无线安全案例实播

SS是一家有将近30名员工的策划公司，在一幢大厦的8层租用了超过300平米的写字间。公司为每一个员工配备了台式计算机，而不少员工还拥有本身的笔记本电脑。在最初的时候SS公司是没有无线网络的，但自从财务部Jack在家里享受到无线上网的乐趣以后，这种技术正以一种微妙的方式在SS公司内部蔓延开来。最初是Jack本身花钱在公司安置了一个无线访问点(AP)，随之而来的就是在短短一个月的时间里，公司员工的笔记本电脑上都多了一块无线网卡。这种情况给公司的网络管理员Morris带来了很多困扰，虽然他清楚的知道公司的任何计算机设备都应该被统一管理，可是SS历来是不多限制员工自由的。当Morris还在思索如何与Jack以及公司的管理层交涉这个问题的时候，一场危机已经在悄然发生了。以后的一个月里，公司参与的3宗投标项目均告失败，因为一直以来SS对本身的策划案都具备很高的信心，象这样直截了当的被淘汰，让全部人都感到很是迷惑。公司启动了一切例行的检查，以发现是否是竞争者从公司得到了什么信息。让咱们仍是回到Morris这里，他首先按照网络管理备案中的检查表对环境进行了细致的分析和调查，凭借本身的的直觉，Morris认为公司的无线网络是个很大的疑点。在最近的一些夜间聚会上，Morris一个在网络安全公司供职的死党seven向他谈起过一些无线安全方面的问题，因此他打电话和seven讨论了事件的状况。在一个周六的下午，seven和Morris在与Jack沟通以后，利用一些嗅探程序对无线网络进行了监控。最后的结局很符合戏剧情节，咱们的英雄seven和Morris逮到了***者，同楼层一家公司的员工在无心之中发现了SS的无线频段，开始的时候他还只是借着SS的Internet链路冲冲浪，但当他发现能够无限制出入SS局域网的时候，整件事情就演变成了一场商业犯罪。

这个案件反映了正统无线安全问题背后的一个隐忧，那就是既使公司没有筹建本身的无线网络，无线网络的安全问题仍有可能给公司形成威胁。该案件中的问题是由于员工私装设备引发的，除了这种状况以外，还有一些状况可能更难以被察觉。因为无线信号利用空气来传播，因此无线设备可以更好的被隐藏。在一个机柜纷乱的以太线缆背后隐蔽的插接一个AP是很容易办到的，在疏于管理的环境下，甚至几个月都不会被发现。在一些更大规模的企业中，这样的漏洞可能很难被发现，而在以后的某天，让全部人目瞪口呆的灾难就会发生。

尽管基于802.11协议的无线网络技术所存在的安全风险一直让人深感担心，可是咱们并不能所以放弃咱们的努力。下面简短的给出一些无线网络实施的安全建议，这些建议大部分取自Morris后来实施无线安全的备忘录，并增长了一些咱们的描述。

对信号覆盖范围了如指掌 部署了无线网络以后，应该用可移动的无线设备完全的勘测信号覆盖状况，并反映在公司的网络拓扑图里。因为无线信号是全向性的，因此某些状况下还须要到你的上层和下层查看一番。若是信号的覆盖超过了公司的物理范围，就必须作出相应的处理，好比移动AP的位置，也能够象SS所作的那样，以带有屏蔽效果的材质“装饰”他们的外墙。另外要特别注意一点，随着信号区域内物体的移动，信号覆盖范围可能会发生变更，在标记范围的时候最好为那些可能对信号产生较大影响的物体作特别的标注。并且某个地点在检查时没有信号不表明一小时以后信号不会泄漏到这里，因此在检测到的覆盖范围上扩展5%的比例。

启用无线设备的安全能力 保护无线网络安全的最基础手段是加密，经过简单的设置AP和无线网卡等设备，就能够启用WEP加密。虽然WEP加密自己存在一些漏洞而且比较脆弱，可是仍然能够给非法访问设置不小的障碍。咱们建议常常对WEP密钥进行更换，在有条件的状况下启用独立的认证服务为WEP自动分配密钥。另一个必须注意的问题就是用于标识每一个无线网络的SSID，在部署无线网络的时候必定要将出厂时的缺省SSID更换为自定义的SSID。如今的AP大部分都支持屏蔽SSID广播，除非有特殊理由，不然应该禁用SSID广播，这样能够减小无线网络被发现的可能。

使用安全性高的部署方式 相对来讲，将无线网络配置成ad-hoc(端对端互连)模式会在很大程度上增长管理负担和安全风险，尽量使全部客户端都经过AP链接。另外咱们建议将AP放置在企业的安全防护设备以外，不要象SS公司最初那样(请参考前面的拓扑图示)，将AP插接在局域网内部，这样对于惯常使用的边界安全防护模式来讲，近乎于为***者敞开了大门。正确的方法是将AP部署在防火墙以外，使通过AP的访问都受到防火墙的过滤。同时咱们还能够利用防火墙及其它设施执行地址绑定，阻止未被容许的地址访问咱们的内部网络。

资讯同样很重要 作为极具前景并仍在快速发展的一项技术，不少无线设备厂商和相关的组织都在努力的工做以期使无线网络变得更安全。应该密切留意相关的动向，也许你发现明天就会有一个更新发布，而它能解决你一直苦恼的问题。另外，对相关安全技术资讯保持必定程度的跟踪也会使你在面对问题时更加游刃有余。

实施以外 按照处理安全问题的原则，实施只是安全管理的开始。面对高度动态变化的网络环境，咱们须要一直保持高度的警戒性。相对来讲，无线网络比有线网络更须要启用平常监测手段以发现安全问题，若是没有专门的设备，可使用一些针对无线网络环境的***检测软件。按期检查、变动管理这些常务的安全工做也要认真的执行，由于没有任何设施是自然安全的，只有在管理中对安全作出足够的努力，才能得到所指望的安全。