無線安全案例實播

SS是一家有將近30名員工的策劃公司，在一幢大廈的8層租用了超過300平米的寫字間。公司爲每一個員工配備了臺式計算機，而不少員工還擁有本身的筆記本電腦。在最初的時候SS公司是沒有無線網絡的，但自從財務部Jack在家裏享受到無線上網的樂趣以後，這種技術正以一種微妙的方式在SS公司內部蔓延開來。最初是Jack本身花錢在公司安置了一個無線訪問點(AP)，隨之而來的就是在短短一個月的時間裏，公司員工的筆記本電腦上都多了一塊無線網卡。這種情況給公司的網絡管理員Morris帶來了很多困擾，雖然他清楚的知道公司的任何計算機設備都應該被統一管理，可是SS歷來是不多限制員工自由的。當Morris還在思索如何與Jack以及公司的管理層交涉這個問題的時候，一場危機已經在悄然發生了。以後的一個月裏，公司參與的3宗投標項目均告失敗，因爲一直以來SS對本身的策劃案都具備很高的信心，象這樣直截了當的被淘汰，讓全部人都感到很是迷惑。公司啓動了一切例行的檢查，以發現是否是競爭者從公司得到了什麼信息。讓咱們仍是回到Morris這裏，他首先按照網絡管理備案中的檢查表對環境進行了細緻的分析和調查，憑藉本身的的直覺，Morris認爲公司的無線網絡是個很大的疑點。在最近的一些夜間聚會上，Morris一個在網絡安全公司供職的死黨seven向他談起過一些無線安全方面的問題，因此他打電話和seven討論了事件的狀況。在一個週六的下午，seven和Morris在與Jack溝通以後，利用一些嗅探程序對無線網絡進行了監控。最後的結局很符合戲劇情節，咱們的英雄seven和Morris逮到了***者，同樓層一家公司的員工在無心之中發現了SS的無線頻段，開始的時候他還只是藉着SS的Internet鏈路沖沖浪，但當他發現能夠無限制出入SS局域網的時候，整件事情就演變成了一場商業犯罪。

這個案件反映了正統無線安全問題背後的一個隱憂，那就是既使公司沒有籌建本身的無線網絡，無線網絡的安全問題仍有可能給公司形成威脅。該案件中的問題是由於員工私裝設備引發的，除了這種狀況以外，還有一些狀況可能更難以被察覺。因爲無線信號利用空氣來傳播，因此無線設備可以更好的被隱藏。在一個機櫃紛亂的以太線纜背後隱蔽的插接一個AP是很容易辦到的，在疏於管理的環境下，甚至幾個月都不會被發現。在一些更大規模的企業中，這樣的漏洞可能很難被發現，而在以後的某天，讓全部人目瞪口呆的災難就會發生。

儘管基於802.11協議的無線網絡技術所存在的安全風險一直讓人深感擔心，可是咱們並不能所以放棄咱們的努力。下面簡短的給出一些無線網絡實施的安全建議，這些建議大部分取自Morris後來實施無線安全的備忘錄，並增長了一些咱們的描述。

對信號覆蓋範圍瞭如指掌 部署了無線網絡以後，應該用可移動的無線設備完全的勘測信號覆蓋狀況，並反映在公司的網絡拓撲圖裏。因爲無線信號是全向性的，因此某些狀況下還須要到你的上層和下層查看一番。若是信號的覆蓋超過了公司的物理範圍，就必須作出相應的處理，好比移動AP的位置，也能夠象SS所作的那樣，以帶有屏蔽效果的材質「裝飾」他們的外牆。另外要特別注意一點，隨着信號區域內物體的移動，信號覆蓋範圍可能會發生變更，在標記範圍的時候最好爲那些可能對信號產生較大影響的物體作特別的標註。並且某個地點在檢查時沒有信號不表明一小時以後信號不會泄漏到這裏，因此在檢測到的覆蓋範圍上擴展5%的比例。

啓用無線設備的安全能力 保護無線網絡安全的最基礎手段是加密，經過簡單的設置AP和無線網卡等設備，就能夠啓用WEP加密。雖然WEP加密自己存在一些漏洞而且比較脆弱，可是仍然能夠給非法訪問設置不小的障礙。咱們建議常常對WEP密鑰進行更換，在有條件的狀況下啓用獨立的認證服務爲WEP自動分配密鑰。另一個必須注意的問題就是用於標識每一個無線網絡的SSID，在部署無線網絡的時候必定要將出廠時的缺省SSID更換爲自定義的SSID。如今的AP大部分都支持屏蔽SSID廣播，除非有特殊理由，不然應該禁用SSID廣播，這樣能夠減小無線網絡被發現的可能。

使用安全性高的部署方式 相對來講，將無線網絡配置成ad-hoc(端對端互連)模式會在很大程度上增長管理負擔和安全風險，儘量使全部客戶端都經過AP鏈接。另外咱們建議將AP放置在企業的安全防護設備以外，不要象SS公司最初那樣(請參考前面的拓撲圖示)，將AP插接在局域網內部，這樣對於慣常使用的邊界安全防護模式來講，近乎於爲***者敞開了大門。正確的方法是將AP部署在防火牆以外，使通過AP的訪問都受到防火牆的過濾。同時咱們還能夠利用防火牆及其它設施執行地址綁定，阻止未被容許的地址訪問咱們的內部網絡。

資訊同樣很重要 作爲極具前景並仍在快速發展的一項技術，不少無線設備廠商和相關的組織都在努力的工做以期使無線網絡變得更安全。應該密切留意相關的動向，也許你發現明天就會有一個更新發布，而它能解決你一直苦惱的問題。另外，對相關安全技術資訊保持必定程度的跟蹤也會使你在面對問題時更加遊刃有餘。

實施以外 按照處理安全問題的原則，實施只是安全管理的開始。面對高度動態變化的網絡環境，咱們須要一直保持高度的警戒性。相對來講，無線網絡比有線網絡更須要啓用平常監測手段以發現安全問題，若是沒有專門的設備，可使用一些針對無線網絡環境的***檢測軟件。按期檢查、變動管理這些常務的安全工做也要認真的執行，由於沒有任何設施是自然安全的，只有在管理中對安全作出足夠的努力，才能得到所指望的安全。