圖1. 分段的無線網(wǎng)絡(luò)
確保網(wǎng)絡(luò)安全可以保護公司免受意外的安全威脅和控制用戶訪問網(wǎng)絡(luò),同時也可以避免客戶端的濫用,例如筆記本電腦和智能電話或者網(wǎng)絡(luò)用戶為了加速訪問而設(shè)置的非安全的“流氓”接入點��,無意中讓無線網(wǎng)絡(luò)易受到入侵者的攻擊�。
然而,基于五個簡單步驟的安全規(guī)劃可以確保無線網(wǎng)絡(luò)保持安全���。
步驟1:創(chuàng)建一個安全策略
對于任何一個公司�,制定能覆蓋有線和無線網(wǎng)絡(luò)的安全策略是非常重要的����。總體上�����,網(wǎng)絡(luò)安全就好像網(wǎng)絡(luò)最薄弱的環(huán)節(jié)——事實上�,大多數(shù)安全漏洞都可以追 溯到疏忽或整體安全策略在執(zhí)行上的錯誤。例如�,如果入侵者可以走到現(xiàn)場并輕易地插入以太網(wǎng)線纜來獲得網(wǎng)絡(luò)訪問的權(quán)限,那么確保網(wǎng)絡(luò)安全就變得毫無意義�����。
安全策略定義了對于特定公司來說什么是安全�����,規(guī)定了用戶和網(wǎng)絡(luò)管理員的正確行為以及對外部入侵者在物理和虛擬環(huán)境上的限制。安全策略包括對無線局域 網(wǎng)功能��、流量���、以及訪問的限制�����。制定的書面策略是很有用的,有可遵循的安全規(guī)定并且?guī)椭倪M社區(qū)內(nèi)的安全環(huán)境��。這樣的策略成為一個實實在在的文檔��,可以不 斷地進行更新和被引用來支持當(dāng)前的網(wǎng)絡(luò)策略����。
步驟2:配置安全網(wǎng)絡(luò)訪問
配置安全訪問對保護無線網(wǎng)絡(luò)至關(guān)重要。在有線網(wǎng)絡(luò)中�����,訪問控制就像為已授權(quán)的用戶提供以太網(wǎng)連接一樣簡單���。然而��,為了限制對無處不在的無線信號的訪問��,管理員可能會采取以下措施:
1. 建立密碼保護:員工應(yīng)該改變?yōu)榻尤朦c管理端口預(yù)設(shè)的管理密碼�。這將避免內(nèi)部(在無線網(wǎng)絡(luò)內(nèi)的)或外部的惡意訪問。例如����,如果入侵者試圖通過WEB接口或直接通過控制端口重新配置接入點,改變密碼將會阻止惡意的入侵企圖��。
2. 物理上保證WLAN的安全:物理上保證接入點和控制網(wǎng)絡(luò)的無線管理系統(tǒng)的安全是很重要的�。不像網(wǎng)絡(luò)交換機通常只放置在配線室里,接入點則是安裝在桌子�、 墻、天花板等可視物體的上面��。為了充分的物理安全所做的規(guī)劃(例如�����,架構(gòu)設(shè)計中的隱藏接入點�、或確保監(jiān)控攝像機的覆蓋安裝)將有助于保護網(wǎng)絡(luò)避免受到物理 上的入侵。
3. 確保WLAN的安全:通過實施無線認(rèn)證��,無線網(wǎng)絡(luò)可以防止入侵。所有的無線接入點都具有內(nèi)置的認(rèn)證技術(shù)�。認(rèn)證的目的是控制誰可以訪問WLAN。認(rèn)證技術(shù)有很多種�。每種認(rèn)證技術(shù)具有不同的安全級別。
在無線安全的早期階段�,WEP(有線等效加密)是保證無線訪問安全的標(biāo)準(zhǔn)。然而��,WEP在設(shè)計上是有缺陷的���,并且可以相對輕松地被破解���。當(dāng)有更好的 替換技術(shù)并且幸運的是有許多更好的技術(shù)可以替換時,則應(yīng)該避免使用WEP�。WPA和WPA2(Wi-Fi保護訪問)解決了WEP的脆弱性并且已經(jīng)替代 WEP成為更安全的技術(shù)�。WPA2完全實現(xiàn)了IEEE 802.11i中定義的安全要素。不像WEP和WPA���,WPA2使用AES(高級加密標(biāo)準(zhǔn))算法來對數(shù)據(jù)進行加密����,并且是當(dāng)前無線認(rèn)證中最安全和建議采用 的方法�。
WPA2支持兩種認(rèn)證模式�����。WPA2-PSK(預(yù)共享密鑰)或WPA2個人模式是設(shè)計用于家庭或小型的網(wǎng)絡(luò)����,在這種網(wǎng)絡(luò)中特定SSID的所有無線客 戶端共享一個共同的密匙����。WPA2企業(yè)模式(EAP/RADIUS)允許使用WPA2和802.1x認(rèn)證。在這種模式下�����,無線客戶端通過具有單獨的登錄證 書的RADIUS服務(wù)器來進行認(rèn)證�。這允許IT管理員創(chuàng)建不同的無線訪問級別。對于業(yè)務(wù)來講�����,這意味著可以更好地控制誰可以訪問哪些信息�����,并最終實現(xiàn)更安 全的無線網(wǎng)絡(luò)���。WPA2企業(yè)模式應(yīng)該在任何企業(yè)的無線網(wǎng)絡(luò)中使用�。
步驟3:控制無線的可見性
無線局域網(wǎng)都創(chuàng)建一個服務(wù)集標(biāo)識(SSID)。SSID標(biāo)識無線網(wǎng)絡(luò)的名稱并且廣播出去指示無線網(wǎng)絡(luò)的可用性�����。這便于附近的無線客戶端發(fā)現(xiàn)無線網(wǎng)絡(luò)����,但也會使網(wǎng)絡(luò)對一定范圍的任何其它無線設(shè)備可見。
圖2:無線網(wǎng)絡(luò)示例
如果你想限制可見到無線網(wǎng)絡(luò)的人員�����,則應(yīng)該禁止SSID的廣播來限制訪問到那些可能正在尋找開放的無線網(wǎng)絡(luò)的設(shè)備���。同時�����,SSID標(biāo)識應(yīng)該改變,因為即使SSID不進行廣播����,專業(yè)的黑客知道常用的缺省SSIDs并可能利用這些缺省的SSID獲得訪問網(wǎng)絡(luò)的權(quán)限����。
為了根據(jù)位置實現(xiàn)訪問限制����,可以采取幾個簡單的步驟。首先�,降低無線接入點的發(fā)射機功率會限制信號的覆蓋范圍——例如,限制只在管理區(qū)域內(nèi)對學(xué)校的辦公網(wǎng)絡(luò)進行訪問是可取的�。限制無線信號的位置是非常困難的,然而這確實提供了最小化網(wǎng)絡(luò)訪問的可能��。
步驟4:通過虛擬局域網(wǎng)保證網(wǎng)絡(luò)的安全
保證信息安全的下一步是通過在網(wǎng)絡(luò)上將“信任的”流量從“不信任的”流量區(qū)分出來以限制到特定工作組或團隊的數(shù)據(jù)訪問�。WLAN的安全策略可以基于 特定無線客戶端的身份精確地執(zhí)行訪問限制,和到接入點的連接創(chuàng)建訪問網(wǎng)絡(luò)上不同工作組的不同類型����。這種分段被稱為“虛擬局域網(wǎng)”或“VLAN”,并可以映 射到一個特定的SSID�。這允許用戶只訪問特定的網(wǎng)絡(luò)資源,并可用于為合約商���、學(xué)生或項目臨時聯(lián)系人創(chuàng)建一個“訪客” 網(wǎng)絡(luò)�。
VLAN可以進一步建立用來保證特定類型流量的安全�,如條形碼掃描或Wi-Fi電話通訊����。VLAN確保如Wi-Fi語音等某些流量是安全的�,并使這些流量不受像文件傳輸或流媒體音樂等消耗網(wǎng)絡(luò)帶寬的其它流量的影響。
步驟5:當(dāng)前安全維護和教育
沒有網(wǎng)絡(luò)可以單獨地設(shè)置和運行��。在已建立的安全策略的支持上��,正如之前的討論那樣經(jīng)常性地維護無線網(wǎng)絡(luò)最高的安全級別是很重要的���。在較大的環(huán)境中完 成此項任務(wù)的關(guān)鍵是集中管理軟件���,它可以用來監(jiān)控、檢測和確定網(wǎng)絡(luò)中的問題���。集中管理軟件可以導(dǎo)出或?qū)肱渲梦募越档团渲缅e誤導(dǎo)致WLAN安全漏洞的可 能�。集中管理軟件也可以幫助檢測����、報告并拒絕由員工帶入到網(wǎng)絡(luò)中的非法AP的接入。
不是每個公司都認(rèn)識到教育員工以保證網(wǎng)絡(luò)安全是很重要的�。研究顯示大多數(shù)的安全事故實際上是由員工的錯誤造成的����。許多公司沒有意識到像改變筆記本電腦的設(shè)置這樣簡單的事情都可能危及網(wǎng)絡(luò)的安全��。經(jīng)常遵循完美的網(wǎng)絡(luò)安全原則可以幫助企業(yè)確保信息�����、人員和設(shè)施的安全���。
總結(jié)
當(dāng)今的無線網(wǎng)絡(luò)正幫助機構(gòu)和企業(yè)降低成本、增加效率并且提高機構(gòu)改革和降低預(yù)算時的效率����。如果他們遵循管理實踐,無論小型還是大型的公司都可以從安全��、穩(wěn)定的網(wǎng)絡(luò)連接中受益����。
創(chuàng)建和維持一個安全的無線網(wǎng)絡(luò)的關(guān)鍵是日常的管理。合適的工具將減少配置變動和固件升級中用戶的錯誤和能夠檢測像非法AP和其他威脅在內(nèi)的安全隱患���。
NETGEAR提供為教育和小型企業(yè)設(shè)計使用的無線解決方案��,該無線方案提供一個安全可靠的無線網(wǎng)絡(luò)經(jīng)驗���。無線解決方案包括為AP提供供電的PoE 交換機�、管理網(wǎng)絡(luò)的無線管理系統(tǒng)��、支持802.11a/b/g/n標(biāo)準(zhǔn)的各款A(yù)P�����、終端用戶使用的無線適配器和終生保修的服務(wù)包�。這種端到端的解決方案為 公司提供無線網(wǎng)絡(luò)快速輕松的配置、日常的管理及優(yōu)化的安全性�。
