教你五大绝招 轻松搞定企业的WLAN安全

　　Wi-Fi(Wireless Fidelity)是IEEE定义的一个无线网络通信的工业标准。目前， Wi-Fi的发展如火如荼。无论是家庭网络还是公司网络无线技术都引起人们极大的热情。但人们并没有真正关注无线网络的安全问题。结果，很多公司的信息资源被暴露在无线威胁之下，而公司却对此茫然无知，不加干预。Wi-Fi被误用、滥用或攻击可以导致财务损失，包括与调查相关的直接成本、“宕机”时间、恢复时间等，直接成本还可包括因不遵守私有数据保密规范所导致的赔偿和罚款等，还有因公司竞争能力和价值下降造成的间接损失。

　　由于这些需要审核和防止未授权的网络应用所带来的各种内部和外部的压力，每一家公司，甚至包含那些禁用无线网络的公司，都必须重点管理由Wi-Fi所引起的企业风险。传统的那些用于保障应用程序、操作系统和有线通信安全的措施仍然是基本的并且是有效的措施。然而，如果缺乏对无线信号的有效控制，也就意味着有线的防御就会是形同虚设。雇员经常有意无意地连接邻近的无线网络或是一些恶意网点。一些错误配置的访问点会在公司的网络中长期打开一扇未经保护的、不可见的后门。

　　现存的安全策略、工具、方法必须改进以面对这些新的威胁。一种有效的网络防御系统需要控制所有影响企业的无线网络活动的能力。本文将保障企业无线网络安全的难题分为五个基本的步骤。从保障无线客户端和数据安全到审核和控制Wi-Fi连接，本文推荐了一些确保当今企业网络安全性和完整性的最佳方法。

　　第一招:保护无线客户端

　　如今，正如许多手持式设备一样，95%的便携式电脑都支持Wi-Fi。不管你的公司是否支持无线网络，这种普遍存在的客户端必须确保免受这种无线威胁的损害。无论是病毒还是TCP/IP破解，还是由那些无经验的用户所引起的未授权的、意外的Wi-Fi连接都是重点防护的内容。

　　传统的防御通常都部署在互联网主机上，包括文件加密、反病毒和个人防火墙程序，都应该用于Wi-Fi客户端。这些措施可以使Wi-Fi客户端与TCP/IP入侵隔离开来，如在一些网络热点主机中的无意的文件共享和蠕虫泛滥。

　　然而，这些措施并不能阻止那些危险的Wi-Fi连接。新的客户防御需要防止雇员与邻近的WLAN或恶意站点连接。一些未受策略控制的连接是有企图的，用于绕过公司对个人电子邮件或P2P的阻止功能。不过，大多数都是非故意的，可能由某些“零配置”("zero config")软件所引起。不管怎么说，未授权的Wi-Fi连接会由于将关键数据暴露在外而损害公司的信息资产。

　　为了重新获得对雇员Wi-Fi的管理和控制，需要配置所有的客户端，使其只能与经过授权的服务集标识符(SSID)相联系。因为服务集标识符是无线接入的身份标识符，是无线网络用于定位服务的一项功能，用户用它来建立与接入点之间的连接。除非企业需要，一定要拒绝所有的未事先规定的连接。为了得到最好的结果，务必采用集中化的管理策略，例如，Windows的Wi-Fi连接参数可以通过活动目录组策略对象来配置。为了阻止雇员自己增加连接，可以使用一个支持对客户端配置进行锁定的第三方的管理工具。

　　为了自动断开不安全的连接，需要在每一台客户端上部署一个常驻主机的Wi-Fi入侵防御程序。一个常驻主机的Wi-Fi入侵防御程序能够密切注视家用的和热点WLAN中的公司膝上型电脑，需要采取措施以加强已定义的Wi-Fi策略。在公司网络的内部和外部，需要控制在什么地方及用什么手段允许与Wi-Fi的连接，这是保护职工免受恶意攻击和所有的常见无线网络错误的唯一可靠方法。

　　第二招：保障数据传输安全

　　无线网络缺乏有线以太网络所固有的物理安全性。因为墙壁、门窗、地板不能有效地包含Wi-Fi传输，所以需要采取新的防御手段来阻止对企业数据的窃听、伪造和重放攻击(replay-attack)。

　　如果你的公司已经使用了虚拟私有网络(VPN)以保护在公用Internet上的企业数据，就要充分利用VPN以保护离开站点的Wi-Fi的数据传输。这种持续的安全保障独立于WLAN所采用的任何措施。

　　有一些公司还使用VPN保护Wi-Fi线上通信站点。Wi-Fi的先行者们受到极其不安全的WEP协议的限制，无法对无线网络实施真正的安全策略。幸运的是，现在所有的Wi-Fi认证产品都提供两种经过极大改进的数据保护方法：

　　●WPA(Wi-Fi Protected Access)使用TKIP(Temporal Key Integrity Protocol，临时密钥完整性协议)，此协议将加密从固定密钥改为动态密钥，虽然还是基于RC4算法，但比采用固定密钥的WEP先进。除了密钥管理以外，它还具有以EAP(可扩展认证协议，Extensible Authentication Protocol)为核心的用户审核机制，可以通过服务器审核接入用户的ID，在一定程度上可避免黑客非法接入、窃听、伪造和Wi-Fi数据重放。这种过度性的措施可阻止WEP破坏，但要比其后续版本WPA2速度慢些，WPA应该用在那些使用遗留的老产品的WLAN中。

　　●WPA2从2004年年末开始被所有的Wi-Fi产品所支持，它使用802.11i和高级加密标准，以一种更加强健而有效的方式(AES-Advanced Encryption Standard)保障数据安全。AES是下一代的加密算法标准，速度快，安全级别高。 多数企业的WLAN应该升级到WPA2以求强健的数据保密和完整性。

　　当然，VPN还能够用于今天的内部办公WLAN中。不过，VPN会增加开销并阻止漫游。大多数公司会发现最好用离站(off-site) VPN和在站(on-site)WPA2来保障数据安全。

　　第三招：控制公司网络使用

　　为了防止网络破坏，必须将每一个暴露的Wi-Fi部件(无论是访问点还是用于数据传输的交换机等)与未授权的使用隔离开。

　　可以从将传统的外围防御应用到无线网络的边缘开始。举例来说，通过更新补丁、关闭未用的端口以及使用安全的管理界面进一步强化无线访问点和交换机的安全。基于SSID和用户身份，将已经用于控制有线网络的虚拟局域网(VLAN)和防火墙等扩展使用，使其隔离所有通过Wi-Fi进入的数据通信。

　　这是一个良好的开端，但却远远不够。一些插入到网络中的配置错误的访问节点可以绕过你的防火墙，从而长期访问内部的服务器和数据。如果不实施进一步的控制，来宾和入侵者都可以使用你的无线网络窃取互联网络服务，发送钓鱼邮件或垃圾邮件，甚至攻击你的有线网络。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有