目前無(wú)線網(wǎng)絡(luò)隨著無(wú)線路由器的普及,一些公司或家庭因?yàn)椴煌O(shè)備(筆記本、手機(jī)、電視、PDA、PSP等)無(wú)線上網(wǎng)的需求,在辦公區(qū)域或家中增設(shè)了無(wú)線AP(接入點(diǎn),全稱Access Point),大大增強(qiáng)了上網(wǎng)設(shè)備的機(jī)動(dòng)性,彌補(bǔ)了有線網(wǎng)絡(luò)的局限性。無(wú)線雖然不可見(jiàn),但無(wú)線網(wǎng)絡(luò)的普及程度卻是隨處可見(jiàn)的,因此,當(dāng)人們走進(jìn)酒店、餐館、商務(wù)區(qū)、運(yùn)動(dòng)場(chǎng)館等場(chǎng)所,都可以很快搜索到附近的無(wú)線接入點(diǎn),方便、快捷地享受上網(wǎng)沖浪的樂(lè)趣。
1、企業(yè)無(wú)線網(wǎng)絡(luò)現(xiàn)狀
在企業(yè)網(wǎng)絡(luò)中,特別是還沒(méi)有系統(tǒng)規(guī)劃自己的企業(yè)級(jí)無(wú)線網(wǎng)絡(luò)安全規(guī)范的網(wǎng)絡(luò),對(duì)于無(wú)線網(wǎng)絡(luò)的建設(shè)沒(méi)有獲得足夠的重視,而為了滿足一些新業(yè)務(wù)的需求,或是解決員工便捷的辦公網(wǎng)絡(luò)環(huán)境,往往會(huì)輕易地將一個(gè)AP接入企業(yè)的網(wǎng)絡(luò)中來(lái)。無(wú)線網(wǎng)絡(luò)的安全隱患早在多年前就被比較有前瞻性的人所預(yù)見(jiàn),而今,隨著無(wú)線網(wǎng)絡(luò)普及程度的提高以及相關(guān)工具的日益豐富,特別是在近年來(lái),無(wú)線安全問(wèn)題猶如“忽聞一夜春風(fēng)來(lái),千樹(shù)萬(wàn)樹(shù)梨花開(kāi)”之態(tài)勢(shì)很突兀地暴露在公眾面前。
對(duì)于一個(gè)企業(yè)來(lái)說(shuō),這樣的網(wǎng)絡(luò)現(xiàn)狀所帶來(lái)的安全風(fēng)險(xiǎn)更大一些,由于以前的網(wǎng)絡(luò)安全規(guī)范中對(duì)無(wú)線安全沒(méi)有足夠的規(guī)劃,因此,隨著企業(yè)網(wǎng)絡(luò)中的無(wú)線AP不斷增加,由于部署和使用人員的安全意識(shí)和專業(yè)知識(shí)的不足,形成了各種廠家、型號(hào)各異的AP并存,同時(shí),分布混亂,設(shè)備安全性脆弱。這給企業(yè)的網(wǎng)絡(luò)信息安全帶來(lái)了極大安全風(fēng)險(xiǎn)。面對(duì)整個(gè)城域網(wǎng)中龐大的無(wú)線設(shè)備,在暫時(shí)無(wú)充足的整改資金投入的情況下,需要專業(yè)的網(wǎng)絡(luò)管理人員制定一個(gè)過(guò)渡的安全優(yōu)化方案,來(lái)緩解企業(yè)無(wú)線網(wǎng)絡(luò)面臨的安全威脅。
2、安全的無(wú)線網(wǎng)絡(luò)
作為新興技術(shù),人們更多關(guān)注的是無(wú)線網(wǎng)絡(luò)應(yīng)用的便捷性,而對(duì)其安全性往往不夠重視,然而我們已漸漸在不知不覺(jué)中被推送到無(wú)線網(wǎng)絡(luò)安全威脅的風(fēng)口浪尖,攻擊可能就發(fā)生在我們身邊,攻擊代碼甚至可以從我們眼前飄過(guò)。因?yàn)楣緝?nèi)松外嚴(yán)的管理制度很容易給以局域網(wǎng)身份侵入的非法用戶提供更多的便利條件。那么作為公司,又該如何防范呢?要管理好企業(yè)無(wú)線安全,我們需要解決兩個(gè)方面的問(wèn)題。
一,對(duì)于授權(quán)使用的AP設(shè)備,我們必須保障AP設(shè)備的安全、用戶訪問(wèn)安全、數(shù)據(jù)傳輸?shù)陌踩约耙?guī)范的申請(qǐng)開(kāi)通流程。二,對(duì)于沒(méi)有授權(quán)的AP設(shè)備,應(yīng)該能夠自動(dòng)識(shí)別并阻斷其工作,以達(dá)到保護(hù)整個(gè)企業(yè)網(wǎng)絡(luò)安全的目的。因?yàn)橛芯網(wǎng)絡(luò)中可能出現(xiàn)的危害,無(wú)線網(wǎng)絡(luò)中基本都能做到,而且通常情況下,一個(gè)私自搭建的無(wú)線接入點(diǎn)很可能會(huì)破壞掉整個(gè)防御體系。
3、無(wú)線網(wǎng)絡(luò)建設(shè)
然而,當(dāng)我們真正關(guān)注無(wú)線網(wǎng)絡(luò)安全,又會(huì)發(fā)現(xiàn)防范無(wú)線網(wǎng)絡(luò)安全威脅在當(dāng)下并非易事。雖然市場(chǎng)上已經(jīng)有多種成熟的網(wǎng)絡(luò)安全產(chǎn)品,可以提供包括訪問(wèn)控制、監(jiān)控、攻擊防御、審計(jì)、管理等多種用途,但是所有這些都是基于有線網(wǎng)絡(luò)環(huán)境,因?yàn)閭鬏斴d體的不同,其觸角無(wú)法到達(dá)無(wú)線網(wǎng)絡(luò);而現(xiàn)實(shí)的情況是,互聯(lián)網(wǎng)已經(jīng)從原有的有線網(wǎng)絡(luò)拓?fù)鋽U(kuò)展到邊界模糊的無(wú)線網(wǎng)絡(luò)連接,這就勢(shì)必造成整體網(wǎng)絡(luò)安全的盲區(qū)或薄弱點(diǎn)。
因此為了防范無(wú)線網(wǎng)絡(luò)安全威脅,必須重新審視現(xiàn)有的網(wǎng)絡(luò)邊緣,從每個(gè)無(wú)線AP開(kāi)始,對(duì)其重新規(guī)范,一個(gè)合理、安全的企業(yè)AP接入流程:
3.1授權(quán)的AP安全
3.1.1無(wú)線熱點(diǎn)的統(tǒng)一認(rèn)證
無(wú)線ap常見(jiàn)的有WEP、WPA.PSK/WPA2一PSK,還有就是企業(yè)和運(yùn)營(yíng)商使用的WPA—EntERPrise,也就是我們常說(shuō)的基于RADIUS服務(wù)器的EAP認(rèn)證。為了有效地管理分散部署在分公司各個(gè)辦公地點(diǎn)的各種無(wú)線AP,我們啟用了Radius服務(wù)器,對(duì)所有無(wú)線設(shè)備進(jìn)行統(tǒng)一認(rèn)證、授權(quán),并對(duì)每個(gè)人(設(shè)備),都分配實(shí)名信息進(jìn)行認(rèn)證記錄,對(duì)獲取的ip進(jìn)行綁定,對(duì)訪問(wèn)的行為進(jìn)行審計(jì)。
3.1.2無(wú)線熱點(diǎn)接入
(1)為了確保企業(yè)各辦公地點(diǎn)的無(wú)線AP,不會(huì)被無(wú)關(guān)的手機(jī)、筆記本、IPAD等終端非授權(quán)訪問(wèn),通過(guò)關(guān)閉AP的SSID廣播功能,在辦公終端設(shè)備上以配置文件方式,通過(guò)靜默方式連接。如果設(shè)備支持,可以通過(guò)優(yōu)化調(diào)整AP設(shè)備,降低天線增益或功率,縮小覆蓋范圍。
(2)對(duì)各地需要通過(guò)無(wú)線接入的終端設(shè)備,進(jìn)行mac過(guò)濾,確保只有那些在企業(yè)注冊(cè)過(guò)的硬件設(shè)備,才能通過(guò)這些AP進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)。
(3)對(duì)每個(gè)地點(diǎn)的AP,規(guī)劃不同的DHCP地址池,區(qū)分同一個(gè)帳號(hào)在不同的辦公地點(diǎn)的訪問(wèn)審計(jì)。
(4)對(duì)每個(gè)授權(quán)的AP,要限制其可接受管理的設(shè)備(MAC或IP),并要求定期修改其管理密碼,對(duì)密碼復(fù)雜度進(jìn)行限制,并對(duì)其修改記錄日志,進(jìn)行統(tǒng)一存儲(chǔ)與管理。
3.1.3無(wú)線訪問(wèn)的數(shù)據(jù)加密
由于無(wú)線AP不論采用WEP、WPA\WPA2加密,都可能被不法人員進(jìn)行無(wú)線網(wǎng)絡(luò)嗅探,從而輕易完成破解,完成非法入侵、導(dǎo)致信息泄露,因此,我們建立了企業(yè)內(nèi)部網(wǎng)絡(luò)的IPSEC VPN服務(wù)器,在接入層或匯聚層通過(guò)ACL,限制所有的AP只能訪問(wèn)它,而不能訪問(wèn)其它任何資源。因此,用戶在接入了AP后,必須通過(guò)IPSECVPN客戶端,來(lái)完成各項(xiàng)操作,通過(guò)這種方式,完成傳輸數(shù)據(jù)的可靠加密,防止無(wú)線信息被嗅探后,造成的企業(yè)敏感信息丟失。
3.1.4安全制度
(1)各部門進(jìn)行無(wú)線現(xiàn)狀清理,對(duì)私自搭建的進(jìn)行拆除。對(duì)已有必須使用的AP進(jìn)行整合,盡量保持?jǐn)?shù)量最小,并且覆蓋合理。
(2)各部門今后使用的無(wú)線AP,必須在企業(yè)信息化部門注冊(cè),并對(duì)硬件設(shè)備配置進(jìn)行規(guī)范后,方可聯(lián)入網(wǎng)絡(luò)。
3.2非授權(quán)的AP
在企業(yè)內(nèi)部網(wǎng)絡(luò)中,必須拒絕非授權(quán)的AP接入。要實(shí)現(xiàn)這一點(diǎn),首先,必須能識(shí)別出AP,然后才能判斷是否授權(quán)。但是,如何在網(wǎng)絡(luò)中自動(dòng)識(shí)別出私接亂建的AP,思科的MSE系統(tǒng)只能解決cisco自己的AP設(shè)備,對(duì)其它廠家,沒(méi)法處理。華為等其他廠商的產(chǎn)品也同樣存在這樣的問(wèn)題,針對(duì)企業(yè)內(nèi)部各種廠家的AP,目前還缺乏一個(gè)統(tǒng)一的解決方案。
因此,我們可以換一種思路來(lái)考慮這個(gè)問(wèn)題。在標(biāo)準(zhǔn)的企業(yè)網(wǎng)絡(luò)模型中,AP一般都是接在接入層網(wǎng)絡(luò)設(shè)備上,而接入層主要是負(fù)責(zé)本地和遠(yuǎn)程工作組接入的,它工作在企業(yè)網(wǎng)絡(luò)內(nèi)部,默認(rèn)的安全策略往往是允許接入。但是,在引入AP設(shè)備后,由于AP的特殊性,本來(lái)我們認(rèn)為相對(duì)安全的內(nèi)部接入層,開(kāi)始變得不再可以盲目信任,,要求對(duì)每一個(gè)接入點(diǎn)進(jìn)行安全驗(yàn)證。對(duì)于主機(jī)接入,通過(guò)安裝的Agent,將采集的信息發(fā)給認(rèn)證服務(wù)器進(jìn)行合規(guī)判斷,以決定是否可以入網(wǎng),對(duì)于那些硬件設(shè)備,由于不能自行安裝這類Agent,必須通知網(wǎng)絡(luò)管理員,對(duì)他們的IP進(jìn)行例外,以保證其正常工作。
因此,對(duì)接入層的設(shè)備啟用網(wǎng)絡(luò)準(zhǔn)入認(rèn)證,就可以達(dá)到自動(dòng)識(shí)別AP的目的。
常用的幾種網(wǎng)絡(luò)準(zhǔn)入:
由于公司網(wǎng)絡(luò)屬于IT城域網(wǎng),無(wú)法實(shí)現(xiàn)交換到桌面,網(wǎng)絡(luò)還有大量的HUB,因此排除802.IX認(rèn)證,所以我們采用Cisco EOU和NACC兩種認(rèn)證方式混合部署。
針對(duì)企業(yè)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的不同,可以在Cisco L2 EOU/L3 EOU以及NACC三種具體實(shí)施方案進(jìn)行靈活組合,L2 EOU是Cisco推薦的方案,它是最貼近用戶部署,理論上可以提供最大限度的安全特性,但是接入層不同的CISCO接入交換機(jī)存在接入終端數(shù)限制不同,需要在實(shí)施過(guò)程考慮這些因素,避免因此影響正常網(wǎng)絡(luò)通信;L3 EOU可以在匯接層上啟用EOU,通過(guò)TRUNK鏈路,對(duì)遠(yuǎn)程的接入層設(shè)備進(jìn)行準(zhǔn)入管理,由于匯接層設(shè)備往往性能較高,能提供更多的準(zhǔn)入終端,同時(shí)通用中繼鏈路,能提供更靈活的部署;NACC在統(tǒng)一出口或總線型、星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)部署,通過(guò)策略路由對(duì)需要路由轉(zhuǎn)發(fā)的信息,進(jìn)行網(wǎng)絡(luò)準(zhǔn)入驗(yàn)證功能。
4、結(jié)語(yǔ)
在一個(gè)大型網(wǎng)絡(luò)中,存在了大量不同廠家的不同型號(hào)的AP設(shè)備接入的情況下,文中提供一種投資不大,操作簡(jiǎn)單并且可以平滑過(guò)渡的網(wǎng)絡(luò)安全改造方案。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://m.hanmeixuan.com/
本文標(biāo)題:企業(yè)網(wǎng)絡(luò)的無(wú)線安全優(yōu)化
本文網(wǎng)址:http://m.hanmeixuan.com/html/support/11121510917.html
相關(guān)文章
