目前無線網(wǎng)絡(luò)隨著無線路由器的普及,一些公司或家庭因?yàn)椴煌O(shè)備(筆記本、手機(jī)、電視、PDA、PSP等)無線上網(wǎng)的需求,在辦公區(qū)域或家中增設(shè)了無線AP(接入點(diǎn),全稱Access Point),大大增強(qiáng)了上網(wǎng)設(shè)備的機(jī)動性,彌補(bǔ)了有線網(wǎng)絡(luò)的局限性。無線雖然不可見,但無線網(wǎng)絡(luò)的普及程度卻是隨處可見的,因此,當(dāng)人們走進(jìn)酒店、餐館、商務(wù)區(qū)、運(yùn)動場館等場所,都可以很快搜索到附近的無線接入點(diǎn),方便、快捷地享受上網(wǎng)沖浪的樂趣。
1、企業(yè)無線網(wǎng)絡(luò)現(xiàn)狀
在企業(yè)網(wǎng)絡(luò)中,特別是還沒有系統(tǒng)規(guī)劃自己的企業(yè)級無線網(wǎng)絡(luò)安全規(guī)范的網(wǎng)絡(luò),對于無線網(wǎng)絡(luò)的建設(shè)沒有獲得足夠的重視,而為了滿足一些新業(yè)務(wù)的需求,或是解決員工便捷的辦公網(wǎng)絡(luò)環(huán)境,往往會輕易地將一個AP接入企業(yè)的網(wǎng)絡(luò)中來。無線網(wǎng)絡(luò)的安全隱患早在多年前就被比較有前瞻性的人所預(yù)見,而今,隨著無線網(wǎng)絡(luò)普及程度的提高以及相關(guān)工具的日益豐富,特別是在近年來,無線安全問題猶如“忽聞一夜春風(fēng)來,千樹萬樹梨花開”之態(tài)勢很突兀地暴露在公眾面前。
對于一個企業(yè)來說,這樣的網(wǎng)絡(luò)現(xiàn)狀所帶來的安全風(fēng)險更大一些,由于以前的網(wǎng)絡(luò)安全規(guī)范中對無線安全沒有足夠的規(guī)劃,因此,隨著企業(yè)網(wǎng)絡(luò)中的無線AP不斷增加,由于部署和使用人員的安全意識和專業(yè)知識的不足,形成了各種廠家、型號各異的AP并存,同時,分布混亂,設(shè)備安全性脆弱。這給企業(yè)的網(wǎng)絡(luò)信息安全帶來了極大安全風(fēng)險。面對整個城域網(wǎng)中龐大的無線設(shè)備,在暫時無充足的整改資金投入的情況下,需要專業(yè)的網(wǎng)絡(luò)管理人員制定一個過渡的安全優(yōu)化方案,來緩解企業(yè)無線網(wǎng)絡(luò)面臨的安全威脅。
2、安全的無線網(wǎng)絡(luò)
作為新興技術(shù),人們更多關(guān)注的是無線網(wǎng)絡(luò)應(yīng)用的便捷性,而對其安全性往往不夠重視,然而我們已漸漸在不知不覺中被推送到無線網(wǎng)絡(luò)安全威脅的風(fēng)口浪尖,攻擊可能就發(fā)生在我們身邊,攻擊代碼甚至可以從我們眼前飄過。因?yàn)楣緝?nèi)松外嚴(yán)的管理制度很容易給以局域網(wǎng)身份侵入的非法用戶提供更多的便利條件。那么作為公司,又該如何防范呢?要管理好企業(yè)無線安全,我們需要解決兩個方面的問題。
一,對于授權(quán)使用的AP設(shè)備,我們必須保障AP設(shè)備的安全、用戶訪問安全、數(shù)據(jù)傳輸?shù)陌踩约耙?guī)范的申請開通流程。二,對于沒有授權(quán)的AP設(shè)備,應(yīng)該能夠自動識別并阻斷其工作,以達(dá)到保護(hù)整個企業(yè)網(wǎng)絡(luò)安全的目的。因?yàn)橛芯網(wǎng)絡(luò)中可能出現(xiàn)的危害,無線網(wǎng)絡(luò)中基本都能做到,而且通常情況下,一個私自搭建的無線接入點(diǎn)很可能會破壞掉整個防御體系。
3、無線網(wǎng)絡(luò)建設(shè)
然而,當(dāng)我們真正關(guān)注無線網(wǎng)絡(luò)安全,又會發(fā)現(xiàn)防范無線網(wǎng)絡(luò)安全威脅在當(dāng)下并非易事。雖然市場上已經(jīng)有多種成熟的網(wǎng)絡(luò)安全產(chǎn)品,可以提供包括訪問控制、監(jiān)控、攻擊防御、審計(jì)、管理等多種用途,但是所有這些都是基于有線網(wǎng)絡(luò)環(huán)境,因?yàn)閭鬏斴d體的不同,其觸角無法到達(dá)無線網(wǎng)絡(luò);而現(xiàn)實(shí)的情況是,互聯(lián)網(wǎng)已經(jīng)從原有的有線網(wǎng)絡(luò)拓?fù)鋽U(kuò)展到邊界模糊的無線網(wǎng)絡(luò)連接,這就勢必造成整體網(wǎng)絡(luò)安全的盲區(qū)或薄弱點(diǎn)。
因此為了防范無線網(wǎng)絡(luò)安全威脅,必須重新審視現(xiàn)有的網(wǎng)絡(luò)邊緣,從每個無線AP開始,對其重新規(guī)范,一個合理、安全的企業(yè)AP接入流程:
3.1授權(quán)的AP安全
3.1.1無線熱點(diǎn)的統(tǒng)一認(rèn)證
無線ap常見的有WEP、WPA.PSK/WPA2一PSK,還有就是企業(yè)和運(yùn)營商使用的WPA—EntERPrise,也就是我們常說的基于RADIUS服務(wù)器的EAP認(rèn)證。為了有效地管理分散部署在分公司各個辦公地點(diǎn)的各種無線AP,我們啟用了Radius服務(wù)器,對所有無線設(shè)備進(jìn)行統(tǒng)一認(rèn)證、授權(quán),并對每個人(設(shè)備),都分配實(shí)名信息進(jìn)行認(rèn)證記錄,對獲取的ip進(jìn)行綁定,對訪問的行為進(jìn)行審計(jì)。
3.1.2無線熱點(diǎn)接入
(1)為了確保企業(yè)各辦公地點(diǎn)的無線AP,不會被無關(guān)的手機(jī)、筆記本、IPAD等終端非授權(quán)訪問,通過關(guān)閉AP的SSID廣播功能,在辦公終端設(shè)備上以配置文件方式,通過靜默方式連接。如果設(shè)備支持,可以通過優(yōu)化調(diào)整AP設(shè)備,降低天線增益或功率,縮小覆蓋范圍。
(2)對各地需要通過無線接入的終端設(shè)備,進(jìn)行mac過濾,確保只有那些在企業(yè)注冊過的硬件設(shè)備,才能通過這些AP進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)。
(3)對每個地點(diǎn)的AP,規(guī)劃不同的DHCP地址池,區(qū)分同一個帳號在不同的辦公地點(diǎn)的訪問審計(jì)。
(4)對每個授權(quán)的AP,要限制其可接受管理的設(shè)備(MAC或IP),并要求定期修改其管理密碼,對密碼復(fù)雜度進(jìn)行限制,并對其修改記錄日志,進(jìn)行統(tǒng)一存儲與管理。
3.1.3無線訪問的數(shù)據(jù)加密
由于無線AP不論采用WEP、WPA\WPA2加密,都可能被不法人員進(jìn)行無線網(wǎng)絡(luò)嗅探,從而輕易完成破解,完成非法入侵、導(dǎo)致信息泄露,因此,我們建立了企業(yè)內(nèi)部網(wǎng)絡(luò)的IPSEC VPN服務(wù)器,在接入層或匯聚層通過ACL,限制所有的AP只能訪問它,而不能訪問其它任何資源。因此,用戶在接入了AP后,必須通過IPSECVPN客戶端,來完成各項(xiàng)操作,通過這種方式,完成傳輸數(shù)據(jù)的可靠加密,防止無線信息被嗅探后,造成的企業(yè)敏感信息丟失。
3.1.4安全制度
(1)各部門進(jìn)行無線現(xiàn)狀清理,對私自搭建的進(jìn)行拆除。對已有必須使用的AP進(jìn)行整合,盡量保持?jǐn)?shù)量最小,并且覆蓋合理。
(2)各部門今后使用的無線AP,必須在企業(yè)信息化部門注冊,并對硬件設(shè)備配置進(jìn)行規(guī)范后,方可聯(lián)入網(wǎng)絡(luò)。
3.2非授權(quán)的AP
在企業(yè)內(nèi)部網(wǎng)絡(luò)中,必須拒絕非授權(quán)的AP接入。要實(shí)現(xiàn)這一點(diǎn),首先,必須能識別出AP,然后才能判斷是否授權(quán)。但是,如何在網(wǎng)絡(luò)中自動識別出私接亂建的AP,思科的MSE系統(tǒng)只能解決cisco自己的AP設(shè)備,對其它廠家,沒法處理。華為等其他廠商的產(chǎn)品也同樣存在這樣的問題,針對企業(yè)內(nèi)部各種廠家的AP,目前還缺乏一個統(tǒng)一的解決方案。
因此,我們可以換一種思路來考慮這個問題。在標(biāo)準(zhǔn)的企業(yè)網(wǎng)絡(luò)模型中,AP一般都是接在接入層網(wǎng)絡(luò)設(shè)備上,而接入層主要是負(fù)責(zé)本地和遠(yuǎn)程工作組接入的,它工作在企業(yè)網(wǎng)絡(luò)內(nèi)部,默認(rèn)的安全策略往往是允許接入。但是,在引入AP設(shè)備后,由于AP的特殊性,本來我們認(rèn)為相對安全的內(nèi)部接入層,開始變得不再可以盲目信任,,要求對每一個接入點(diǎn)進(jìn)行安全驗(yàn)證。對于主機(jī)接入,通過安裝的Agent,將采集的信息發(fā)給認(rèn)證服務(wù)器進(jìn)行合規(guī)判斷,以決定是否可以入網(wǎng),對于那些硬件設(shè)備,由于不能自行安裝這類Agent,必須通知網(wǎng)絡(luò)管理員,對他們的IP進(jìn)行例外,以保證其正常工作。
因此,對接入層的設(shè)備啟用網(wǎng)絡(luò)準(zhǔn)入認(rèn)證,就可以達(dá)到自動識別AP的目的。
常用的幾種網(wǎng)絡(luò)準(zhǔn)入:
由于公司網(wǎng)絡(luò)屬于IT城域網(wǎng),無法實(shí)現(xiàn)交換到桌面,網(wǎng)絡(luò)還有大量的HUB,因此排除802.IX認(rèn)證,所以我們采用Cisco EOU和NACC兩種認(rèn)證方式混合部署。
針對企業(yè)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的不同,可以在Cisco L2 EOU/L3 EOU以及NACC三種具體實(shí)施方案進(jìn)行靈活組合,L2 EOU是Cisco推薦的方案,它是最貼近用戶部署,理論上可以提供最大限度的安全特性,但是接入層不同的CISCO接入交換機(jī)存在接入終端數(shù)限制不同,需要在實(shí)施過程考慮這些因素,避免因此影響正常網(wǎng)絡(luò)通信;L3 EOU可以在匯接層上啟用EOU,通過TRUNK鏈路,對遠(yuǎn)程的接入層設(shè)備進(jìn)行準(zhǔn)入管理,由于匯接層設(shè)備往往性能較高,能提供更多的準(zhǔn)入終端,同時通用中繼鏈路,能提供更靈活的部署;NACC在統(tǒng)一出口或總線型、星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)部署,通過策略路由對需要路由轉(zhuǎn)發(fā)的信息,進(jìn)行網(wǎng)絡(luò)準(zhǔn)入驗(yàn)證功能。
4、結(jié)語
在一個大型網(wǎng)絡(luò)中,存在了大量不同廠家的不同型號的AP設(shè)備接入的情況下,文中提供一種投資不大,操作簡單并且可以平滑過渡的網(wǎng)絡(luò)安全改造方案。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:企業(yè)網(wǎng)絡(luò)的無線安全優(yōu)化
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121510917.html