最近筆者幫助一位朋友在公司內(nèi)建立了一套無線網(wǎng)絡(luò)應(yīng)用系統(tǒng)，今天筆者就借此機(jī)會(huì)和各位讀者一起了解下在中小企業(yè)內(nèi)部建立無線網(wǎng)絡(luò)所遇到的問題，通過分析無線網(wǎng)絡(luò)威脅以及防御方法讓我們可以建立一個(gè)更安全更有效的無線內(nèi)網(wǎng)。

一，中小企業(yè)無線網(wǎng)絡(luò)與傳統(tǒng)有線網(wǎng)絡(luò)的差別和特點(diǎn)：(如圖1)

筆者的這位朋友是一個(gè)小公司的網(wǎng)絡(luò)管理人員，之前他租用了辦公大樓一層兩個(gè)房間作為業(yè)務(wù)辦公使用，最近隨著公司規(guī)模的擴(kuò)大又增加了辦公樓二層兩個(gè)房間。不過擴(kuò)張后新問題就出現(xiàn)了，以前都是通過有線網(wǎng)絡(luò)將兩個(gè)房間連接到一起，但是現(xiàn)在地域上出現(xiàn)了跨樓層問題。如果重新架線就需要對(duì)樓板進(jìn)行施工，姑且不說增加的施工費(fèi)用，就是施工過程所需時(shí)間也會(huì)對(duì)原有業(yè)務(wù)有所影響。正在其一籌莫展時(shí)碰到了我，在我的建議下決定通過無線網(wǎng)絡(luò)來解決上述網(wǎng)絡(luò)互連問題。

眾所周知有線網(wǎng)絡(luò)是通過網(wǎng)線將各個(gè)網(wǎng)絡(luò)設(shè)備連接到一起，不管是路由器，交換機(jī)還是計(jì)算機(jī)，網(wǎng)絡(luò)通訊都需要網(wǎng)線和網(wǎng)卡;而無線網(wǎng)絡(luò)則大大不同，目前我們廣泛應(yīng)用的802.11標(biāo)準(zhǔn)無線網(wǎng)絡(luò)是通過2.4GHz無線信號(hào)進(jìn)行通訊的，由于采用無線信號(hào)通訊，在網(wǎng)絡(luò)接入方面就更加靈活了，只要有信號(hào)就可以通過無線網(wǎng)卡完成網(wǎng)絡(luò)接入的目的;同時(shí)網(wǎng)絡(luò)管理者也不用再擔(dān)心交換機(jī)或路由器端口數(shù)量不足而無法完成擴(kuò)容工作了?？偟膩碚f中小企業(yè)無線網(wǎng)絡(luò)相比傳統(tǒng)有線網(wǎng)絡(luò)的特點(diǎn)主要體現(xiàn)在以下兩個(gè)方面。

(1)無線網(wǎng)絡(luò)組網(wǎng)更加靈活：

無線網(wǎng)絡(luò)使用無線信號(hào)通訊，網(wǎng)絡(luò)接入更加靈活，只要有信號(hào)的地方都可以隨時(shí)隨地將網(wǎng)絡(luò)設(shè)備接入到企業(yè)內(nèi)網(wǎng)。因此在企業(yè)內(nèi)網(wǎng)應(yīng)用需要移動(dòng)辦公或即時(shí)演示時(shí)無線網(wǎng)絡(luò)優(yōu)勢(shì)更加明顯。

(2)無線網(wǎng)絡(luò)規(guī)模升級(jí)更加方便：

無線網(wǎng)絡(luò)終端設(shè)備接入數(shù)量限制更少，相比有線網(wǎng)絡(luò)一個(gè)接口對(duì)應(yīng)一個(gè)設(shè)備，無線路由器容許多個(gè)無線終端設(shè)備同時(shí)接入到無線網(wǎng)絡(luò)，因此在企業(yè)網(wǎng)絡(luò)規(guī)模升級(jí)時(shí)無線網(wǎng)絡(luò)優(yōu)勢(shì)更加明顯。#p#

二，從安全先天不足分析企業(yè)無線網(wǎng)絡(luò)威脅：

雖然建立了企業(yè)無線網(wǎng)絡(luò)順利的將多個(gè)房間多個(gè)樓層的網(wǎng)絡(luò)設(shè)備連接到了一起，但是新問題又產(chǎn)生了，筆者的朋友發(fā)現(xiàn)自從有了無線網(wǎng)絡(luò)后病毒與木馬入侵企業(yè)內(nèi)網(wǎng)的事件也多了起來，公司計(jì)算機(jī)頻繁感染病毒，無線路由器還被人惡意修改過幾次密碼。那么這是否意味著無線網(wǎng)絡(luò)自身在安全方面表現(xiàn)欠缺呢?

相比有線網(wǎng)絡(luò)而言無線網(wǎng)絡(luò)在靈活性和易升級(jí)等方面存在優(yōu)勢(shì)，但是由于無線網(wǎng)絡(luò)是通過無線信號(hào)進(jìn)行通訊，任何人在有信號(hào)的地方都可以獲取通訊數(shù)據(jù)，所以無線網(wǎng)絡(luò)在內(nèi)網(wǎng)安全方面存在先天不足，這也是很多企業(yè)網(wǎng)絡(luò)管理者所擔(dān)憂的，俗話說“知己知彼，百戰(zhàn)百勝”，在探尋無線網(wǎng)絡(luò)安全防御方法之前我們首先要知道企業(yè)無線網(wǎng)絡(luò)所面臨的安全威脅。

(1)加密密文頻繁被破早已不再安全：

曾幾何時(shí)無線通訊最牢靠的安全方式就是針對(duì)無線通訊數(shù)據(jù)進(jìn)行加密，加密方式種類也很多，從最基本的WEP加密到WPA加密。然而從去年開始這些加密方式被陸續(xù)破解，首先是WEP加密技術(shù)被黑客在幾分鐘內(nèi)破解;繼而在今年11月國(guó)外研究員將WPA加密方式中TKIP算法逆向還原出明文。

WEP與WPA加密都被破解，這樣就使得目前無線通訊只能夠通過自己建立Radius驗(yàn)證服務(wù)器或使用WPA2來提高通訊安全了。不過WPA2并不是所有設(shè)備都支持的。

(2)無線數(shù)據(jù)sniffer讓無線通訊毫無隱私：

另一個(gè)讓用戶最不放心的就是由于無線通訊的靈活性，只要有信號(hào)的地方入侵者就一定可以通過專業(yè)無線數(shù)據(jù)sniffer類工具嗅探出無線通訊數(shù)據(jù)包的內(nèi)容，不管是加密的還是沒有加密的，借助其他手段都可以查看到具體的通訊數(shù)據(jù)內(nèi)容。像隱藏SSID信息，修改信號(hào)發(fā)射頻段等方法在無線數(shù)據(jù)sniffer工具面前都無濟(jì)于事。

然而從根本上杜絕無線sniffer又不太現(xiàn)實(shí)，畢竟信號(hào)覆蓋范圍廣泛是無線網(wǎng)絡(luò)的一大特色。所以說無線數(shù)據(jù)sniffer讓無線通訊毫無隱私是其先天不安全的一個(gè)主要體現(xiàn)。

(3)修改MAC地址讓過濾功能形同虛設(shè)：

雖然無線網(wǎng)絡(luò)應(yīng)用方面提供了諸如MAC地址過濾的功能，很多用戶也確實(shí)使用該功能保護(hù)無線網(wǎng)絡(luò)安全，但是由于MAC地址是可以隨意修改的，我們通過注冊(cè)表或網(wǎng)卡屬性都可以偽造MAC地址信息。所以當(dāng)我們通過無線數(shù)據(jù)sniffer工具查找到有訪問權(quán)限MAC地址通訊信息后，就可以將非法入侵主機(jī)的MAC地址進(jìn)行偽造，從而讓MAC地址過濾功能形同虛設(shè)。#p#

三，從解決方案入手提高企業(yè)無線安全：

既然選擇了無線網(wǎng)絡(luò)組建企業(yè)內(nèi)網(wǎng)，我們就應(yīng)該用好他，如何有效的提高無線網(wǎng)絡(luò)的安全呢?通過上文我們知道了無線網(wǎng)絡(luò)存在三個(gè)方面的先天不足，那么是否有辦法利用后天的操作彌補(bǔ)呢?筆者的朋友再次向本人求助，我也針對(duì)上面的幾大問題提供了相應(yīng)的解決方案。

(1)拋棄WEP以及TKIP用更安全更高級(jí)的加密：

WEP加密以及WPA中的TKIP加密方式已經(jīng)不再安全，所以我們可以轉(zhuǎn)向其他安全加密方式。例如目前應(yīng)用的WPA2還是非常安全的，我們可以嘗試使用WPA2加密方式來提高無線網(wǎng)絡(luò)的安全。另外我國(guó)倡導(dǎo)和研發(fā)的WAPI協(xié)議也是非常安全的。

不過可能有的網(wǎng)絡(luò)管理者會(huì)遇到自己的設(shè)備不支持WPA2加密方式，那么我們也不用著急和擔(dān)心，要知道WPA加密方式有兩種，其中之一的TKIP已經(jīng)被破解，但是另外一個(gè)還是非常安全的。他就是AES加密，我們通過無線路由器或AP設(shè)置加密方式時(shí)會(huì)在WPA加密下拉菜單中看到他的身影，選擇AES加密可以確保通訊是安全的，不會(huì)被破解。(如圖2)

(2)使用中文SSID讓無線sniffer暈頭轉(zhuǎn)向：

除了通過高級(jí)加密方式提高無線通訊安全外，我們還可以將無線網(wǎng)絡(luò)的SSID信息進(jìn)行更改，使用中文字符命名SSID可以讓無線sniffer工具徹底迷糊。(如圖3)

使用中文SSID后不管是隱藏還是直接廣播入侵者通過無線sniffer工具看到的SSID信息將成為亂碼，這樣他們就無法順利的確認(rèn)SSID明文信息了，從而保證了無線網(wǎng)絡(luò)的安全。(如圖4)

(3)多重防范策略結(jié)合互相彌補(bǔ)缺陷：

前文中提到了MAC地址過濾遇到了偽造MAC信息的問題，從而形同虛設(shè)。不過在實(shí)際設(shè)置過程中我們可以通過多重防范策略相互結(jié)合的方法來彌補(bǔ)各自缺陷。例如開啟MAC地址過濾后同時(shí)在具備權(quán)限的計(jì)算機(jī)上綁定無線路由器或AP的接入MAC地址信息，這樣通過雙向綁定的方法擊潰偽造MAC地址手段的入侵。

雙向綁定的方法多用于企業(yè)內(nèi)部針對(duì)ARP欺騙病毒進(jìn)行防御，不過對(duì)于偽造MAC地址非法入侵無線網(wǎng)絡(luò)來說同樣奏效。除了這種結(jié)合外我們還可以將MAC地址綁定與中文SSID設(shè)置以及WPA2加密等方法結(jié)合，從而在根本上徹底斷掉入侵者的攻擊念頭。#p#

(4)無線安全莫忘接入點(diǎn)：

除了針對(duì)無線網(wǎng)絡(luò)各個(gè)參數(shù)進(jìn)行安全防護(hù)外，我們也不能夠忘記無線接入點(diǎn)的安全。一般來說企業(yè)會(huì)使用無線路由器或AP來提供接入服務(wù)，這些設(shè)備的安全同樣不容忽視。

首先我們要對(duì)這些接入設(shè)備設(shè)置密碼，不要使用默認(rèn)口令或者弱口令;其次每當(dāng)接入設(shè)備廠商推出新版本升級(jí)固件時(shí)都應(yīng)該及時(shí)升級(jí)，擴(kuò)展功能彌補(bǔ)相應(yīng)的漏洞，從而避免入侵者利用設(shè)備漏洞入侵無線網(wǎng)絡(luò)。

(5)切忌過分依賴無線網(wǎng)絡(luò)：

企業(yè)內(nèi)部一般都是將無線網(wǎng)絡(luò)作為有線網(wǎng)絡(luò)的補(bǔ)充，采取兩者結(jié)合的方式開展內(nèi)網(wǎng)應(yīng)用。所以作為企業(yè)網(wǎng)絡(luò)管理者來說應(yīng)該本著能有線就不要用無線的原則，在有線網(wǎng)絡(luò)接口能夠覆蓋的地方繼續(xù)使用有線網(wǎng)絡(luò);不到萬不得已不使用無線網(wǎng)絡(luò)，這樣可以大大減少無線網(wǎng)絡(luò)被入侵的機(jī)率。

(6)合理擺放適當(dāng)調(diào)節(jié)工具讓信號(hào)收放自如：

無線網(wǎng)絡(luò)的信號(hào)是造成不安全的最大問題，因此我們可以通過合理擺放無線設(shè)備的位置調(diào)節(jié)信號(hào)覆蓋訪問讓其更好的為企業(yè)內(nèi)網(wǎng)服務(wù)，在一些邊緣區(qū)域可以通過設(shè)備自身的調(diào)節(jié)無線信號(hào)發(fā)射功率的功能減少信號(hào)功率，從而阻止入侵者在邊緣區(qū)域sniffer企業(yè)通訊數(shù)據(jù)。(如圖5)

了解了以上六個(gè)行之有效的方法并實(shí)施到企業(yè)實(shí)際應(yīng)用后，我們企業(yè)的無線內(nèi)網(wǎng)才能夠更加安全。上述先天不足的安全威脅才會(huì)得到最大限度的解除。

【編輯推薦】

1. 專家答疑：如何應(yīng)對(duì)網(wǎng)絡(luò)安全威脅
2. 實(shí)況無線網(wǎng)絡(luò)安全—簡(jiǎn)析無線安全實(shí)施策略