摘 要:中小企业在部署无线网络和移动办公时,需要采取哪些安全保障措施呢?通常来说,采取高安全性的无线网络接入验证手段,部署无线入侵防御系统,利用加密技术对通过无线网络传输的数据进行保护,实施无线安全策略以及对移动终端进行统一管理和安全管控等措施,有助于帮助中小企业用户实现无线安全防护的目标。
关键词:无线局域网 网络安全 入侵防护策略
随着信息技术的不断进步和无线网络技术的飞速发展,越来越多的企业选择进行内务无线网络建设。无线网络建设具有安装方便,其性价比高,成本较低等特点受到越来越多的企业使用。然而2015年3月15日,央视一套315晚会首次将无线网络安全作为重要议题,向社会大众揭秘网络安全黑洞。现场观众刚刚拍摄分享到朋友圈的照片和手机绑定的邮箱密码就全部出现在了舞台的大屏幕上。由此可见,安全风险在广大移动终端用户身边是一直存在的。对于那些希望部署无线网络的企业来说,无线安全是至关重要的。
一、无线局域网存在的安全隐患
1.IEEE 802.11标准本身的安全问题。由于无线网络是借助空间进行传播的,因此无线网具有开放性特征。与有线网络相比,无线网的开放性使得WLAN的设计方案一方面容易受到传统TCP/IP架构的有线网络方式的攻击,另一方面本身设计也存在不同程度的缺陷,进而在一定程度上容易遭受攻击,由于缺少密钥管理,在这种情况下,通过IEEE 802.11标准本身的漏洞也能够攻击无线局域网。
2.IPSec的安全脆弱性。IPSec是基于IP的安全协议,其目标是通过适当的安全机制提供安全服务,例如确保数据的机密性、完整性,对访问进行控制等,进而在一定程度上确保端到端IP数据传输的安全性。但是IPSec并不是专门为WLAN应用而设计的,它保护的仅仅是网络层和更高层的协议,顾及不到数据链路层。
3.非法介入无线局域网。电磁波是无线局域网传播的载体,在一个无线接入点所覆盖的区域中,包括未授权的用户都可以接收到无线信息。所以必须将网络安全措施应用到无线局域网中,进而对非法授权用户访问无线局域网进行有效的阻止。
4.非法外联。企业内部员工终端私自安装无线热点或360WIFI,会造成更大的安全隐患。在IT管理人员无法察觉的情况下,非法WLAN AP可以将企业无线网络直接暴露给互联网,进一步降低了企业无线网络的安全性。
二、无线网络安全防范措施
1.科学设置密钥。对于黑客来说,在攻击计算机的过程中,只要能够确保无线路由器/中继器的有效性,那么访问该无线网络的机会就会非常大,一旦该内部网络被黑客访问,那么对黑客来说,该网络中所有传输的数据都将是透明的,根本没有安全可言。如果这些传输的数据没有经过加密处理,在这种情况下,借助一些数据包嗅探工具,黑客就可以完成相应的抓包、分析、窥探等操作,进一步窃取传输的数据信息。但是,如果对传输的数据信息开启无线网络加密处理,即使黑客能够窃取无线网络上传输的数据信息,那么解读被截取的数据信心也没那么容易。
2.禁止SSID广播。在无线网络中,对于无线设备来说,SSID广播这是一项重要的功能。无线设备通过开启SSID广播,在一定程度上可以方便无线网络客户端接收相应的SSID号,进而借助SSID号与无线网络进行连接,通常情况下,这个功能存在安全隐患,好比为进入该网络的黑客自动地打开门。SSID广播的这项功能,对于任何组织单位来说,没有必要开启,如果需要连接网络,我们可以将统一的SSID标识符告诉他们,通过手工的方式就可以直接输入建立连接。
3.设置MAC地址过滤+IP绑定认证策略。基于 MAC 地址,为 AP 设置相应的访问控制表,确保进入网络的设备是经过注册的。但是,在实践活动中,在传输MAC地址时,由于没有进行加密处理,对于黑客来说,只要对网络上传输的数据包进行相应的探测、监控,那么就可以知道列表上的MAC地址信息。所以,MAC地址过滤只能对付级别较低的黑客。
4.启用无线通信隔离功能。一般人会觉得无线网络入侵就是占用网络的资源,这种想法是不正确的,如果是有商业利益,那么黑客通过对传输数据进行窃听、截取,甚至是篡改,进而进行非法交易,通常情况下,这个损失是非常巨大的。而采用了无线通信隔离后,即使黑客接入无线后也无法探测到其它任何设备,而唯一可以尝试登陆专业路由器或防火墙,而网关设备我们又限制了登陆的IP地址,让非法用户基本没有机会非法登录了。
5.对网络行为进行准确识别,限制与工作无关的网络应用。企业的网络管理难度的不断增加,在上班的时候,很多企业员工经常进行一些与工作无关的网络行为,例如QQ、MSN、下载电影等,这不仅影响了公司网络的速度,更加影响了网络的安全。所以不仅要制定相应的网络管理制度,更需要网络行为管理设备对用户的上网行为进行管理,禁止远程、BT等行为。
三、优化无线网络,提升网络可靠性
1.移动终端通过AC控制器进行统一管理和安全管控。传统网络环境的安全防护重点对象始终是主机和服务器。而随着智能终端硬件的快速发展,智能终端正在成为中小企业进行网络业务的主要工具,由此受到的安全威胁也在逐渐增大当中。为此,保护移动终端的安全自然而然地成为了一项重要议题,各个安全厂商也在纷纷提供自己的移动终端安全解决方案,做到有线网络无线网络结合管理。有线和无线用户管理策略联动,同一个管理后台统一管理,运维工作量减少一半,管理更加轻松和灵活。如TL-AC100是TP-LINK针对酒店、企业、学校、商场、餐厅等环境无线覆盖无线控制器,可以统一管理无线AP系列,具有自动发现、状态监控、统一配置、统一升级、并统一管理所有AP等多种措施来保障无线网络安全。
2.无线设备选点很重要,尽量实现无缝切换。在无线网络中,终端必须通过“最近”的AP。因此,当移动MT时,必须对附近的AP进行随时的检测,与当前AP相比,一旦发现其它AP传输性能更好,在这种情况下就请求切换。切换之后,所有已经建立的链接将转移到新的AP之上,在切换过程中,不会中断通信。为了便于无线信号的无缝快速自动切换,无线网络统一采取相同的SSID和连接密码,同时合理科学布局无线AP接入点也显得尤为重要了。
3.适当调节设备的无线功率,保障设备不超负荷运转。由于无线终端自动连接和移动突发性,为了保证无线AP的相对稳定性,建议限制每个无线AP允许终端接入的数量,当达到上限时,AP自动拒绝新终端的加入,同时设置AP在网络空闲时(如凌晨5点)自动重启归零。
4.无线设备多用AP模式,少用路由模式。無线AP主要是提供无线工作站对有线局域网的访问,在访问接入点覆盖范围内的无线工作站可以通过它进行相互通信。无线AP相当于一个无线交换机,接在有线交换机或路由器上,对于管理员来说是无线网络是透明的,可以随时动态掌握整个无线局域网的工作状态和设备接入情况。同时降低了无线设备的负担,将路由转发功能转移到核心网关设备上。
5.尽量将无线网络与现有主干网络在网关层面上进行物理隔离。无线网络相对来说有线网络更容易入侵,若两个网络分离后可以相对保证业务主干网络不受无线网络的任何影响。
四、结语
安全问题始终是中小企业移动化过程中面临的首要挑战,只有提高了安全性,使数据安全有了保障,用户才会放心地使用无线网络。值得肯定的是,无论是广大用户对安全知识的了解程度,还是安全厂商提供的无线安全解决方案,都在不断进步当中,广大中小企业用户正在逐渐实现安全的无线网络所带来的各种便利。
参考文献:
[1]马逵.无线局域网安全认证的关键技术——802.1X认证系统的研究与实现[D].东南大学,2004-03-01.
[2]耶健,邵晶,阎晓弟.WLAN安全与网管技术在大学图书馆无线局域网的应用[J].现代图书情报技术,2006(07).
[3]雷鸣,国蓉,王泽民.无线局域网的一种新的安全方案的研究与实现[J].西安工业大学学报,2006(05).
