人工客服
獲取報價
獲取資料
方案定制
項目合作
售后服務
咨詢熱線
400-608-6677 轉810
400-608-6677 轉810
2019-07-10
2235
CC
為了方便企業日常辦公的需要,不少企業都部署了無線網絡。在有線網絡時代,要想登錄企業無線網絡,必須將網線插在企業網絡的交換機中;部署了無線網絡之后,只要在無線網絡的覆蓋范圍之內,用戶就可以登錄企業網絡。不妨大膽的設想一下,攻擊者手持裝有無線網卡的筆記本,在企業辦公室外面就可以輕松暢游企業網絡,無意之中,企業無線網絡成為了泄密之門,為此,無線網絡安全必須引起高度重視。
無線網絡安全隱患知多少?
誠然,無線網絡的出現,極大方便了企業的日常辦公。以往,企業員工頻繁穿梭于各個會議室,經常苦于沒有足夠的網絡接口,無線網絡的出現,企業員工可以在企業的每個角落登錄網絡。由于無線網絡是借助空氣作為傳輸介質的的一種組網模式,具有一定的開放性,無線網絡也有一定的安全隱患。在無線網絡的實際應用中,安全隱患主要體現在以下幾個方面:
1、 網絡帶寬被盜用
很多企業使用無線路由器或者是無線AP組建無線網絡,非法接入者只要在企業無線網絡的覆蓋范圍之內就可以盜用企業的帶寬資源。就這樣,企業網絡的帶寬被非法接入者白白盜用。如果非法接入者沒事兒玩一下視頻聊天,P2P下載這樣耗費帶寬的互聯網應用,企業網絡將會出現擁塞的現象。
2、企業商業機密外泄
企業網絡中通常會存放著企業的一些商業合同及客戶資料,入侵者一旦成功登錄無線網絡,企業的商業機密將會受到威脅。由于很多企業員工電腦安全意識的缺乏,電腦的口令通常為空,或者非常簡單,這種情況之下,入侵者登錄了企業網絡之后,企業的商業機密豈不是暴露于入侵者的面前?對于企業的資料,入侵者可以隨意復制、刪除或更改,屆時,企業的正常運營也會受到影響。
3、危及企業電腦安全
時下,一些技術高超的“黑客”們可以通過互聯網控制企業網絡的電腦,無線網絡自然也不例外。開放式的無線網絡,為黑客入侵企業網絡制造了便利條件。一旦黑客登錄了企業網絡,企業的電腦將會被黑客玩弄于股掌之間,一夜之間,企業電腦的硬盤被格式化絕不是危言聳聽。
誠然,無線網絡的出現提高了企業的辦公效率,也帶來了巨大的安全隱患。為此,企業網管必須周密防范,打造一個安全的無線網絡。從技術角度講,保障企業無線網絡的安全,其本質就是禁止非授權使用無線網絡,很多企業都使用加密的手段禁止非授權使用的。
用加密保障企業無線網絡安全
對無線網絡的加密,可以通過對無線網絡設備進行配置來實現的。對企業無線網絡加密時,不僅要考慮到實用性,更要考慮到安全性,這也是企業無線網絡加密的基本原則。下面,筆者以無線路由器為例,向大家介紹一下無線網絡的加密方式。
其實,無線路由器的多項設置都可以達到對無線網絡加密的目的。下面,筆者把一些常用的加密模式優缺介紹給大家,大家可以根據自己的實際情況,選擇一種適合自己的網絡加密模式。
1、合理配置SSID廣播
每個無線網絡都會有一個SSID號碼,這也是用戶進入無線網絡的一張通行證。打個比方講,SSID號碼相當于Windows XP中的帳號,如果沒有SSID號碼,計算機是無法進入無線網絡的。
通常情況下,無線路由器會將該無線網絡的SSID號碼進行廣播,既便是不知道無線網絡SSID號碼的用戶也可以登錄無線網絡。對于企業用戶而言,啟用無線路由器的SSID廣播是非常危險的,為此,企業無疑網絡必須將SSID廣播禁用。將無線路由器的SSID廣播禁用之后,未獲得授權計算機將無法登錄企業無線網絡,這可以保障企業無線網絡的安全。不過,禁用了SSID廣播之后,用戶的無線網絡仍然可以使用,只是不會出現在其他人所搜索到的可用網絡列表中,為了安全,企業網管還要更改無線路由器的默認SSID號碼。
細心的網管都會發現,一些品牌無線路由器的默認SSID號碼非常有規律,如TP-Link無線路由器的默認SSID號碼是“TP-Link”。如果不更改無線路由器默認的SSID號碼,入侵者可以非常容易的猜測到SSID號碼并登錄企業無線網絡。為此,企業網管必須為自己無線網絡取一個不易被外人猜到的SSID號碼。
禁用SSID廣播方法很簡單,直接進入無線路由器的配置界面,把“允許SSID廣播”禁用即可。不過,禁用了SSID廣播后會降低無線路由器的工作效率。
2、禁用DHCP服務
從表面看,DHCP服務與無線網絡安全是風馬牛不相及的事情,事實上,DHCP的啟用對企業無線網絡也是一種威脅。眾所周知,計算機要想登錄無線網絡,除了需要SSID號碼這個通行證外,還需要得到一個授權的IP地址。
在DHCP服務開啟狀態下,無線路由器會自動為進入無線網絡的計算機分配IP地址、子網掩碼、網關及DNS服務器地址等信息,入侵者不費吹灰之力就可以進入無線網絡。企業的計算機終端數量有限,企業無線網絡完全可以手工分配IP地址,這樣不僅可以提高無線網絡的安全,也方便企業網絡的管理。
進入無線路由器的配置界面,選擇“DHCP服務器”中的“DHCP服務”,將“不啟用”打勾即可禁用DHCP服務。禁用了DHCP服務之后,必須重新啟動路由器才有效。禁用DHCP服務后,企業網管還需要在計算機客戶端為其配置IP地址才可以登錄無線網絡。
啟用DHCP服務會加重無線路由器的負擔,隨著用戶的增多,無線路由器的負擔也越重。更重要的是,啟用DHPC服務還會為企業無線網絡產生不安全因素。禁用DHCP服務器可以減少無線路由器的開銷,提高無線路由器的工作效率,讓企業無線網絡更安全。
3、開啟無線網絡加密
禁用SSID廣播,關閉DHCP服務一定程度上可以防止非授權訪問,但這兩種方法仍有一定的局限性,對于資深黑客而言,上述兩種方法形同虛設。企業無線網絡必須開啟無線網絡加密,這樣可以最大限度的保障企業無線網絡的安全。
目前,一般無線路由器會提供WEP、WPA/WPA2和WPA-PSK/WPA2-PSK三種加密方式,這三種加密方式的區別在于安全系數不同。在這三種加密方式中,WPA-PSK/WPA2-PSK是最安全的一種加密方式,遺憾的是一些無線路由器中并沒有提供該種加密方式。
WEP加密技術也叫有線等效加密技術,該技術非正規加密標準,而且存在不少安全漏洞,使用該技術加密的無線數據很容易被攻擊。WPA-PSK/WPA2-PSK是企業無線網絡最常用的一種加密方式,也是一種比較安全的加密方式。相比之下,WPA/WPA2加密方式最安全,但需要認證服務器,不適合中小企業無線網絡使用。
在無線路由器的“基本設置”頁面中,將“開啟安全設置激活”。選擇“WPA-PSK/WPA2-PSK”加密模式,選擇合適的“安全選項”和“加密方法”后輸入PSK密碼,再設定組密鑰更新周期就可以了。
加密之后,企業網管還需要在計算機端進行相應的配置,把密鑰填寫進去,否則,計算機是無法登錄無線網絡的。用戶使用的加密模式越復雜,無線路由器的負擔也就越重。為此,用戶也沒有必要選擇安全級別太高的加密模式,適用即可。
4、啟用IP地址和MAC地址過濾
隨著網絡技術的發展,防火墻組件已經成為無線路由器的一個標準配置。在防火墻功能中,提供了基于IP地址和MAC地址過濾的安全選項,這也是加固企業無線網絡安全的一個功能組件。
IP地址過濾選項,主要是為了防范未經授權進入無線網絡的入侵者。無論是有線網絡還是無線網絡,要想成為其合法用戶,必須擁有一個IP地址,如果把非法的IP地址過濾掉,用戶將很難入侵企業無線網絡。MAC地址過濾的實現方法與IP地址過濾相同,因為每一塊網卡在全球擁有唯一的一個地址,即MAC地址,如果將這個MAC地址禁用了,入侵者是無法進入該無線網絡的。相比之下,MAC地址過濾功能更安全,只是需要將企業網絡內所有計算機的MAC地址填寫到MAC地址過濾規則中去。
要想激活MAC地址過濾和IP地址過濾兩項功能,必須先啟用無線路由器的防火墻功能組件。如果欲使用MAC地址過濾功能,激活該功能后,還要根據企業無線網絡的需要調整一下缺少的過濾規則。啟用MAC地址過濾功能,我們是想讓企業網絡內的所有機器都能夠訪問互聯網,為此,MAC地址的缺省過濾規則應該為“僅允許已設MAC地址列表中已啟用的MAC地址訪問Internet”。設置好MAC地址缺省過濾規則之后,把企業網絡內所有計算機的MAC地址填寫到MAC地址過濾列表中就可以了。如圖八,我們把總經理電腦的MAC地址填寫到MAC地址過濾列表中,凡是不在該表的計算機均無法訪問企業的無線網絡。要想獲取整個網絡的MAC地址,可以借助超級網上鄰居等軟件。
IP地址過濾功能的設置與MAC地址過濾設置基本相同,唯一改變的是把MAC地址換成IP地址。啟用MAC地址和IP地址過濾功能之后會加重無線路由器的負擔,因為無線路由器要對每一個接入無線路由器的信息一一進行辨別。由于IP地址用戶可以更改,為此,最有效的加密方式是MAC地址過濾,因為用戶網卡的MAC地址不能輕易改變。
哪種加密模式最安全
企業的互聯網應用無非是瀏覽網頁查閱資料,收發電子郵件,對網絡帶寬的要求并不是很高,但對安全性能的要求卻非常苛刻。在上述敘述的四種加密方式中,哪種可以保障企業無線網絡的安全?由于一些加密方式會消耗路由器的性能,影響網絡傳輸質量,但企業網絡最大的要求是安全,其次才是傳輸質量。
結束語:
企業無線網絡的安全已經成為一個不可忽視的話題。對于企業而言,網絡安全高于一切,企業網管也應在無線網絡安全方面多下功夫,切莫讓無線網絡成為企業的泄密之門!
