近年来随着无线技术的发展,无线网络在企业中已得到了广泛的应用,无线网络技术让企业可以大幅扩展员工的计算机使用范围,尤其是对于从事医疗保健、业务工作或在工厂跑来跑去等等移动性高的员工来说更是如此。然而,由于无线网络特殊机理以及IEEE 802.11等无线安全加密认证机制本身的不完善,使得无线网络的安全性相对有线网络更为脆弱和敏感。无线网络安全也因此成为关注的焦点。企业无线网络安全是一个涉及多方面设置的综合问题,而且非常复杂。随着WEPWPA加密方式的相继告破,企业无线网络变得越来越不安全,对于***者来说只要能够接收到来自无线网络的无线通讯数据包就一定可以通过暴力破解的方法获得加密密钥,从而让企业无线网络不再安全。无线网络接入与有线网络最大的不同是,无线接入无需在企业的交换机或路由器等网络设备上插上网线,只要有无线网络信号,用户就可以接入企业的无线网络。无线路由器的设置口令、DHCP服务器、无线网络的SSID广播,这些都是无线网络存在的安全漏洞,无线网络传输要进行数据加密。企业要保证无线网络的安全,必须将无线路由器或无线AP等网络设备的默认密码更改掉,在设置无线网络设备的密码时最好使用字母和数字相混合的密码,密码位数至少12位,并且要定期更换密码。设置了无线上网加密之后,无线客户端必须凭密码才可以接入企业的无线网络。经过无线上网加密之后,***都将无法搜索到加密的无线网络信号,这样可以大大增加企业无线网络的安全性,建议使用WPA2PSK最高加密模式。另外,开启无线路由器的MAC地址绑定功能,在企业安全LIST中在MAC 地址才请允许访问企业无线网络资源。
为了安全,企业无线网络必须关闭无线路由器的SSID广播。SSIDService Set Identifier)是用来区分不同的网络,最多可以有32个字符,无线网卡设置了不同的SSID就可以进入不同网络,SSID通常由无线路由器广播出来,通过XP自带的扫描功能可以相看当前区域内的SSID。简单说,SSID就是一个局域网的名称,只有设置为名称相同SSID的值的电脑才能互相通信。无线路由器的DHCP服务也会暴露企业网络的一些信息,禁用DHCP服务,防止非法无线客户端就会从无线路由器中获得IP地址、子网掩码、DNS及网关等信息。通过无线数据sniffer工具还是可以截获被隐藏了SSID的信息。在实际应用过程中还存在与ESSID相对应的另外一种SSIDBSSID,他是一种特殊Ad-hocLAN的应用,称为BasicServiceSet(BSS)。一群计算机设定相同的BSS名称,即可自成一个groupBSSID是无法隐藏的。 简单的说BSSID无法隐藏,ESSID即使隐藏也能够被sniffer查出实际信息。更改SSID让企业无线安全上一台阶。由于无法从根本上隐藏SSID信息,通过巧妙设置来增大***者破解的难度即可。当用中文来设置SSID信息,这样由于中文字符的特殊性在sniffer会自动转换为相应字符,增加了这一步转换从而大大提升了无线数据被破解的难度,即使***者拿到了破解的字符信息也需要经过合理的逆转换来查看具体的中文SSID信息。
无线蜜罐技术是防***安全欺骗手段的一种,通过在系统中留有漏洞来诱使***者***,从而有效地收集和分析***所使用的***手段和行为,获得有价值的研究信息。经过分析无线环境中的***行为,***工具和手段,收集掌握***使用的***技术和策略,并最终实现主动防御,从根本上提高无线安全性具有着重要价值。无线网络布建的最主要困难是安全议题,尤其是对于那些必须处理特定产业敏感资料的公司来说尤其如此,像是美国的HIPAAGLB法案都规定某些特定型式的数据需要保持高度的安全性。 在布建无线网络之前,做好一个安全规划是十分必要的,然而适合小公司的安全措施,在大企业中就无法妥善运行。因此必须要规划出符合公司特有需求的安全计划,企业应该从以下几个安全因素考虑并制定相关措施:
身份认证:对于无线网络的认证可以是基于设备的,通过共享的WEP密钥来实现。它也可以是基于用户的,使用EAP来实现。无线EAP认证可以通过多种方式来实现,比如EAP-TLS EAP-TTLSLEAPPEAP。在无线网络中,设备认证和用户认证都应该实施,以确保最有效的网络安全性。用户认证信息应该通过安全隧道传输,从而保证用户认证信息交换是加密的。因此,对于所有的网络环境,如果设备支持,最好使用EAP-TTLSPEAP
访问控制:对于连接到无线网络用户的访问控制主要通过AAA服务器来实现。这种方式可以提供更好的可扩展性,有些访问控制服务器在802.1x的各安全端口上提供了机器认证,在这种环境下,只有当用户成功通过802.1x规定端口的识别后才能进行端口访问。此外还可以利用SSIDMAC地址过滤。服务集标志符(SSID)是目前无线访问点采用的识别字符串,该标志符一般由设备制造商设定,每种标识符都使用默认短语,如101 即指3COM 设备的标志符。倘若***得知了这种口令短语,即使没经授权,也很容易使用这个无线服务。对于设置的各无线访问点来说,应该选个独一无二且很难让人猜中的SSID并且禁止通过天线向外界广播这个标志符。由于每个无线工作站的网卡都有唯一的物理地址,所以用户可以设置访问点,维护一组允许的MAC 地址列表,实现物理地址过滤。这要求AP 中的MAC 地址列表必须随时更新,可扩展性差,无法实现机器在不同AP 之间的漫游;而且MAC 地址在理论上可以伪造,因此,这也是较低级的授权认证。但它是阻止非法访问无线网络的一种理想方式,能有效保护网络安全。
完整性:通过使用WEPTKIP,无线网络提供数据包原始完整性。有线等效保密协议是由802.11 标准定义的,用于在无线局域网中保护链路层数据。WEP 使用40 位钥匙,采用RSA 开发的RC4 对称加密算法,在链路层加密数据。WEP 加密采用静态的保密密钥,各无线工作站使用相同的密钥访问无线网络。WEP 也提供认证功能,当加密机制功能启用,客户端要尝试连接上AP时,AP 会发出一个Challenge Packet 给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,如果正确无误,才能获准存取网络的资源。现在的WEP也一般支持128 位的钥匙,能够提供更高等级的安全加密。在IEEE 802.11i规范中,TKIP负责处理无线安全问题的加密部分。TKIP在设计时考虑了当时非常苛刻的限制因素:必须在现有硬件上运行,因此不能使用计算先进的加密算法。TKIP是包裹在已有WEP密码外围的一层“外壳”,它由WEP使用的同样的加密引擎和RC4算法组成。TKIP中密码使用的密钥长度为128位,这解决了WEP的密钥长度过短的问题。
机密性:保证数据的机密性可以通过WEPTKIP×××来实现。前面已经提及,WEP提供了机密性,但是这种算法很容易被破解。而TKIP使用了更强的加密规则,可以提供更好的机密性。另外,在一些实际应用中可能会考虑使用IPSec ESP来提供一个安全的×××隧道。×××(Virtual Private Network,虚拟专用网络) 是在现有网络上组建的虚拟的、加密的网络。×××主要采用4项安全保障技术来保证网络安全,这4项技术分别是隧道技术、密钥管理技术、访问控制技术、身份认证技术。实现WLAN安全存取的层面和途径有多种。而×××IPSec(Internet Protocol Security) 协议是目前In- ternet通信中最完整的一种网络安全技术,利用它建立起来的隧道具有更好的安全性和可靠性。无线客户端需要启用IPSec,并在客户端和一个×××集中器之间建立IPSec传输模式的隧道。
可用性:无线网络有着与其它网络相同的需要,这就是要求最少的停机时间。不管是由于DOS***还是设备故障,无线基础设施中的关键部分仍然要能够提供无线客户端的访问。保证这项功能所花费资源的多少主要取决于保证无线网络访问正常运行的重要性。在机场或者咖啡厅等场合,不能给用户提供无线访问只会给用户带来不便而已。而一些公司越来越依赖于无线访问进行商业运作,这就需要通过多个AP来实现漫游、负载均衡和热备份。当一个客户端试图与某个特定的AP通讯,而认证服务器不能提供服务时也会产生可用性问题。这可能是由于拥塞的连接阻碍了认证交换的数据包,建议赋予该数据包更高的优先级以提供更好的QoS。另外应该设置本地认证作为备用,可以在AAA服务器不能提供服务时对无线客户端进行认证。
审计:审计工作是确定无线网络配置是否适当的必要步骤。如果对通信数据进行了加密,则不要只依赖设备计数器来显示通信数据正在被加密。就像在×××网络中一样,应该在网络中使用通信分析器来检查通信的机密性,并保证任何有意无意嗅探网络的用户不能看到通信的内容。为了实现对网络的审计,需要一整套方法来配置、收集、存储和检索网络中所有AP及网桥的信息。无线网络实际上是对远程访问×××的扩展,在无线网络中,用户成功通过认证后,可以从RADIUS服务器获得特定的网络访问模块,并从中分配到用户的IP。在无线用户连接到交换机并访问企业网络前,802.1xEAP提供对无线设备和用户的认证。另外,如果需要加密数据,应在无线客户端和×××集中器之间使用IPsec。小型网络也许仅采用WEPAP和无线客户端之间的信息进行加密,而IPSec提供了更优越的解决方案。
小型公司一般预算有限,无线网络的安全关键是正确的设定。使用固定IP位置,在路由器端或WAP端关闭DHCP,让未经取可的使用者无法轻易得到一个可以使用的IP位置。将无线接取点的涵盖范围尽可能缩小,暂时不需要使用无线网络时,将WAP关闭。使用无线网络保护访问(WPA)来进行加密动作。
大型组织的无线网络安全是通过建立一个POLICY来防止未经设定的无线接取点的出现,同时要定期监测追踪,确保这个政策能够得到贯彻执行。建立一个无线网络规划,来符合公司的需求是很重要的,随着公司与安全预算的成长,企业可以加入更多更复杂的安全机制。使用防火墙分隔把公司一或多个无线网络分开,或考虑在DMZ或周边网络内布建无线存取网络,这样就算无线客户端被破解,***者还是无法***有线网络,同时要求无线网络上的使用者在连接有线网络的时候使用×××。使用IDS或响应传感器来监控无线网络上的所有联机。使用网络访问保护来管理无线客户端,这样可以在计算机使用网络前,确认无线客户端有正确设定。进行无线网络的穿透测试,来评估无线网络的安全威胁,进而加以解决。