中小企业对无线需不同安全策略
2007-03-12    CNET   
打印自: 安恒公司
地址: HTTP://dtx-otdr-kit.anheng.com.cn/news/article.php?articleid=969
中小企业对无线需不同安全策略

   无线网络技术已经让企业可以大幅度的扩展PC利用度——特别是对那些流动性很高的雇员来说,比如保健行业,销售人员以及制造业,等等。实际上,在过去的时间里,我们已经讲述过如何部署一个具有弹性的无线局域网(WLAN),从而接入笔记本电脑,手持电脑,以及所在位置难以部署网线的桌面电脑。 

  但在部署无线网络方面最主要的障碍却是安全问题,特别对那些要处理大量敏感信息的企业,或者隶属特定行业,特定种类数据的机密性受诸如HIPAA和GLB等法律管辖的企业来说,更是如此。

  在部署一个WLAN之前就事先制定好一个安全策略是非常基本的一点,但是适合于小公司的安全措施却未必适合于大企业。你需要切实留意自己公司的独特需求,并以此来发展自己的安全规划。

  无线安全问题

  因为无线传输是通过开放的无线电波进行,所以相对于有线网络上的数据来说,更容易受到侦听或破坏。并且,如果你的网络没有受到正确保护的话,未经授权的“驱动”或者范围内的其他人则可以:

  • 盗用你的互联网带宽,免费使用网络的同时大幅拖慢你的合法用户上网速度
  • 使用你的网络作为实施攻击的跳板,或进行一些非法行为,比如下载和分发盗版软件,盗版音乐,色情图片等。
  • 察看,拷贝,修改或删除无线网络(以及有线网络)中电脑上的文件
  • 使用病毒,木马,蠕虫,间谍程序,以及其他恶意软件感染你的系统
  • 通过瘫痪网络上的工作站(以及服务器),导致拒绝服务,或对网络造成过载,以致合法用户根本无法正常使用网络

  小企业(以及小预算)的无线安全

  小公司的预算常常都很少,在很多情况下意味着没有全职的IT雇员,也没钱雇佣一个安全顾问来协助你正确建立无线局域网。好消息是,你无需花费大量金钱就可以让你的无线局域网变得安全的多,而不仅仅是一个“裸网”。在这一点上,正确的网络配置是关键。

  任何一个安全计划的目的都在于阻止潜在的入侵者,或者拖慢攻击者的速度,加大攻击的难度,以及(或者)增加他们被捕获的机会。竖起防护围墙,锁定大门,在院子中挖上陷阱,在窗户上和门上安装防盗锁,并在家里和办公室安装警报系统,这些措施并不能就此保证盗贼不会进来——实际上一个专业人员肯定可以破解所有上述这些措施——但是你的确给他增加了很多麻烦。这意味着偶然起意的入侵者更大可能会放弃你家,而转去下一家更容易的地方。

  一般而言,互联网黑客们更喜欢使用更简单的方法,正像那些过时的老贼们一样。所以你在入侵者道路上每多放一个障碍,就意味着他放弃你这里而转向攻击其他更容易目标的可能就多增加一分。尤其是现在有如此之多无线网络毫不设防的时候,这一点就特别明显。

  某些安全专家会告诉你,一些常常被提到的推荐措施,比如修改默认的SSID,关闭SSID广播功能,以及启用MAC过滤等,都是不值当的,因为攻击者有很多办法绕过去。这听起来有点像告诉你说,如果你的门上仅仅安装了一个很容易被撬的廉价锁的话,那你就根本不用锁门了。这些手段当然绝不能成为你所依赖安全策略的全部,但是每多延缓入侵者一点,就为入侵者们多增加了一点入侵的难度,所以这些手段显然应当成为你安全策略的一部分。

  小公司能在一个廉价无线AP(WAP,Wireless Access Point)上所部署的其他廉价(或无需成本)安全措施有:

  • 使用静态IP地址,并关闭路由器或WAP上的DHCP服务,这样一个未经授权的人就无法轻易获得一个有效的IP地址。
  • 配置AP以最小化其范围,这样一个入侵者将不得不去寻找和使用一个高分辨率天线,才能获取相应信号,这会让他很麻烦
  • 如果暂时不需要使用无线功能时就关闭无线AP。一些小企业可能只是偶尔需要使用无线网络,比如合作伙伴或者旅行雇员带着笔记本来了你的办公室中。
  • 当然,加密是你最应当采取的无成本安全措施。确保使用WPA(Wi-fi Protected Access)加密,而不是WEP(Wired Equivalent Privacy)加密,因为后者的加密强度很弱,更容易被击破。你可能需要升级你的无线AP以及无线网卡才能使用WPA,但是这个代价是值得的。如果你的操作系统不是最新的,可能还需要单独安装WPA客户端软件,但是安装最新的Windows XP系统补丁包,或者切换到Windows Vista(两者都提供了更多安全方面的好处),可以让你获得对WPA的支持。

  大企业的无线安全

  当你的公司不断扩张时,限制无线网的使用就越发重要。制定策略防止AP盗用是非常必要的,并且要定期的监控它们。但仅仅有了好的策略还不够;你同时还需要增加部分预算来执行这些策略。

  使用防火墙来隔离你的无线局域网;考虑将无线连接放入一个DMZ或者周边网络之中,一旦无线客户端安全受到威胁,入侵者无法攻击整个无线网络;要求无线局域网的用户使用VPN来连接无线网络。

  使用IDS和响应传感器来监控无线网络上的所有流量。使用网络存取保护来管理无线客户端,并确保它们在被允许上网之前已经得到了正确的配置。

  对你的无线网络进行渗透测试,以发现安全漏洞,并解决这些漏洞。

  总结

  无线网络可以让你做起生意来更加容易,但是它也会让那些入侵者更加容易的完成他们黑暗的勾当。根据公司的需要制定一个无线安全策略是很重要的,当公司和预算都在不断增长时,可以在建立更加完善的安全机制上投入更多资金。

责任编辑: admin