2022年实况无线网络安全—简析无线安全实施策略.docx

2022年实况无线网络安全简析无线安全实施策略SS是一家有将近30名员工的策划公司，在一幢大厦的8层租用了超过300平方米的写字间。公司为每个员工配备了台式计算机，有许多员工还拥有自己的笔记本电脑。在最初的时候SS公司是没有无线网络的，但自从Jack在家里享受到无线上网的乐趣之后，这种技术正以一种微妙的方式在SS公司内部扩散开来。最初是Jack自己花钱在公司安置了一个无线访问点(AP)，随之而来的就是在短短一个月的时间里，公司员工的笔记本电脑上都多了一块无线网卡。SS公司的网络拓扑结构这种状况给公司的网络管理员Morris带来了不少困扰，虽然他清晰地知道公司的任何计算机设备都应当被统一管理，但是SS从来是很少限制员工自由的。当Morris还在思索如何与Jack以及公司的管理层交涉这个问题的时候，一场危机已经在悄然发生了。之后的一个月里，公司参加的三宗投标项目均告失败，由于始终以来SS对自己的策划案都具有很高的信念，像这样直截了当的被淘汰，让全部人都感到特别迷惑。公司启动了一切例行的检查，以查找是不是竞争者从公司获得了什么信息。让我们还是回到Morris这里，他首先根据网络管理备案中的检查表对环境进行了细致的分析和调查，凭借自己的直觉，Morris认为公司的无线网络是个很大的疑点。在最近的一些夜间聚会上，Morris一个在网络平安公司供职的死党Seven向他谈起过一些无线平安方面的问题，所以他打电话和 Seven探讨了事务的状况。在一个周六的下午，Seven和Morris在与Jack沟通之后，利用一些嗅探程序对无线网络进行了监控。最终的结局很符合戏剧情节，我们的英雄Seven和Morris逮到了入侵者，同楼层一家公司的员工在无意之中发觉了SS的无线频段，起先的时候他还只是借着SS的 Internet链路冲冲浪，但当他发觉可以无限制出入SS局域网的时候，整件事情就演化成了一场商业犯罪。无线网络的弱点无线网络平安解决方法这个案件反映了正统无线平安问题背后的一个隐忧，那就是即使公司没有筹建自己的无线网络，无线网络的平安问题仍有可能给公司造成威逼。该案件中的问题是因为员工私装设备引起的，除了这种状况之外，还有一些状况可能更难以被察觉。由于无线信号利用空气来传播，所以无线设备能够更好的被隐藏。在一个机柜纷乱的以太线缆背后隐藏的插接一个AP是很简单办到的，在疏于管理的环境下，甚至几个月都不会被发觉。在一些更大规模的企业中，这样的漏洞可能很难被发觉，而在之后的某天，让全部人目瞪口呆的灾难就会发生。尽管基于802.11协议的无线网络技术所存在的平安风险始终让人深感担忧，但是我们并不能因此放弃努力。下面简短地给出一些无线网络实施的平安建议，这些建议大部分取自Morris后来实施无线平安的备忘录。掌控信号覆盖范围部署了无线网络之后，应当用可移动的无线设备彻底的勘测信号覆盖状况，并反映在公司的网络拓扑图里。由于无线信号是全向性的，所以某些状况下还须要到你的上层和下层查看一番。假如信号的覆盖超过了公司的物理范围，就必需做出相应的处理，比如移动AP的位置，也可以像SS所做的那样，以带有屏蔽效果的材质“装饰”他们的外墙。另外要特殊留意一点，随着信号区域内物体的移动，信号覆盖范围可能会发生变动，在标记范围的时候最好为那些可能对信号产生较大影响的物体做特殊的标注。而且某个地点在检查时没有信号不代表一小时之后信号不会泄漏到这里，所以在检测到的覆盖范围上扩展5%的比例。启用无线设备的平安实力爱护无线网络平安的最基础手段是加密，通过简洁的设置AP和无线网卡等设备，就可以启用WEP加密。虽然WEP加密本身存在一些漏洞并且比较脆弱，但是仍旧可以给非法访问设置不小的障碍。我们建议常常对WEP密钥进行更换，在有条件的状况下启用独立的认证服务为WEP自动安排密钥。另外一个必需留意的问题就是用于标识每个无线网络的SSID，在部署无线网络的时候肯定要将出厂时的缺省SSID更换为自定义的SSID。现在的AP大部分都支持屏蔽 SSID广播，除非有特别理由，否则应当禁用SSID广播，这样可以削减无线网络被发觉的可能。运用平安性高的部署方式相对来说，将无线网络配置成Ad-hoc(端对端互连)模式会在很大程度上增加管理负担和平安风险，尽可能使全部客户端都通过AP连接。另外我们建议将AP放置在企业的平安防卫设备之外，不要像SS公司最初那样，将AP插接在局域网内部，这样对于惯常运用的边界平安防卫模式来说，近乎于为入侵者放开了大门。正确的方法是将AP部署在防火墙之外，使经过AP的访问都受到防火墙的过滤。同时我们还可以利用防火墙及其它设施执行地址绑定，阻挡未被允许的地址访问内部网络。实施之外面对高度动态改变的网络环境，我们须要始终保持高度的警惕性。相对来说，无线网络比有线网络更须要启用日常监测手段以发觉平安问题，假如没有特地的设备，可以运用一些针对无线网络环境的入侵检测软件。定期检查、变更管理这些常务的平安工作也要仔细的执行，因为没有任何设施是自然平安的，只有在管理中对平安做出足够的努力，才能获得所期望的平安。