隨著WIFI技術的廣泛應用,越來越多的企業組建了基于WIFI接入的Intranet企業網,分享無線網絡給企業生產、管理及營銷帶來的極大便利。WIFI技術發展至今,全球目前已有約7億WIFI用戶。無線網絡技術的快速發展,使得用戶無論是在何時何地都能方便地與其他人保持在線聯系。然而,WIFI網絡在訪問接入及數據傳輸過程中都容易出現安全問題,輕者可能令企業網絡性能下降,重者可能使企業遭受嚴重的經濟損失。
1、WIFI技術概述
WIFI(lifeless Fidelity)無線保真技術,又稱802.11b標準。WIFI是一種短程無線傳輸技術,能夠在100 m范圍支持網絡間的無線連接WIFI的傳輸速率最高可達54 Mbps,能夠廣泛支持數據和多媒體業務的傳輸,無線覆蓋范圍不受現實地理條件的限制,非常適合高效率的企業組網需求。WIFI定義了兩種類型的設備:一種是無線接入站點設備,一般是配置有無線網卡的計算機;另一種是無線接入訪問點AP,其作用是提供無線網絡和有線網絡之間的橋接。一個1線接入點通常由一個無線輸出口和一個有線的網絡接口構成,無線接入點就像一個無線基站,可將企業內部的無線網絡聚合到ISP的有線網絡上。
2、企業WIFI網絡安全問題
WIFI網絡安全問題主要分為兩種類型:第一種安全間題是WIFI網絡的訪問控制策略以及網絡傳輸數據的保密性和完整性問題;第二種安全問題是基于WIFI的Intranet網絡拓撲設計、網絡設備的安裝與參數配置方面的安全問題。
2.1無線信號搜索發現
WIFI網絡無線信號的發送很容易被搜索發現,這為非法用戶接入WIFI網絡創造了基本條件,現在有根多像NetStumble這樣的軟件用于發現WIFI無線網絡信號。正如前面所述,因為各種原因造成較多的WIFI網絡加密功能較弱,一般的企業WIFI網絡即使采用了加密功能,但沒有關閉無線接入點設備的廣播信息功能,其廣播信息中就大量攜帶了許多可以用來推斷WEP密鑰的明文信息,其中包括WIFT網絡的名稱、SSID號等重要信息,這些信息為非法用戶人侵WIFI網絡創造了必要條件。
2.2網絡傳輸數據信息泄露
WIFI網絡傳輸的數據信息泄露主要包括對數據傳輸包的捕獲,是一種被動的入侵方式,并不破壞網絡數據的傳輸而不易被發現。即使WIFI網絡不對外廣播信息,非法用戶也能夠使用一些網絡工具來(如AiroPeek和TCPDump)監聽和分析通信流量,捕獲WIFI網絡中傳輸的明文數據信息。
2.3網絡訪問認證欺騙
非法用戶偽裝成合法的WIFI網絡用戶或者網絡地址,欺騙WIFI網絡的認證機制人侵網絡,從而達到非法訪問網絡資源的目的。目前有很多網絡工具可以修改像MAC這樣的信息來偽裝成合法的WIFI網絡用戶。眾所周知TCP/IP是一個開放的協議,基于TCP/IP協議的網絡根據MAC/IP地址進行接入網絡認證,只要偽裝成合法的地址就可以輕易欺騙網絡接入認證。
3、企業WIFI網絡安全策略
根據本文對企業WIFI網絡的管理與維護實踐經驗,為了排除無線網絡的安全威脅,常采用以下幾種安全措施來綜合提高無線網絡的安全性。
3.1 WIFI網絡安全的整體設計
要提高企業WIFI網絡的安全性,在設計網絡時就要考慮網絡的整體安全,對網絡用途、密級進行論證,根據企業實際情況全面分析可能出現的安全威脅。當確定有潛在的安全問題時,要把網絡安全性納入網絡的規劃設計,采取系統和整體策略來實現企業WIFI網絡的安全。
3.2無線信號擴頻技術
無線信號擴頻技術是用來進行數據保密傳輸的一種通信技術。擴展頻譜發送器用一個非常弱的功率信號在一個很寬的頻率范圍內發射出去,與窄帶射頻相反,它將所有的能量集中到一個單一的頻點閻。這種技術使無線信號的通信頻率不斷變換,擴展頻譜發送器將無線信號按順序發送到各個頻率通道上,并在每一通道上停留固定的時間,周期性轉換前將覆蓋所有頻率通道。如果不事先知道在每一頻率通道上停留的時間長短和跳頻圖案等規則信息,本系統外的站點就無法接收和譯碼無線通信數據。
3.3啟用WEP加密功能
WEP數據加密技術是IEEE802.11b協議中最基本的無線網絡安全策略,其主要用途包括提供接入控制及防止未授權用戶訪問網絡,。提高企業WIFI網絡信息安全的基本方法就是正確啟用無線網絡的WEP數據加密功能,要能夠正確啟用WEP機制來實現加密與認證功能,則要從以下五個方面進行:
(1)在網絡傳輸的每幀數據中插人幀校驗和來檢驗數據的完整性,防止非法用戶在數據流中插人已知文本來試圖破解WEP加密的密鑰。
(2)確保每個無線站點和無線訪問接入點AP上都同時啟用WEP功能。
(3)不使用常見的WEP密鑰,更不能使用缺省設置。
(4) WEP密鑰由用戶來設定并能夠經常更改。
(5)要使用高的WEP版本并不斷升級更新。
3.4 過濾網絡接入站點的MAC地址與IP地址
無線接入站點的MAC地址是入網認證的重要依在訪問接入點AP上設置MAC地址過濾策略可以有效防止非法用戶的入侵,這對企業中一般使用相對固定的網絡站點是非常有用的一種安全措施。啟用MAC地址過濾一般包括三個方面:
(1)在服務訪問點AP上啟用MAG過濾器選項。
(2)統計企業所有的入網站點的MAC地址并添加到AP列表記錄上,只有這些MAC地址可以接入網絡。
(3)定期檢查AP的日志記錄,判斷是否有人企圖非法接入WIFI網絡。
3.5屏蔽SSID廣播信息
SSID ( Service Set Identifier)服務集標識用來標識不同無線網絡的名稱,是網絡站點找到指定無線網絡的重要信息。通過關閉服務訪問點AP對外的SSID廣播信息,即使非凡用戶搜索到無線網絡信號,但也無法判斷是哪個網絡,也無法進行人網連接,只有合法用戶采用企業網管事先分配的網絡ID名稱才能安全接入本無線網絡。
4、企業WIFI網絡安全案例
根據企業性質的不同,WIFI網絡安全的需求也不一樣。根據長期積累的實踐經驗,針對不同企業對WIFI網絡的需求,制定了一套WIFI網絡安全應用方案。
4.1中小企業WIFI網絡安全方案
對于中小型企業用戶來說,使用網絡的范圍相對較小且終端用戶數量有限,初級安全方案完全可以滿足這些企業的網絡安全需求,且投資成本低,配置方便效果顯著。初級安全方案建議使用傳統的WEP認證與加密技術,一般的WIFI無線接入訪問點AP由無線路由器擔當,目前的無線路由器支持6a位和128位的WEP認.證與加密來提高網絡傳輸中的數據安全,防止數據被盜用。小型企業WIFI網絡的站點數量一般較少而且相對固定不變,可以給每臺站點手工配置WEP密鑰來提高安全性。在站點數量有限的情況下還可以進一步通過在接入訪問點AP(無線路由器)中設置基于站點MAC地址過濾方式來防止非法用戶的接入。
4.2大型企業WIFI網絡安全方案
對安全性要求很高的大型企業、金融機構等組建的WIFI網絡,需要采用綜合性的網絡安全措施。在部署的各個WIFI網絡節點環節(AP)啟用安全設置,在網絡中心節點采用802.1x認證機制,在網絡數據傳輸環節采用虛擬專用網VPN技術來進一步提高網絡的安全性能。虛擬專用網VPN技術目前已經廣泛應用于企業網絡的遠程接入和數據在公網平臺上的傳輸,建議在大型企業內網中傳輸敏感或者關鍵信息數據時也能采用VPN服務器進行處理,從而保證數據全程傳輸的安全性。虛擬專用網VPN協議包括數據鏈路層中PPTP/L2TP協議及網絡層中的IPsec協議網,這些協議實現數據的加密傳輸。VPN實現了數據幀級的信息安全,具有比WEP協議實現的數據報級加密更高的安全性,可以支持站點與WIFI網絡之間端到端的安全接入。
5、結束語
在實際的WIFI網絡組建、管理與維護過程中,一方面要熟練地綜合應用各種網絡安全技術;另一方面要加強對用戶的管理。禁止用戶私自安裝AP,規定用戶不得把網絡設置信息告訴單位外部人員等。只有做到技術和管理的結合才能構建安全的WIFI網絡平臺。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.hanmeixuan.com/
本文標題:基于WIFI的企業網信息安全研究
相關文章
