圖1. 分段的無線網(wǎng)絡(luò)
確保網(wǎng)絡(luò)安全可以保護(hù)公司免受意外的安全威脅和控制用戶訪問網(wǎng)絡(luò),同時(shí)也可以避免客戶端的濫用�����,例如筆記本電腦和智能電話或者網(wǎng)絡(luò)用戶為了加速訪問而設(shè)置的非安全的“流氓”接入點(diǎn)���,無意中讓無線網(wǎng)絡(luò)易受到入侵者的攻擊���。
然而,基于五個(gè)簡單步驟的安全規(guī)劃可以確保無線網(wǎng)絡(luò)保持安全���。
步驟1:創(chuàng)建一個(gè)安全策略
對(duì)于任何一個(gè)公司�����,制定能覆蓋有線和無線網(wǎng)絡(luò)的安全策略是非常重要的�����?���?傮w上����,網(wǎng)絡(luò)安全就好像網(wǎng)絡(luò)最薄弱的環(huán)節(jié)——事實(shí)上,大多數(shù)安全漏洞都可以追 溯到疏忽或整體安全策略在執(zhí)行上的錯(cuò)誤。例如�����,如果入侵者可以走到現(xiàn)場并輕易地插入以太網(wǎng)線纜來獲得網(wǎng)絡(luò)訪問的權(quán)限���,那么確保網(wǎng)絡(luò)安全就變得毫無意義���。
安全策略定義了對(duì)于特定公司來說什么是安全,規(guī)定了用戶和網(wǎng)絡(luò)管理員的正確行為以及對(duì)外部入侵者在物理和虛擬環(huán)境上的限制�。安全策略包括對(duì)無線局域 網(wǎng)功能、流量���、以及訪問的限制����。制定的書面策略是很有用的����,有可遵循的安全規(guī)定并且?guī)椭倪M(jìn)社區(qū)內(nèi)的安全環(huán)境。這樣的策略成為一個(gè)實(shí)實(shí)在在的文檔����,可以不 斷地進(jìn)行更新和被引用來支持當(dāng)前的網(wǎng)絡(luò)策略��。
步驟2:配置安全網(wǎng)絡(luò)訪問
配置安全訪問對(duì)保護(hù)無線網(wǎng)絡(luò)至關(guān)重要。在有線網(wǎng)絡(luò)中��,訪問控制就像為已授權(quán)的用戶提供以太網(wǎng)連接一樣簡單���。然而���,為了限制對(duì)無處不在的無線信號(hào)的訪問,管理員可能會(huì)采取以下措施:
1. 建立密碼保護(hù):員工應(yīng)該改變?yōu)榻尤朦c(diǎn)管理端口預(yù)設(shè)的管理密碼��。這將避免內(nèi)部(在無線網(wǎng)絡(luò)內(nèi)的)或外部的惡意訪問���。例如���,如果入侵者試圖通過WEB接口或直接通過控制端口重新配置接入點(diǎn),改變密碼將會(huì)阻止惡意的入侵企圖����。
2. 物理上保證WLAN的安全:物理上保證接入點(diǎn)和控制網(wǎng)絡(luò)的無線管理系統(tǒng)的安全是很重要的。不像網(wǎng)絡(luò)交換機(jī)通常只放置在配線室里����,接入點(diǎn)則是安裝在桌子����、 墻����、天花板等可視物體的上面。為了充分的物理安全所做的規(guī)劃(例如����,架構(gòu)設(shè)計(jì)中的隱藏接入點(diǎn)、或確保監(jiān)控?cái)z像機(jī)的覆蓋安裝)將有助于保護(hù)網(wǎng)絡(luò)避免受到物理 上的入侵��。
3. 確保WLAN的安全:通過實(shí)施無線認(rèn)證��,無線網(wǎng)絡(luò)可以防止入侵�。所有的無線接入點(diǎn)都具有內(nèi)置的認(rèn)證技術(shù)。認(rèn)證的目的是控制誰可以訪問WLAN��。認(rèn)證技術(shù)有很多種�����。每種認(rèn)證技術(shù)具有不同的安全級(jí)別�。
在無線安全的早期階段,WEP(有線等效加密)是保證無線訪問安全的標(biāo)準(zhǔn)���。然而���,WEP在設(shè)計(jì)上是有缺陷的�,并且可以相對(duì)輕松地被破解��。當(dāng)有更好的 替換技術(shù)并且幸運(yùn)的是有許多更好的技術(shù)可以替換時(shí)���,則應(yīng)該避免使用WEP。WPA和WPA2(Wi-Fi保護(hù)訪問)解決了WEP的脆弱性并且已經(jīng)替代 WEP成為更安全的技術(shù)��。WPA2完全實(shí)現(xiàn)了IEEE 802.11i中定義的安全要素���。不像WEP和WPA���,WPA2使用AES(高級(jí)加密標(biāo)準(zhǔn))算法來對(duì)數(shù)據(jù)進(jìn)行加密,并且是當(dāng)前無線認(rèn)證中最安全和建議采用 的方法�。
WPA2支持兩種認(rèn)證模式。WPA2-PSK(預(yù)共享密鑰)或WPA2個(gè)人模式是設(shè)計(jì)用于家庭或小型的網(wǎng)絡(luò)����,在這種網(wǎng)絡(luò)中特定SSID的所有無線客 戶端共享一個(gè)共同的密匙。WPA2企業(yè)模式(EAP/RADIUS)允許使用WPA2和802.1x認(rèn)證�。在這種模式下�����,無線客戶端通過具有單獨(dú)的登錄證 書的RADIUS服務(wù)器來進(jìn)行認(rèn)證���。這允許IT管理員創(chuàng)建不同的無線訪問級(jí)別。對(duì)于業(yè)務(wù)來講����,這意味著可以更好地控制誰可以訪問哪些信息,并最終實(shí)現(xiàn)更安 全的無線網(wǎng)絡(luò)�。WPA2企業(yè)模式應(yīng)該在任何企業(yè)的無線網(wǎng)絡(luò)中使用。
步驟3:控制無線的可見性
無線局域網(wǎng)都創(chuàng)建一個(gè)服務(wù)集標(biāo)識(shí)(SSID)�。SSID標(biāo)識(shí)無線網(wǎng)絡(luò)的名稱并且廣播出去指示無線網(wǎng)絡(luò)的可用性。這便于附近的無線客戶端發(fā)現(xiàn)無線網(wǎng)絡(luò)����,但也會(huì)使網(wǎng)絡(luò)對(duì)一定范圍的任何其它無線設(shè)備可見。
圖2:無線網(wǎng)絡(luò)示例
如果你想限制可見到無線網(wǎng)絡(luò)的人員�,則應(yīng)該禁止SSID的廣播來限制訪問到那些可能正在尋找開放的無線網(wǎng)絡(luò)的設(shè)備。同時(shí)��,SSID標(biāo)識(shí)應(yīng)該改變��,因?yàn)榧词筍SID不進(jìn)行廣播��,專業(yè)的黑客知道常用的缺省SSIDs并可能利用這些缺省的SSID獲得訪問網(wǎng)絡(luò)的權(quán)限。
為了根據(jù)位置實(shí)現(xiàn)訪問限制�,可以采取幾個(gè)簡單的步驟。首先�,降低無線接入點(diǎn)的發(fā)射機(jī)功率會(huì)限制信號(hào)的覆蓋范圍——例如,限制只在管理區(qū)域內(nèi)對(duì)學(xué)校的辦公網(wǎng)絡(luò)進(jìn)行訪問是可取的����。限制無線信號(hào)的位置是非常困難的,然而這確實(shí)提供了最小化網(wǎng)絡(luò)訪問的可能�。
步驟4:通過虛擬局域網(wǎng)保證網(wǎng)絡(luò)的安全
保證信息安全的下一步是通過在網(wǎng)絡(luò)上將“信任的”流量從“不信任的”流量區(qū)分出來以限制到特定工作組或團(tuán)隊(duì)的數(shù)據(jù)訪問��。WLAN的安全策略可以基于 特定無線客戶端的身份精確地執(zhí)行訪問限制����,和到接入點(diǎn)的連接創(chuàng)建訪問網(wǎng)絡(luò)上不同工作組的不同類型。這種分段被稱為“虛擬局域網(wǎng)”或“VLAN”����,并可以映 射到一個(gè)特定的SSID。這允許用戶只訪問特定的網(wǎng)絡(luò)資源�,并可用于為合約商、學(xué)生或項(xiàng)目臨時(shí)聯(lián)系人創(chuàng)建一個(gè)“訪客” 網(wǎng)絡(luò)�����。
VLAN可以進(jìn)一步建立用來保證特定類型流量的安全,如條形碼掃描或Wi-Fi電話通訊�。VLAN確保如Wi-Fi語音等某些流量是安全的,并使這些流量不受像文件傳輸或流媒體音樂等消耗網(wǎng)絡(luò)帶寬的其它流量的影響�。
步驟5:當(dāng)前安全維護(hù)和教育
沒有網(wǎng)絡(luò)可以單獨(dú)地設(shè)置和運(yùn)行。在已建立的安全策略的支持上����,正如之前的討論那樣經(jīng)常性地維護(hù)無線網(wǎng)絡(luò)最高的安全級(jí)別是很重要的。在較大的環(huán)境中完 成此項(xiàng)任務(wù)的關(guān)鍵是集中管理軟件��,它可以用來監(jiān)控�、檢測和確定網(wǎng)絡(luò)中的問題。集中管理軟件可以導(dǎo)出或?qū)肱渲梦募越档团渲缅e(cuò)誤導(dǎo)致WLAN安全漏洞的可 能��。集中管理軟件也可以幫助檢測���、報(bào)告并拒絕由員工帶入到網(wǎng)絡(luò)中的非法AP的接入��。
不是每個(gè)公司都認(rèn)識(shí)到教育員工以保證網(wǎng)絡(luò)安全是很重要的�����。研究顯示大多數(shù)的安全事故實(shí)際上是由員工的錯(cuò)誤造成的����。許多公司沒有意識(shí)到像改變筆記本電腦的設(shè)置這樣簡單的事情都可能危及網(wǎng)絡(luò)的安全。經(jīng)常遵循完美的網(wǎng)絡(luò)安全原則可以幫助企業(yè)確保信息��、人員和設(shè)施的安全�����。
總結(jié)
當(dāng)今的無線網(wǎng)絡(luò)正幫助機(jī)構(gòu)和企業(yè)降低成本�����、增加效率并且提高機(jī)構(gòu)改革和降低預(yù)算時(shí)的效率����。如果他們遵循管理實(shí)踐���,無論小型還是大型的公司都可以從安全����、穩(wěn)定的網(wǎng)絡(luò)連接中受益�����。
創(chuàng)建和維持一個(gè)安全的無線網(wǎng)絡(luò)的關(guān)鍵是日常的管理�����。合適的工具將減少配置變動(dòng)和固件升級(jí)中用戶的錯(cuò)誤和能夠檢測像非法AP和其他威脅在內(nèi)的安全隱患。
NETGEAR提供為教育和小型企業(yè)設(shè)計(jì)使用的無線解決方案�����,該無線方案提供一個(gè)安全可靠的無線網(wǎng)絡(luò)經(jīng)驗(yàn)�����。無線解決方案包括為AP提供供電的PoE 交換機(jī)��、管理網(wǎng)絡(luò)的無線管理系統(tǒng)����、支持802.11a/b/g/n標(biāo)準(zhǔn)的各款A(yù)P、終端用戶使用的無線適配器和終生保修的服務(wù)包�。這種端到端的解決方案為 公司提供無線網(wǎng)絡(luò)快速輕松的配置、日常的管理及優(yōu)化的安全性���。
