无线网络技术已经让企业可以大幅度的扩展PC利用度——特别是对那些流动性很高的雇员来说,比如保健行业,销售人员以及制造业,等等。实际上,在过去的时间里,我们已经讲述过如何部署*个具有弹性的无线局域网(WLAN),从而接入笔记本电脑,手持电脑,以及所在位置难以部署网线的桌面电脑。
但在部署无线网络方面*主要的障碍却是安全问题,特别对那些要处理大量敏感信息的企业,或者隶属特定行业,特定种类数据的机密性受诸如HIPAA和GLB等法律管辖的企业来说,更是如此。
在部署*个WLAN之前就事*制定好*个安全策略是非常基本的*点,但是适合于小公司的安全措施却未必适合于大企业。你需要切实留意自己公司的独特需求,并以此来发展自己的安全规划。
无线安全问题
因为无线传输是通过开放的无线电波进行,所以相对于有线网络上的数据来说,更容易受到侦听或破坏。并且,如果你的网络没有受到正确保护的话,未经授权的“驱动”或者范围内的其他人则可以:
- 盗用你的互联网带宽,免费使用网络的同时大幅拖慢你的合法用户上网速度
- 使用你的网络作为实施攻击的跳板,或进行*些非法行为,比如下载和分发盗版软件,盗版音乐,色情图片等。
- 察看,拷贝,修改或删除无线网络(以及有线网络)中电脑上的文件
- 使用病毒,木马,蠕虫,间谍程序,以及其他恶意软件感染你的系统
- 通过瘫痪网络上的工作站(以及服务器),导致拒绝服务,或对网络造成过载,以致合法用户根本无法正常使用网络
小企业(以及小预算)的无线安全
小公司的预算常常都很少,在很多情况下意味着没有全职的IT雇员,也没钱雇佣*个安全顾问来协助你正确建立无线局域网。好消息是,你无需花费大量金钱就可以让你的无线局域网变得安全的多,而不仅仅是*个“裸网”。在这*点上,正确的网络配置是关键。
任何*个安全计划的目的都在于阻止潜在的入侵者,或者拖慢攻击者的速度,加大攻击的难度,以及(或者)增加他们被捕获的机会。竖起防护围墙,锁定大门,在院子中挖上陷阱,在窗户上和门上安装防盗锁,并在家里和办公室安装警报系统,这些措施并不能就此保证盗贼不会进来——实际上*个专业人员肯定可以破解所有上述这些措施——但是你的确给他增加了很多麻烦。这意味着偶然起意的入侵者更大可能会放弃你家,而转去下*家更容易的地方。
*般而言,互联网黑客们更喜欢使用更简单的方法,正像那些过时的老贼们*样。所以你在入侵者道路上每多放*个障碍,就意味着他放弃你这里而转向攻击其他更容易目标的可能就多增加*分。尤其是现在有如此之多无线网络毫不设防的时候,这*点就特别明显。
某些安全专家会告诉你,*些常常被提到的推荐措施,比如修改默认的SSID,关闭SSID广播功能,以及启用MAC过滤等,都是不值当的,因为攻击者有很多办法绕过去。这听起来有点像告诉你说,如果你的门上仅仅安装了*个很容易被撬的廉价锁的话,那你就根本不用锁门了。这些手段当然绝不能成为你所依赖安全策略的全部,但是每多延缓入侵者*点,就为入侵者们多增加了*点入侵的难度,所以这些手段显然应当成为你安全策略的*部分。
小公司能在*个廉价无线AP(WAP,Wireless Access Point)上所部署的其他廉价(或无需成本)安全措施有:
- 使用静态IP地址,并关闭路由器或WAP上的DHCP服务,这样*个未经授权的人就无法轻易获得*个有效的IP地址。
- 配置AP以*小化其范围,这样*个入侵者将不得不去寻找和使用*个高分辨率天线,才能获取相应信号,这会让他很麻烦
- 如果暂时不需要使用无线功能时就关闭无线AP。*些小企业可能只是偶尔需要使用无线网络,比如合作伙伴或者旅行雇员带着笔记本来了你的办公室中。
- 当然,加密是你*应当采取的无成本安全措施。确保使用WPA(Wi-fi Protected Access)加密,而不是WEP(Wired Equivalent Privacy)加密,因为后者的加密强度很弱,更容易被击破。你可能需要升*你的无线AP以及无线网卡才能使用WPA,但是这个代价是值得的。如果你的操作系统不是*新的,可能还需要单独安装WPA客户端软件,但是安装*新的Windows XP系统补丁包,或者切换到Windows Vista(两者都提供了更多安全方面的好处),可以让你获得对WPA的支持。
大企业的无线安全
当你的公司不断扩张时,限制无线网的使用就越发重要。制定策略防止AP盗用是非常必要的,并且要定期的监控它们。但仅仅有了好的策略还不够;你同时还需要增加部分预算来执行这些策略。
使用防火墙来隔离你的无线局域网;考虑将无线连接放入*个DMZ或者周边网络之中,*旦无线客户端安全受到威胁,入侵者无法攻击整个无线网络;要求无线局域网的用户使用VPN来连接无线网络。
使用IDS和响应传感器来监控无线网络上的所有流量。使用网络存取保护来管理无线客户端,并确保它们在被允许上网之前已经得到了正确的配置。
对你的无线网络进行渗透测试,以发现安全漏洞,并解决这些漏洞。
总结
无线网络可以让你做起生意来更加容易,但是它也会让那些入侵者更加容易的完成他们黑暗的勾当。根据公司的需要制定*个无线安全策略是很重要的,当公司和预算都在不断增长时,可以在建立更加完善的安全机制上投入更多资金。