Wi-Fi(Wireless Fidelity)是IEEE定義的一個(gè)無(wú)線(xiàn)網(wǎng)絡(luò)通信的工業(yè)標(biāo)準(zhǔn)。目前��, Wi-Fi的發(fā)展如火如荼。無(wú)論是家庭網(wǎng)絡(luò)還是公司網(wǎng)絡(luò)無(wú)線(xiàn)技術(shù)都引起人們極大的熱情��。但人們并沒(méi)有真正關(guān)注無(wú)線(xiàn)網(wǎng)絡(luò)的安全問(wèn)題�����。結(jié)果,很多公司的信息資源被暴露在無(wú)線(xiàn)威脅之下����,而公司卻對(duì)此茫然無(wú)知,不加干預(yù)����。Wi-Fi被誤用��、濫用或攻擊可以導(dǎo)致財(cái)務(wù)損失,包括與調(diào)查相關(guān)的直接成本����、“宕機(jī)”時(shí)間���、恢復(fù)時(shí)間等����,直接成本還可包括因不遵守私有數(shù)據(jù)保密規(guī)范所導(dǎo)致的賠償和罰款等�,還有因公司競(jìng)爭(zhēng)能力和價(jià)值下降造成的間接損失。
由于這些需要審核和防止未授權(quán)的網(wǎng)絡(luò)應(yīng)用所帶來(lái)的各種內(nèi)部和外部的壓力���,每一家公司,甚至包含那些禁用無(wú)線(xiàn)網(wǎng)絡(luò)的公司,都必須重點(diǎn)治理由Wi-Fi所引起的企業(yè)風(fēng)險(xiǎn)。傳統(tǒng)的那些用于保障應(yīng)用程序�、操作系統(tǒng)和有線(xiàn)通信安全的措施仍然是基本的并且是有效的措施��。然而����,假如缺乏對(duì)無(wú)線(xiàn)信號(hào)的有效控制����,也就意味著有線(xiàn)的防御就會(huì)是形同虛設(shè)。雇員經(jīng)常有意無(wú)意地連接鄰近的無(wú)線(xiàn)網(wǎng)絡(luò)或是一些惡意網(wǎng)點(diǎn)�。一些錯(cuò)誤配置的訪(fǎng)問(wèn)點(diǎn)會(huì)在公司的網(wǎng)絡(luò)中長(zhǎng)期打開(kāi)一扇未經(jīng)保護(hù)的�����、不可見(jiàn)的后門(mén)��。
現(xiàn)存的安全策略����、工具��、方法必須改進(jìn)以面對(duì)這些新的威脅�。一種有效的網(wǎng)絡(luò)防御系統(tǒng)需要控制所有影響企業(yè)的無(wú)線(xiàn)網(wǎng)絡(luò)活動(dòng)的能力����。本文將保障企業(yè)無(wú)線(xiàn)網(wǎng)絡(luò)安全的難題分為五個(gè)基本的步驟。從保障無(wú)線(xiàn)客戶(hù)端和數(shù)據(jù)安全到審核和控制Wi-Fi連接,本文推薦了一些確保當(dāng)今企業(yè)網(wǎng)絡(luò)安全性和完整性的最佳方法�����。
第一招:保護(hù)無(wú)線(xiàn)客戶(hù)端
如今�,正如許多手持式設(shè)備一樣,95%的便攜式電腦都支持Wi-Fi。不管你的公司是否支持無(wú)線(xiàn)網(wǎng)絡(luò)���,這種普遍存在的客戶(hù)端必須確保免受這種無(wú)線(xiàn)威脅的損害。無(wú)論是病毒還是TCP/ 為了重新獲得對(duì)雇員Wi-Fi的治理和控制����,需要配置所有的客戶(hù)端����,使其只能與經(jīng)過(guò)授權(quán)的服務(wù)集標(biāo)識(shí)符(SSID)相聯(lián)系。因?yàn)榉?wù)集標(biāo)識(shí)符是無(wú)線(xiàn)接入的身份標(biāo)識(shí)符�����,是無(wú)線(xiàn)網(wǎng)絡(luò)用于定位服務(wù)的一項(xiàng)功能�,用戶(hù)用它來(lái)建立與接入點(diǎn)之間的連接��。除非企業(yè)需要���,一定要拒絕所有的未事先規(guī)定的連接�����。為了得到最好的結(jié)果,務(wù)必采用集中化的治理策略�,例如�����,Windows的Wi-Fi連接參數(shù)可以通過(guò)活動(dòng)目錄組策略對(duì)象來(lái)配置。為了阻止雇員自己增加連接���,可以使用一個(gè)支持對(duì)客戶(hù)端配置進(jìn)行鎖定的第三方的治理工具。
為了自動(dòng)斷開(kāi)不安全的連接,需要在每一臺(tái)客戶(hù)端上部署一個(gè)常駐主機(jī)的Wi-Fi入侵防御程序����。一個(gè)常駐主機(jī)的Wi-Fi入侵防御程序能夠密切注視家用的和熱點(diǎn)WLAN中的公司膝上型電腦�����,需要采取措施以加強(qiáng)已定義的Wi-Fi策略。在公司網(wǎng)絡(luò)的內(nèi)部和外部�,需要控制在什么地方及用什么手段答應(yīng)與Wi-Fi的連接���,這是保護(hù)職工免受惡意攻擊和所有的常見(jiàn)無(wú)線(xiàn)網(wǎng)絡(luò)錯(cuò)誤的唯一可靠方法�。
第二招:保障數(shù)據(jù)傳輸安全
無(wú)線(xiàn)網(wǎng)絡(luò)缺乏有線(xiàn)以太網(wǎng)絡(luò)所固有的物理安全性。因?yàn)閴Ρ凇㈤T(mén)窗、地板不能有效地包含Wi-Fi傳輸�,所以需要采取新的防御手段來(lái)阻止對(duì)企業(yè)數(shù)據(jù)的竊聽(tīng)����、偽造和重放攻擊(replay-attack)�����。
假如你的公司已經(jīng)使用了虛擬私有網(wǎng)絡(luò)(VPN)以保護(hù)在公用Internet上的企業(yè)數(shù)據(jù),就要充分利用VPN以保護(hù)離開(kāi)站點(diǎn)的Wi-Fi的數(shù)據(jù)傳輸�。這種持續(xù)的安全保障獨(dú)立于WLAN所采用的任何措施�����。
有一些公司還使用VPN保護(hù)Wi-Fi線(xiàn)上通信站點(diǎn)。Wi-Fi的先行者們受到極其不安全的WEP協(xié)議的限制����,無(wú)法對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)實(shí)施真正的安全策略���。幸運(yùn)的是�,現(xiàn)在所有的Wi-Fi認(rèn)證產(chǎn)品都提供兩種經(jīng)過(guò)極大改進(jìn)的數(shù)據(jù)保護(hù)方法:
●WPA(Wi-Fi PRotected access
)使用TKIP(Temporal Key Integrity Protocol��,臨時(shí)密鑰完整性協(xié)議)�,此協(xié)議將加密從固定密鑰改為動(dòng)態(tài)密鑰���,雖然還是基于RC4算法���,但比采用固定密鑰的WEP先進(jìn)�����。除了密鑰治理以外��,它還具有以EAP(可擴(kuò)展認(rèn)證協(xié)議,Extensible Authentication Protocol)為核心的用戶(hù)審核機(jī)制��,可以通過(guò)服務(wù)器審核接入用戶(hù)的ID�,在一定程度上可避免黑客非法接入、竊聽(tīng)�、偽造和Wi-Fi數(shù)據(jù)重放�����。這種過(guò)度性的措施可阻止WEP破壞�,但要比其后續(xù)版本W(wǎng)PA2速度慢些,WPA應(yīng)該用在那些使用遺留的老產(chǎn)品的WLAN中�。
●WPA2從2004年年末開(kāi)始被所有的Wi-Fi產(chǎn)品所支持����,它使用802.11i和高級(jí)加密標(biāo)準(zhǔn)�����,以一種更加強(qiáng)健而有效的方式(AES-Advanced Encryption Standard)保障數(shù)據(jù)安全�����。AES是下一代的加密算法標(biāo)準(zhǔn),速度快�����,安全級(jí)別高���。 多數(shù)企業(yè)的WLAN應(yīng)該升級(jí)到WPA2以求強(qiáng)健的數(shù)據(jù)保密和完整性��。
當(dāng)然�,VPN還能夠用于今天的內(nèi)部辦公WLAN中�。不過(guò),VPN會(huì)增加開(kāi)銷(xiāo)并阻止漫游�。大多數(shù)公司會(huì)發(fā)現(xiàn)最好用離站(off-site) VPN和在站(on-site)WPA2來(lái)保障數(shù)據(jù)安全����。
第三招:控制公司網(wǎng)絡(luò)使用
為了防止網(wǎng)絡(luò)破壞,必須將每一個(gè)暴露的Wi-Fi部件(無(wú)論是訪(fǎng)問(wèn)點(diǎn)還是用于數(shù)據(jù)傳輸?shù)慕粨Q機(jī)等)與未授權(quán)的使用隔離開(kāi)��。
可以從將傳統(tǒng)的外圍防御應(yīng)用到無(wú)線(xiàn)網(wǎng)絡(luò)的邊緣開(kāi)始����。舉例來(lái)說(shuō)�����,通過(guò)更新補(bǔ)丁�、關(guān)閉未用的端口以及使用安全的治理界面進(jìn)一步強(qiáng)化無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)和交換機(jī)的安全����。基于SSID和用戶(hù)身份���,將已經(jīng)用于控制有線(xiàn)網(wǎng)絡(luò)的虛擬局域網(wǎng)(VLAN)和防火墻等擴(kuò)展使用,使其隔離所有通過(guò)Wi-Fi進(jìn)入的數(shù)據(jù)通信���。
這是一個(gè)良好的開(kāi)端,但卻遠(yuǎn)遠(yuǎn)不夠�����。一些插入到網(wǎng)絡(luò)中的配置錯(cuò)誤的訪(fǎng)問(wèn)節(jié)點(diǎn)可以繞過(guò)你的防火墻����,從而長(zhǎng)期訪(fǎng)問(wèn)內(nèi)部的服務(wù)器和數(shù)據(jù)。假如不實(shí)施進(jìn)一步的控制,來(lái)賓和入侵者都可以使用你的無(wú)線(xiàn)網(wǎng)絡(luò)竊取互聯(lián)網(wǎng)絡(luò)服務(wù)�����,發(fā)送釣魚(yú)郵件或垃圾郵件����,甚至攻擊你的有線(xiàn)網(wǎng)絡(luò)。
通過(guò)使用非默認(rèn)的SSID配置訪(fǎng)問(wèn)節(jié)點(diǎn),就可以減少那些非正常的Wi-Fi連接。不只如此,還需要部署Wi-Fi的訪(fǎng)問(wèn)控制以明確地拒絕未授權(quán)的客戶(hù)端連接��。
●由于存在著地址欺騙�����,千萬(wàn)不要依靠MAC地址過(guò)濾器實(shí)現(xiàn)Wi-Fi安全。
●假如你提供來(lái)賓(guest)訪(fǎng)問(wèn),務(wù)必使用一個(gè)受控入口以跟蹤使用���,并且增強(qiáng)時(shí)間、帶寬的限制。
●在小型的無(wú)線(xiàn)局域網(wǎng)中,使用支持預(yù)共用密鑰模式(pre-shared key����,PSK����, 又稱(chēng)為個(gè)人模式)的WPA或WPA2���,只準(zhǔn)許經(jīng)過(guò)授權(quán)的并且提交隨機(jī)長(zhǎng)口令的客戶(hù)端訪(fǎng)問(wèn)網(wǎng)絡(luò)資源�����。這非凡適用家用WLAN使用�����。
●在企業(yè)級(jí)WLAN中,由于需要對(duì)個(gè)人用戶(hù)實(shí)施更強(qiáng)的口令控制���,務(wù)必對(duì)被答應(yīng)到達(dá)公司網(wǎng)絡(luò)的Wi-Fi連接部署802.1x以便實(shí)施授權(quán)和審核。在與服務(wù)器授權(quán)證書(shū)一起使用時(shí)����,802.1X可以幫助客戶(hù)端避免連接到虛假的訪(fǎng)問(wèn)節(jié)點(diǎn)���。
最后一點(diǎn),增強(qiáng)Wi-Fi數(shù)據(jù)保護(hù)和訪(fǎng)問(wèn)控制是至關(guān)重要的��。一個(gè)集中化的WLAN治理程序能夠幫助減少訪(fǎng)問(wèn)節(jié)點(diǎn)的錯(cuò)誤配置����,并且在遭受故障或攻擊之后加速恢復(fù)的過(guò)程����。
第四招:審核無(wú)線(xiàn)網(wǎng)絡(luò)活動(dòng)
不管你如何仔細(xì)部署你的網(wǎng)絡(luò)���、客戶(hù)端和無(wú)線(xiàn)安全措施����,一些意想不到的及未授權(quán)的無(wú)線(xiàn)訪(fǎng)問(wèn)活動(dòng)仍然可能會(huì)發(fā)生。為了滿(mǎn)足大多數(shù)企業(yè)面臨的內(nèi)�、外審核的需要����,你需要監(jiān)視公司網(wǎng)絡(luò)內(nèi)所有Wi-Fi設(shè)備所執(zhí)行的操作�,并做出相應(yīng)的報(bào)告。
關(guān)于無(wú)線(xiàn)通信���,傳統(tǒng)的審核資源(如防火墻日志和有線(xiàn)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng))是不夠的。這些系統(tǒng)只能監(jiān)視有線(xiàn)網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)通信�����。對(duì)于超出策略范圍的Wi-Fi連接�����,它們是“看”不到的�。它們無(wú)法察覺(jué)針對(duì)WLAN自身的攻擊�,如802.11/802.1X 拒絕服務(wù)攻擊(Denial of Service (DoS))以及口令破解。這些系統(tǒng)不能支持與已定義的Wi-Fi安全規(guī)則的一致性�,也不能用于評(píng)估由無(wú)線(xiàn)網(wǎng)絡(luò)的濫用或誤用引起的公司網(wǎng)絡(luò)資源暴露的程度。
每一家公司-包括那些沒(méi)有授權(quán)的WLAN-都應(yīng)能夠發(fā)現(xiàn)并證實(shí)無(wú)線(xiàn)設(shè)備及其位置�、活動(dòng)�、規(guī)則沖突和攻擊����。這可以通過(guò)部署一個(gè)無(wú)線(xiàn)入侵防御系統(tǒng)(Wireless Intrusion Prevention System (WIPS))以監(jiān)視所有Wi-Fi活動(dòng)來(lái)實(shí)現(xiàn)-這些活動(dòng)對(duì)你的企業(yè)產(chǎn)生潛在的影響。WIPS使用分布式網(wǎng)絡(luò)傳感器掃描Wi-Fi使用的無(wú)線(xiàn)通道����,分析數(shù)據(jù)通信并檢測(cè)未授權(quán)的連接�����、錯(cuò)誤配置和惡意活動(dòng)。一個(gè)WIPS系統(tǒng)能夠?qū)撛谛缘耐{發(fā)出警告并幫助用戶(hù)形象地實(shí)時(shí)地展示W(wǎng)i-Fi活動(dòng)���。WIPS系統(tǒng)所維護(hù)的數(shù)據(jù)庫(kù)會(huì)答應(yīng)用戶(hù)輕易地生成調(diào)整性的和連續(xù)性的報(bào)告。
第五招:增強(qiáng)無(wú)線(xiàn)規(guī)則
當(dāng)然�����,只進(jìn)行被動(dòng)監(jiān)視是遠(yuǎn)遠(yuǎn)不夠的����。在用戶(hù)對(duì)WIPS警告響應(yīng)的時(shí)候,巨大的破壞可能已經(jīng)完成,入侵者可能早已消失得無(wú)影無(wú)蹤��。因此�,需要依靠公司及行業(yè)的規(guī)章制度和規(guī)范加強(qiáng)數(shù)據(jù)和網(wǎng)絡(luò)安全性的主動(dòng)防御。
部署一個(gè)無(wú)線(xiàn)入侵防御系統(tǒng)有其必要性,非凡是它可給與用戶(hù)快速增強(qiáng)已定義的規(guī)則的能力,并可斷開(kāi)未授權(quán)的、欺詐性的無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)���,終止客戶(hù)端的錯(cuò)誤行為,阻止規(guī)則無(wú)法控制的通信����,還可用于對(duì)付DoS攻擊��。為了完成這些目標(biāo)���,必須謹(jǐn)慎選擇并配置WIPS系統(tǒng)���,例如:
●認(rèn)真規(guī)劃傳感器的位置�,避免“盲點(diǎn)”-然后需要驗(yàn)證所期望的覆蓋范圍
●需要采用一種可自動(dòng)地、精確地對(duì)新發(fā)現(xiàn)的設(shè)備進(jìn)行分類(lèi)的設(shè)備,從而使得“包含”這些設(shè)備的行動(dòng)總是適當(dāng)?shù)?����,并不?huì)入侵相鄰的WLAN系統(tǒng)。
●測(cè)試你的WIPS的有效性以快速準(zhǔn)確地確認(rèn)欺詐性訪(fǎng)問(wèn)點(diǎn)、非正常連接和客戶(hù)端以及其它重要的Wi-Fi威脅。
●警惕那些生成錯(cuò)誤警告和錯(cuò)誤單元估計(jì)的系統(tǒng),這些系統(tǒng)通過(guò)給你發(fā)送消息讓你進(jìn)行徒勞的搜索�����。
●為了遵循數(shù)據(jù)保密性的要求(這些要求需要嚴(yán)格的策略強(qiáng)化)�,選擇一種能對(duì)付多種安全威脅的無(wú)線(xiàn)入侵防御系統(tǒng),此系統(tǒng)應(yīng)該能夠工作在實(shí)時(shí)的升級(jí)模式。
●最后,檢查WIPS警告和報(bào)告以了解WIPS如何加強(qiáng)你的策略�。WIPS給你一種能力使你可以控制無(wú)線(xiàn)空間�,但是明智地使用這種能力卻完全信賴(lài)于你���。
雖然每一家公司都是不同的��,但大多數(shù)公司最終會(huì)發(fā)現(xiàn)一個(gè)綜合性的防御體系需要上述的所有措施�����,它們協(xié)同工作以減輕常見(jiàn)的Wi-Fi威脅。然而��,任何一項(xiàng)安全措施只有在風(fēng)險(xiǎn)治理的背景下才能產(chǎn)生最大的效益����。
假如你的公司將要使用Wi-Fi,請(qǐng)從評(píng)估企業(yè)面臨的威脅及其潛在的影響開(kāi)始�,定義你的Wi-Fi需要:Wi-Fi用于支持企業(yè)活動(dòng)的何人��、何事����、何地、何時(shí)��。檢查所有暴露的Wi-Fi設(shè)備以及它們?cè)鯓颖慌既徽`用或遭受故意的攻擊��。
然后考慮每一種安全事件的可能性和相關(guān)的成本�����。你不可能減輕每一種可能的威脅。假如你沒(méi)有良好的企業(yè)風(fēng)險(xiǎn)治理�,也不可能真正的知道有多少時(shí)間和金錢(qián)花費(fèi)在威脅的處理上��。完成Wi-Fi漏洞評(píng)估和企業(yè)風(fēng)險(xiǎn)分析可以幫助你關(guān)注產(chǎn)生最大影響的措施所引起的安全預(yù)算。
一旦你已經(jīng)定義了一種用于減輕企業(yè)最要害的Wi-Fi威脅的安全策略�����,那就使用本文所介紹的這五招去實(shí)施你的策略并治理企業(yè)風(fēng)險(xiǎn)�����。雖然Wi-Fi安全并非自動(dòng)化的或簡(jiǎn)單的事情�,但依靠那些可用的工具并通過(guò)策略定義和強(qiáng)化完全可以實(shí)現(xiàn)�。總之�,運(yùn)用本文所述的最佳方法可幫助你實(shí)現(xiàn)公司網(wǎng)絡(luò)的安全性和完整性�。
