到Morris這里,他首先按照網(wǎng)絡(luò)管理備案中的檢查表對環(huán)境進行了細致的分析和調(diào)查,憑借自己的直覺,Morris認(rèn)為公司的無線網(wǎng)絡(luò)是個很大的疑點。在最近的一些夜間聚會上,Morris一個在網(wǎng)絡(luò)安全公司供職的死黨Seven向他談起過一些無線安全方面的問題,所以他打電話和 Seven討論了事件的情況。在一個周六的下午,Seven和Morris在與Jack溝通之后,利用一些嗅探程序?qū)o線網(wǎng)絡(luò)進行了監(jiān)控。最后的結(jié)局很符合戲劇情節(jié),我們的英雄Seven和Morris逮到了入侵者,同樓層一家公司的員工在無意之中發(fā)現(xiàn)了SS的無線頻段,開始的時候他還只是借著SS的 Internet鏈路沖沖浪,但當(dāng)他發(fā)現(xiàn)可以無限制出入SS局域網(wǎng)的時候,整件事情就演變成了一場商業(yè)犯罪。
![]("http://searchsmallbizit.techtarget.com.cn/imagelist/06/02/qs31a4fqjz3u.jpg")
無線網(wǎng)絡(luò)的弱點
無線網(wǎng)絡(luò)安全解決辦法
這個案件反映了正統(tǒng)無線安全問題背后的一個隱憂,那就是即使公司沒有籌建自己的無線網(wǎng)絡(luò),無線網(wǎng)絡(luò)的安全問題仍有可能給公司造成威脅。該案件中的問題是因為員工私裝設(shè)備引起的,除了這種情況之外,還有一些情況可能更難以被察覺。由于無線信號利用空氣來傳播,所以無線設(shè)備能夠更好的被隱藏。在一個機柜紛亂的以太線纜背后隱蔽的插接一個AP是很容易辦到的,在疏于管理的環(huán)境下,甚至幾個月都不會被發(fā)現(xiàn)。在一些更大規(guī)模的企業(yè)中,這樣的漏洞可能很難被發(fā)現(xiàn),而在之后的某天,讓所有人目瞪口呆的災(zāi)難就會發(fā)生。
盡管基于802.11協(xié)議的無線網(wǎng)絡(luò)技術(shù)所存在的安全風(fēng)險一直讓人深感擔(dān)憂,但是我們并不能因此放棄努力。下面簡短地給出一些無線網(wǎng)絡(luò)實施的安全建議,這些建議大部分取自Morris后來實施無線安全的備忘錄。
掌控信號覆蓋范圍
部署了無線網(wǎng)絡(luò)之后,應(yīng)該用可移動的無線設(shè)備徹底的勘測信號覆蓋情況,并反映在公司的網(wǎng)絡(luò)拓?fù)鋱D里。由于無線信號是全向性的,所以某些情況下還需要到你的上層和下層查看一番。如果信號的覆蓋超過了公司的物理范圍,就必須做出相應(yīng)的處理,比如移動AP的位置,也可以像SS所做的那樣,以帶有屏蔽效果的材質(zhì)“裝飾”他們的外墻。另外要特別注意一點,隨著信號區(qū)域內(nèi)物體的移動,信號覆蓋范圍可能會發(fā)生變動,在標(biāo)記范圍的時候最好為那些可能對信號產(chǎn)生較大影響的物體做特別的標(biāo)注。而且某個地點在檢查時沒有信號不代表一小時之后信號不會泄漏到這里,所以在檢測到的覆蓋范圍上擴展5%的比例。
啟用無線設(shè)備的安全能力
保護無線網(wǎng)絡(luò)安全的最基礎(chǔ)手段是加密,通過簡單的設(shè)置AP和無線網(wǎng)卡等設(shè)備,就可以啟用WEP加密。雖然WEP加密本身存在一些漏洞并且比較脆弱,但是仍然可以給非法訪問設(shè)置不小的障礙。我們建議經(jīng)常對WEP密鑰進行更換,在有條件的情況下啟用獨立的認(rèn)證服務(wù)為WEP自動分配密鑰。另外一個必須注意的問題就是用于標(biāo)識每個無線網(wǎng)絡(luò)的SSID,在部署無線網(wǎng)絡(luò)的時候一定要將出廠時的缺省SSID更換為自定義的SSID。現(xiàn)在的AP大部分都支持屏蔽 SSID廣播,除非有特殊理由,否則應(yīng)該禁用SSID廣播,這樣可以減少無線網(wǎng)絡(luò)被發(fā)現(xiàn)的可能。
使用安全性高的部署方式
相對來說,將無線網(wǎng)絡(luò)配置成Ad-hoc(端對端互連)模式會在很大程度上增加管理負(fù)擔(dān)和安全風(fēng)險,盡可能使所有客戶端都通過AP連接。另外我們建議將AP放置在企業(yè)的安全防御設(shè)備之外,不要像SS公司最初那樣,將AP插接在局域網(wǎng)內(nèi)部,這樣對于慣常使用的邊界安全防御模式來說,近乎于為入侵者敞開了大門。正確的方法是將AP部署在防火墻之外,使經(jīng)過AP的訪問都受到防火墻的過濾。同時我們還可以利用防火墻及其它設(shè)施執(zhí)行地址綁定,阻止未被允許的地址訪問內(nèi)部網(wǎng)絡(luò)。
實施之外
面對高度動態(tài)變化的網(wǎng)絡(luò)環(huán)境,我們需要一直保持高度的警惕性。相對來說,無線網(wǎng)絡(luò)比有線網(wǎng)絡(luò)更需要啟用日常監(jiān)測手段以發(fā)現(xiàn)安全問題,如果沒有專門的設(shè)備,可以使用一些針對無線網(wǎng)絡(luò)環(huán)境的入侵檢測軟件。定期檢查、變更管理這些常務(wù)的安全工作也要認(rèn)真的執(zhí)行,因為沒有任何設(shè)施是天然安全的,只有在管理中對安全做出足夠的努力,才能獲得所期望的安全。
