|
; Wi-Fi(Wireless Fidelity)是IEEE定义的一个无线网络通信的工业标准。目前, Wi-Fi的发展如火如荼。无论是家庭网络还是公司网络无线技术都引起人们极大的热情。但人们并没有真正关注无线网络的安全问题。结果,很多公司的信息资源被暴露在无线威胁之下,而公司却对此茫然无知,不加干预。Wi-Fi被误用、滥用或攻击可以导致财务损失,包括与调查相关的直接成本、“宕机”时间、恢复时间等,直接成本还可包括因不遵守私有数据保密规范所导致的赔偿和罚款等,还有因公司竞争能力和价值下降造成的间接损失。
由于这些需要审核和防止未授权的网络应用所带来的各种内部和外部的压力,每一家公司,甚至包含那些禁用无线网络的公司,都必须重点管理由Wi-Fi所引起的企业风险。传统的那些用于保障应用程序、操作系统和有线通信安全的措施仍然是基本的并且是有效的措施。然而,如果缺乏对无线信号的有效控制,也就意味着有线的防御就会是形同虚设。雇员经常有意无意地连接邻近的无线网络或是一些恶意网点。一些错误配置的访问点会在公司的网络中长期打开一扇未经保护的、不可见的后门。
现存的安全策略、工具、方法必须改进以面对这些新的威胁。一种有效的网络防御系统需要控制所有影响企业的无线网络活动的能力。本文将保障企业无线网络安全的难题分为五个基本的步骤。从保障无线客户端和数据安全到审核和控制Wi-Fi连接,本文推荐了一些确保当今企业网络安全性和完整性的最佳方法。
第一招:保护无线客户端
如今,正如许多手持式设备一样,95%的便携式电脑都支持Wi-Fi。不管你的公司是否支持无线网络,这种普遍存在的客户端必须确保免受这种无线威胁的损害。无论是病毒还是TCP/IP破解,还是由那些无经验的用户所引起的未授权的、意外的Wi-Fi连接都是重点防护的内容。
传统的防御通常都部署在互联网主机上,包括文件加密、反病毒和个人防火墙程序,都应该用于Wi-Fi客户端。这些措施可以使Wi-Fi客户端与TCP/IP入侵隔离开来,如在一些网络热点主机中的无意的文件共享和蠕虫泛滥。
然而,这些措施并不能阻止那些危险的Wi-Fi连接。新的客户防御需要防止雇员与邻近的WLAN或恶意站点连接。一些未受策略控制的连接是有企图的,用于绕过公司对个人电子邮件或P2P的阻止功能。不过,大多数都是非故意的,可能由某些“零配置”("zero config")软件所引起。不管怎么说,未授权的Wi-Fi连接会由于将关键数据暴露在外而损害公司的信息资产。
为了重新获得对雇员Wi-Fi的管理和控制,需要配置所有的客户端,使其只能与经过授权的服务集标识符(SSID)相联系。因为服务集标识符是无线接入的身份标识符,是无线网络用于定位服务的一项功能,用户用它来建立与接入点之间的连接。除非企业需要,一定要拒绝所有的未事先规定的连接。为了得到最好的结果,务必采用集中化的管理策略,例如,Windows的Wi-Fi连接参数可以通过活动目录组策略对象来配置。为了阻止雇员自己增加连接,可以使用一个支持对客户端配置进行锁定的第三方的管理工具。
为了自动断开不安全的连接,需要在每一台客户端上部署一个常驻主机的Wi-Fi入侵防御程序。一个常驻主机的Wi-Fi入侵防御程序能够密切注视家用的和热点WLAN中的公司膝上型电脑,需要采取措施以加强已定义的Wi-Fi策略。在公司网络的内部和外部,需要控制在什么地方及用什么手段允许与Wi-Fi的连接,这是保护职工免受恶意攻击和所有的常见无线网络错误的唯一可靠方法。
第二招:保障数据传输安全
无线网络缺乏有线以太网络所固有的物理安全性。因为墙壁、门窗、地板不能有效地包含Wi-Fi传输,所以需要采取新的防御手段来阻止对企业数据的窃听、伪造和重放攻击(replay-attack)。
如果你的公司已经使用了虚拟私有网络(VPN)以保护在公用Internet上的企业数据,就要充分利用VPN以保护离开站点的Wi-Fi的数据传输。这种持续的安全保障独立于WLAN所采用的任何措施。
有一些公司还使用VPN保护Wi-Fi线上通信站点。Wi-Fi的先行者们受到极其不安全的WEP协议的限制,无法对无线网络实施真正的安全策略。幸运的是,现在所有的Wi-Fi认证产品都提供两种经过极大改进的数据保护方法:
●WPA(Wi-Fi Protected AcCESs)使用TKIP(Temporal Key Integrity Protocol,临时密钥完整性协议),此协议将加密从固定密钥改为动态密钥,虽然还是基于RC4算法,但比采用固定密钥的WEP先进。除了密钥管理以外,它还具有以EAP(可扩展认证协议,Extensible Authentication Protocol)为核心的用户审核机制,可以通过服务器审核接入用户的ID,在一定程度上可避免黑客非法接入、窃听、伪造和Wi-Fi数据重放。这种过度性的措施可阻止WEP破坏,但要比其后续版本WPA2速度慢些,WPA应该用在那些使用遗留的老产品的WLAN中。
●WPA2从2004年年末开始被所有的Wi-Fi产品所支持,它使用802.11i和高级加密标准,以一种更加强健而有效的方式(AES-Advanced Encryption Standard)保障数据安全。AES是下一代的加密算法标准,速度快,安全级别高。多数企业的WLAN应该升级到WPA2以求强健的数据保密和完整性。
当然,VPN还能够用于今天的内部办公WLAN中。不过,VPN会增加开销并阻止漫游。大多数公司会发现最好用离站(off-site) VPN和在站(on-site)WPA2来保障数据安全。
第三招:控制公司网络使用
为了防止网络破坏,必须将每一个暴露的Wi-Fi部件(无论是访问点还是用于数据传输的交换机等)与未授权的使用隔离开。
可以从将传统的外围防御应用到无线网络的边缘开始。举例来说,通过更新补丁、关闭未用的端口以及使用安全的管理界面进一步强化无线访问点和交换机的安全。基于SSID和用户身份,将已经用于控制有线网络的虚拟局域网(VLAN)和防火墙等扩展使用,使其隔离所有通过Wi-Fi进入的数据通信。
这是一个良好的开端,但却远远不够。一些插入到网络中的配置错误的访问节点可以绕过你的防火墙,从而长期访问内部的服务器和数据。如果不实施进一步的控制,来宾和入侵者都可以使用你的无线网络窃取互联网络服务,发送钓鱼邮件或垃圾邮件,甚至攻击你的有线网络。
通过使用非默认的SSID配置访问节点,就可以减少那些非正常的Wi-Fi连接。不只如此,还需要部署Wi-Fi的访问控制以明确地拒绝未授权的客户端连接。
●由于存在着地址欺骗,千万不要依靠MAC地址过滤器实现Wi-Fi安全。
●如果你提供来宾(guest)访问,务必使用一个受控入口以跟踪使用,并且增强时间、带宽的限制。
●在小型的无线局域网中,使用支持预共用密钥模式(pre-shared key,PSK,又称为个人模式)的WPA或WPA2,只准许经过授权的并且提交随机长口令的客户端访问网络资源。这特别适用家用WLAN使用。
●在企业级WLAN中,由于需要对个人用户实施更强的口令控制,务必对被允许到达公司网络的Wi-Fi连接部署802.1x以便实施授权和审核。在与服务器授权证书一起使用时,802.1X可以帮助客户端避免连接到虚假的访问节点。
最后一点,增强Wi-Fi数据保护和访问控制是至关重要的。一个集中化的WLAN管理程序能够帮助减少访问节点的错误配置,并且在遭受故障或攻击之后加速恢复的过程。
第四招:审核无线网络活动
不管你如何仔细部署你的网络、客户端和无线安全措施,一些意想不到的及未授权的无线访问活动仍然可能会发生。为了满足大多数企业面临的内、外审核的需要,你需要监视公司网络内所有Wi-Fi设备所执行的操作,并做出相应的报告。
关于无线通信,传统的审核资源(如防火墙日志和有线网络入侵检测系统)是不够的。这些系统只能监视有线网络内部的数据通信。对于超出策略范围的Wi-Fi连接,它们是“看”不到的。它们无法察觉针对WLAN自身的攻击,如802.11/802.1X拒绝服务攻击(Denial of Service (DoS))以及口令破解。这些系统不能支持与已定义的Wi-Fi安全规则的一致性,也不能用于评估由无线网络的滥用或误用引起的公司网络资源暴露的程度。
每一家公司-包括那些没有授权的WLAN-都应能够发现并证明无线设备及其位置、活动、规则冲突和攻击。这可以通过部署一个无线入侵防御系统(Wireless Intrusion Prevention System (WIPS))以监视所有Wi-Fi活动来实现-这些活动对你的企业产生潜在的影响。WIPS使用分布式网络传感器扫描Wi-Fi使用的无线通道,分析数据通信并检测未授权的连接、错误配置和恶意活动。一个WIPS系统能够对潜在性的威胁发出警告并帮助用户形象地实时地展示Wi-Fi活动。WIPS系统所维护的数据库会允许用户轻易地生成调整性的和连续性的报告。
第五招:增强无线规则
当然,只进行被动监视是远远不够的。在用户对WIPS警告响应的时候,巨大的破坏可能已经完成,入侵者可能早已消失得无影无踪。因此,需要依靠公司及行业的规章制度和规范加强数据和网络安全性的主动防御。
部署一个无线入侵防御系统有其必要性,特别是它可给与用户快速增强已定义的规则的能力,并可断开未授权的、欺诈性的无线访问点,终止客户端的错误行为,阻止规则无法控制的通信,还可用于对付DoS攻击。为了完成这些目标,必须谨慎选择并配置WIPS系统,例如:
●认真规划传感器的位置,避免“盲点”-然后需要验证所期望的覆盖范围
●需要采用一种可自动地、精确地对新发现的设备进行分类的设备,从而使得“包含”这些设备的行动总是适当的,并不会入侵相邻的WLAN系统。
●测试你的WIPS的有效性以快速准确地确认欺诈性访问点、非正常连接和客户端以及其它重要的Wi-Fi威胁。
●警惕那些生成错误警告和错误单元估计的系统,这些系统通过给你发送消息让你进行徒劳的搜索。
●为了遵循数据保密性的要求(这些要求需要严格的策略强化),选择一种能对付多种安全威胁的无线入侵防御系统,此系统应该能够工作在实时的升级模式。
●最后,检查WIPS警告和报告以了解WIPS如何加强你的策略。WIPS给你一种能力使你可以控制无线空间,但是明智地使用这种能力却完全信赖于你。
虽然每一家公司都是不同的,但大多数公司最终会发现一个综合性的防御体系需要上述的所有措施,它们协同工作以减轻常见的Wi-Fi威胁。然而,任何一项安全措施只有在风险管理的背景下才能产生最大的效益。
如果你的公司将要使用Wi-Fi,请从评估企业面临的威胁及其潜在的影响开始,定义你的Wi-Fi需要:Wi-Fi用于支持企业活动的何人、何事、何地、何时。检查所有暴露的Wi-Fi设备以及它们怎样被偶然误用或遭受故意的攻击。
然后考虑每一种安全事件的可能性和相关的成本。你不可能减轻每一种可能的威胁。如果你没有良好的企业风险管理,也不可能真正的知道有多少时间和金钱花费在威胁的处理上。完成Wi-Fi漏洞评估和企业风险分析可以帮助你关注产生最大影响的措施所引起的安全预算。
一旦你已经定义了一种用于减轻企业最关键的Wi-Fi威胁的安全策略,那就使用本文所介绍的这五招去实施你的策略并管理企业风险。虽然Wi-Fi安全并非自动化的或简单的事情,但依靠那些可用的工具并通过策略定义和强化完全可以实现。总之,运用本文所述的最佳方法可帮助你实现公司网络的安全性和完整性。
| 
