企业网络的无线安全完善

    目前无线网络随着无线路由器的普及，一些公司或家庭因为不同设备（笔记本、手机、电视、PDA、PSP等）无线上网的需求，在办公区域或家中增设了无线AP（接入点，全称Access Point），大大增强了上网设备的机动性，弥补了有线网络的局限性。无线虽然不可见，但无线网络的普及程度却是随处可见的，因此，当人们走进酒店、餐馆、商务区、运动场馆等场所，都可以很快搜索到附近的无线接入点，方便、快捷地享受上网冲浪的乐趣。

    1、企业无线网络现状

    在企业网络中，特别是还没有系统规划自己的企业级无线网络安全规范的网络，对于无线网络的建设没有获得足够的重视，而为了满足一些新业务的需求，或是解决员工便捷的办公网络环境，往往会轻易地将一个AP接入企业的网络中来。无线网络的安全隐患早在多年前就被比较有前瞻性的人所预见，而今，随着无线网络普及程度的提高以及相关工具的日益丰富，特别是在近年来，无线安全问题犹如“忽闻一夜春风来，千树万树梨花开”之态势很突兀地暴露在公众面前。

    对于一个企业来说，这样的网络现状所带来的安全风险更大一些，由于以前的网络安全规范中对无线安全没有足够的规划，因此，随着企业网络中的无线AP不断增加，由于部署和使用人员的安全意识和专业知识的不足，形成了各种厂家、型号各异的AP并存，同时，分布混乱，设备安全性脆弱。这给企业的网络信息安全带来了极大安全风险。面对整个城域网中庞大的无线设备，在暂时无充足的整改资金投入的情况下，需要专业的网络管理人员制定一个过渡的安全优化方案，来缓解企业无线网络面临的安全威胁。

    2、安全的无线网络

    作为新兴技术，人们更多关注的是无线网络应用的便捷性，而对其安全性往往不够重视，然而我们已渐渐在不知不觉中被推送到无线网络安全威胁的风口浪尖，攻击可能就发生在我们身边，攻击代码甚至可以从我们眼前飘过。因为公司内松外严的管理制度很容易给以局域网身份侵入的非法用户提供更多的便利条件。那么作为公司，又该如何防范呢？要管理好企业无线安全，我们需要解决两个方面的问题。

    一，对于授权使用的AP设备，我们必须保障AP设备的安全、用户访问安全、数据传输的安全以及规范的申请开通流程。二，对于没有授权的AP设备，应该能够自动识别并阻断其工作，以达到保护整个企业网络安全的目的。因为有线网络中可能出现的危害，无线网络中基本都能做到，而且通常情况下，一个私自搭建的无线接入点很可能会破坏掉整个防御体系。

    3、无线网络建设

    然而，当我们真正关注无线网络安全，又会发现防范无线网络安全威胁在当下并非易事。虽然市场上已经有多种成熟的网络安全产品，可以提供包括访问控制、监控、攻击防御、审计、管理等多种用途，但是所有这些都是基于有线网络环境，因为传输载体的不同，其触角无法到达无线网络；而现实的情况是，互联网已经从原有的有线网络拓扑扩展到边界模糊的无线网络连接，这就势必造成整体网络安全的盲区或薄弱点。

    因此为了防范无线网络安全威胁，必须重新审视现有的网络边缘，从每个无线AP开始，对其重新规范，一个合理、安全的企业AP接入流程：

\

    3.1授权的AP安全

    3.1.1无线热点的统一认证

    无线ap常见的有WEP、WPA.PSK/WPA2一PSK，还有就是企业和运营商使用的WPA—Enterprise，也就是我们常说的基于RADIUS服务器的EAP认证。为了有效地管理分散部署在分公司各个办公地点的各种无线AP，我们启用了Radius服务器，对所有无线设备进行统一认证、授权，并对每个人（设备），都分配实名信息进行认证记录，对获取的ip进行绑定，对访问的行为进行审计。

    3.1.2无线热点接入

    （1）为了确保企业各办公地点的无线AP，不会被无关的手机、笔记本、IPAD等终端非授权访问，通过关闭AP的SSID广播功能，在办公终端设备上以配置文件方式，通过静默方式连接。如果设备支持，可以通过优化调整AP设备，降低天线增益或功率，缩小覆盖范围。

    （2）对各地需要通过无线接入的终端设备，进行mac过滤，确保只有那些在企业注册过的硬件设备，才能通过这些AP进入企业内部网络。

    （3）对每个地点的AP，规划不同的DHCP地址池，区分同一个帐号在不同的办公地点的访问审计。

    （4）对每个授权的AP，要限制其可接受管理的设备（MAC或IP），并要求定期修改其管理密码，对密码复杂度进行限制，并对其修改记录日志，进行统一存储与管理。

    3.1.3无线访问的数据加密

    由于无线AP不论采用WEP、WPAWPA2加密，都可能被不法人员进行无线网络嗅探，从而轻易完成破解，完成非法入侵、导致信息泄露，因此，我们建立了企业内部网络的IPSEC VPN服务器，在接入层或汇聚层通过ACL，限制所有的AP只能访问它，而不能访问其它任何资源。因此，用户在接入了AP后，必须通过IPSECVPN客户端，来完成各项操作，通过这种方式，完成传输数据的可靠加密，防止无线信息被嗅探后，造成的企业敏感信息丢失。

    3.1.4安全制度

    （1）各部门进行无线现状清理，对私自搭建的进行拆除。对已有必须使用的AP进行整合，尽量保持数量最小，并且覆盖合理。

    （2）各部门今后使用的无线AP，必须在企业信息化部门注册，并对硬件设备配置进行规范后，方可联入网络。

    3.2非授权的AP

（编辑：ASP站长网）