企業無線網路安全應用解決方案
近年來隨著無線技術的發展,無線網路在企業中已得到了廣泛的應用,無線網路技術讓企業可以大幅擴充套件員工的計算機使用範圍,尤其是對於從事醫療保健、業務工作或在工廠跑來跑去等等移動性高的員工來說更是如此。然而,由於無線網路特殊機理以及IEEE 802.11等無線安全加密認證機制本身的不完善,使得無線網路的安全性相對有線網路更為脆弱和敏感。無線網路安全也因此成為關注的焦點。企業無線網路安全是一個涉及多方面設定的綜合問題,而且非常複雜。隨著WEP與WPA加密方式的相繼告破,企業無線網路變得越來越不安全,對於入侵者來說只要能夠接收到來自無線網路的無線通訊資料包就一定可以通過暴力破解的方法獲得加密金鑰,從而讓企業無線網路不再安全。無線網路接入與有線網路最大的不同是,無線接入無需在企業的交換機或路由器等網路裝置上插上網線,只要有無線網路訊號,使用者就可以接入企業的無線網路。無線路由器的設定口令、DHCP伺服器、無線網路的SSID廣播,這些都是無線網路存在的安全漏洞,無線網路傳輸要進行資料加密。企業要保證無線網路的安全,必須將無線路由器或無線AP等網路裝置的預設密碼更改掉,在設定無線網路裝置的密碼時最好使用字母和數字相混合的密碼,密碼位數至少12位,並且要定期更換密碼。設定了無線上網加密之後,無線客戶端必須憑密碼才可以接入企業的無線網路。經過無線上網加密之後,入侵都將無法搜尋到加密的無線網路訊號,這樣可以大大增加企業無線網路的安全性,建議使用WPA2-PSK最高加密模式。另外,開啟無線路由器的MAC地址繫結功能,在企業安全LIST中在MAC 地址才請允許訪問企業無線網路資源。
為了安全,企業無線網路必須關閉無線路由器的SSID廣播。SSID(Service Set Identifier)是用來區分不同的網路,最多可以有32個字元,無線網路卡設定了不同的SSID就可以進入不同網路,SSID通常由無線路由器廣播出來,通過XP自帶的掃描功能可以相看當前區域內的SSID。簡單說,SSID就是一個區域網的名稱,只有設定為名稱相同SSID的值的電腦才能互相通訊。無線路由器的DHCP服務也會暴露企業網路的一些資訊,禁用DHCP服務,防止非法無線客戶端就會從無線路由器中獲得IP地址、子網掩碼、DNS及閘道器等資訊。通過無線資料sniffer工具還是可以截獲被隱藏了SSID的資訊。在實際應用過程中還存在與ESSID相對應的另外一種SSID是BSSID,他是一種特殊Ad-hocLAN的應用,稱為BasicServiceSet(BSS)。一群計算機設定相同的BSS名稱,即可自成一個group,BSSID是無法隱藏的。 簡單的說BSSID無法隱藏,ESSID即使隱藏也能夠被sniffer查出實際資訊。更改SSID讓企業無線安全上一臺階。由於無法從根本上隱藏SSID資訊,通過巧妙設定來增大入侵者破解的難度即可。當用中文來設定SSID資訊,這樣由於中文字元的特殊性在sniffer會自動轉換為相應字元,增加了這一步轉換從而大大提升了無線資料被破解的難度,即使入侵者拿到了破解的字元資訊也需要經過合理的逆轉換來檢視具體的中文SSID資訊。
無線蜜罐技術是防黑客安全欺騙手段的一種,通過在系統中留有漏洞來誘使入侵者入侵,從而有效地收集和分析黑客所使用的攻擊手段和行為,獲得有價值的研究資訊。經過分析無線環境中的黑客行為,攻擊工具和手段,收集掌握黑客使用的攻擊技術和策略,並最終實現主動防禦,從根本上提高無線安全性具有著重要價值。無線網路布建的最主要困難是安全議題,尤其是對於那些必須處理特定產業敏感資料的公司來說尤其如此,像是美國的HIPAA與GLB法案都規定某些特定型式的資料需要保持高度的安全性。 在布建無線網路之前,做好一個安全規劃是十分必要的,然而適合小公司的安全措施,在大企業中就無法妥善執行。因此必須要規劃出符合公司特有需求的安全計劃,企業應該從以下幾個安全因素考慮並制定相關措施:
身份認證:對於無線網路的認證可以是基於裝置的,通過共享的WEP金鑰來實現。它也可以是基於使用者的,使用EAP來實現。無線EAP認證可以通過多種方式來實現,比如EAP-TLS、 EAP-TTLS、LEAP和PEAP。在無線網路中,裝置認證和使用者認證都應該實施,以確保最有效的網路安全性。使用者認證資訊應該通過安全隧道傳輸,從而保證使用者認證資訊交換是加密的。因此,對於所有的網路環境,如果裝置支援,最好使用EAP-TTLS或PEAP。
訪問控制:對於連線到無線網路使用者的訪問控制主要通過AAA伺服器來實現。這種方式可以提供更好的可擴充套件性,有些訪問控制伺服器在802.1x的各安全埠上提供了機器認證,在這種環境下,只有當使用者成功通過802.1x規定埠的識別後才能進行埠訪問。此外還可以利用SSID和MAC地址過濾。服務集標誌符(SSID)是目前無線訪問點採用的識別字串,該標誌符一般由裝置製造商設定,每種識別符號都使用預設短語,如101 即指3COM 裝置的標誌符。倘若黑客得知了這種口令短語,即使沒經授權,也很容易使用這個無線服務。對於設定的各無線訪問點來說,應該選個獨一無二且很難讓人猜中的SSID並且禁止通過天線向外界廣播這個標誌符。由於每個無線工作站的網路卡都有唯一的實體地址,所以使用者可以設定訪問點,維護一組允許的MAC 地址列表,實現實體地址過濾。這要求AP 中的MAC 地址列表必須隨時更新,可擴充套件性差,無法實現機器在不同AP 之間的漫遊;而且MAC 地址在理論上可以偽造,因此,這也是較低階的授權認證。但它是阻止非法訪問無線網路的一種理想方式,能有效保護網路安全。
完整性:通過使用WEP或TKIP,無線網路提供資料包原始完整性。有線等效保密協議是由802.11 標準定義的,用於在無線區域網中保護鏈路層資料。WEP 使用40 位鑰匙,採用RSA 開發的RC4 對稱加密演算法,在鏈路層加密資料。WEP 加密採用靜態的保密金鑰,各無線工作站使用相同的金鑰訪問無線網路。WEP 也提供認證功能,當加密機制功能啟用,客戶端要嘗試連線上AP時,AP 會發出一個Challenge Packet 給客戶端,客戶端再利用共享金鑰將此值加密後送回存取點以進行認證比對,如果正確無誤,才能獲准存取網路的資源。現在的WEP也一般支援128 位的鑰匙,能夠提供更高等級的安全加密。在IEEE 802.11i規範中,TKIP負責處理無線安全問題的加密部分。TKIP在設計時考慮了當時非常苛刻的限制因素:必須在現有硬體上執行,因此不能使用計算先進的加密演算法。TKIP是包裹在已有WEP密碼外圍的一層“外殼”,它由WEP使用的同樣的加密引擎和RC4演算法組成。TKIP中密碼使用的金鑰長度為128位,這解決了WEP的金鑰長度過短的問題。
機密性:保證資料的機密性可以通過WEP、TKIP或VPN來實現。前面已經提及,WEP提供了機密性,但是這種演算法很容易被破解。而TKIP使用了更強的加密規則,可以提供更好的機密性。另外,在一些實際應用中可能會考慮使用IPSec ESP來提供一個安全的VPN隧道。VPN(Virtual Private Network,虛擬專用網路) 是在現有網路上組建的虛擬的、加密的網路。VPN主要採用4項安全保障技術來保證網路安全,這4項技術分別是隧道技術、金鑰管理技術、訪問控制技術、身份認證技術。實現WLAN安全存取的層面和途徑有多種。而VPN的IPSec(Internet Protocol Security) 協議是目前In- ternet通訊中最完整的一種網路安全技術,利用它建立起來的隧道具有更好的安全性和可靠性。無線客戶端需要啟用IPSec,並在客戶端和一個VPN集中器之間建立IPSec傳輸模式的隧道。
可用性:無線網路有著與其它網路相同的需要,這就是要求最少的停機時間。不管是由於DOS攻擊還是裝置故障,無線基礎設施中的關鍵部分仍然要能夠提供無線客戶端的訪問。保證這項功能所花費資源的多少主要取決於保證無線網路訪問正常執行的重要性。在機場或者咖啡廳等場合,不能給使用者提供無線訪問只會給使用者帶來不便而已。而一些公司越來越依賴於無線訪問進行商業運作,這就需要通過多個AP來實現漫遊、負載均衡和熱備份。當一個客戶端試圖與某個特定的AP通訊,而認證伺服器不能提供服務時也會產生可用性問題。這可能是由於擁塞的連線阻礙了認證交換的資料包,建議賦予該資料包更高的優先順序以提供更好的QoS。另外應該設定本地認證作為備用,可以在AAA伺服器不能提供服務時對無線客戶端進行認證。
審計:審計工作是確定無線網路配置是否適當的必要步驟。如果對通訊資料進行了加密,則不要只依賴裝置計數器來顯示通訊資料正在被加密。就像在VPN網路中一樣,應該在網路中使用通訊分析器來檢查通訊的機密性,並保證任何有意無意嗅探網路的使用者不能看到通訊的內容。為了實現對網路的審計,需要一整套方法來配置、收集、儲存和檢索網路中所有AP及網橋的資訊。無線網路實際上是對遠端訪問VPN的擴充套件,在無線網路中,使用者成功通過認證後,可以從RADIUS伺服器獲得特定的網路訪問模組,並從中分配到使用者的IP。在無線使用者連線到交換機並訪問企業網路前,802.1x和EAP提供對無線裝置和使用者的認證。另外,如果需要加密資料,應在無線客戶端和VPN集中器之間使用IPsec。小型網路也許僅採用WEP對AP和無線客戶端之間的資訊進行加密,而IPSec提供了更優越的解決方案。
小型公司一般預算有限,無線網路的安全關鍵是正確的設定。使用固定IP位置,在路由器端或WAP端關閉DHCP,讓未經取可的使用者無法輕易得到一個可以使用的IP位置。將無線接取點的涵蓋範圍儘可能縮小,暫時不需要使用無線網路時,將WAP關閉。使用無線網路保護訪問(WPA)來進行加密動作。
大型組織的無線網路安全是通過建立一個POLICY來防止未經設定的無線接取點的出現,同時要定期監測追蹤,確保這個政策能夠得到貫徹執行。建立一個無線網路規劃,來符合公司的需求是很重要的,隨著公司與安全預算的成長,企業可以加入更多更復雜的安全機制。使用防火牆分隔把公司一或多個無線網路分開,或考慮在DMZ或周邊網路內布建無線存取網路,這樣就算無線客戶端被破解,入侵者還是無法攻擊有線網路,同時要求無線網路上的使用者在連線有線網路的時候使用VPN。使用IDS或響應感測器來監控無線網路上的所有聯機。使用網路訪問保護來管理無線客戶端,這樣可以在計算機使用網路前,確認無線客戶端有正確設定。進行無線網路的穿透測試,來評估無線網路的安全威脅,進而加以解決。
本文轉自 zhaiken 51CTO部落格,原文連結:http://blog.51cto.com/zhaiken/487057,如需轉載請自行聯絡原作者
相關文章
- 企業無線覆蓋,企業無線網路,辦公無線區域網方案
- 江民KV網路版企業網路安全解決方案(轉)
- 企業辦公wifi提高網路安全解決方案WiFi
- 企業WIFI安全應用方案WiFi
- 網際網路公司無線覆蓋解決方案
- 阿里雲企業級雲網路解決方案,助力企業構建安全可靠的雲網路阿里
- 企業wifi無線覆蓋解決方案怎樣呀WiFi
- 中小企業辦公樓無線覆蓋解決方案
- ios 企業應用"無法安裝應用程式 因為證書無效"的解決方案iOS
- 企業網路視訊會議室解決方案
- 網路安全控制網管解決方案
- 企業圖紙無紙化,企業圖紙安全使用和傳輸解決方案
- 學校有線與無線一體化網路解決方案
- 華為雲網站安全解決方案:全面保障企業網路安全,助力業務穩定高效執行網站
- 辦公室無線覆蓋方案解決網路死角難題
- 辦公無線網路建設設計解決方案
- 中小企業部網解決方案
- 10個企業網路安全建議,解決99%的網路安全問題
- 思科卓越無線解決方案助力中小企業創新發展
- 淺談工業網際網路,從應用領域到解決方案
- 專線廣域網安全解決方案
- 華為雲網站安全解決方案:中小型企業的IT安全利器網站
- 華為雲網站安全解決方案:讓企業上雲後無憂開展網站業務網站
- 組網例項:無線區域網WLAN企業應用(轉)
- 雲安全解決方案|讓企業用上安全的雲
- 保護企業網站安全,華為雲網站安全解決方案有絕招網站
- 中國企業如何應對網路安全
- 大型演唱會無線wifi網路覆蓋解決方案WiFi
- 企業網站的全能保鏢——華為雲網站安全解決方案網站
- F5新型資料中心防火牆解決方案——一鍵解決企業網路安全問題防火牆
- 企業IT監控網管解決方案
- 為小微企業解決80%網路安全風險?上海保險業推出普惠版網路安全保險!
- 網路安全解決方案與智慧城市
- 企業網際網路應用高效能解決之道
- 無線微波裝置網管解決方案
- Kaa工業物聯網企業解決方案
- 儲存網路在企業應用中的安全隱患
- Windows XP 無線網路安全精解(轉)Windows