扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:zdnet安全频道 来源:论坛整理 2008年10月19日
关键字: 无线网络
|
为了方便企业日常办公的需要,不少企业都部署了无线网络。在有线网络时代,要想登录企业无线网络,必须将网线插在企业网络的交换机中;部署了无线网络之后,只要在无线网络的覆盖范围之内,用户就可以登录企业网络。不妨大胆的设想一下,攻击者手持装有无线网卡的笔记本,在企业办公室外面就可以轻松畅游企业网络,无意之中,企业无线网络成为了泄密之门,为此,无线网络安全必须引起高度重视。
无线网络安全隐患知多少? 诚然,无线网络的出现,极大方便了企业的日常办公。以往,企业员工频繁穿梭于各个会议室,经常苦于没有足够的网络接口,无线网络的出现,企业员工可以在企业的每个角落登录网络。由于无线网络是借助空气作为传输介质的的一种组网模式,具有一定的开放性,无线网络也有一定的安全隐患。在无线网络的实际应用中,安全隐患主要体现在以下几个方面: 1、 网络带宽被盗用 很多企业使用无线路由器或者是无线AP组建无线网络,非法接入者只要在企业无线网络的覆盖范围之内就可以盗用企业的带宽资源。就这样,企业网络的带宽被非法接入者白白盗用。如果非法接入者没事儿玩一下视频聊天,P2P下载这样耗费带宽的互联网应用,企业网络将会出现拥塞的现象。 2、企业商业机密外泄 企业网络中通常会存放着企业的一些商业合同及客户资料,入侵者一旦成功登录无线网络,企业的商业机密将会受到威胁。由于很多企业员工电脑安全意识的缺乏,电脑的口令通常为空,或者非常简单,这种情况之下,入侵者登录了企业网络之后,企业的商业机密岂不是暴露于入侵者的面前?对于企业的资料,入侵者可以随意复制、删除或更改,届时,企业的正常运营也会受到影响。 3、危及企业电脑安全 时下,一些技术高超的“黑客”们可以通过互联网控制企业网络的电脑,无线网络自然也不例外。开放式的无线网络,为黑客入侵企业网络制造了便利条件。一旦黑客登录了企业网络,企业的电脑将会被黑客玩弄于股掌之间,一夜之间,企业电脑的硬盘被格式化绝不是危言耸听。 诚然,无线网络的出现提高了企业的办公效率,也带来了巨大的安全隐患。为此,企业网管必须周密防范,打造一个安全的无线网络。从技术角度讲,保障企业无线网络的安全,其本质就是禁止非授权使用无线网络,很多企业都使用加密的手段禁止非授权使用的。 |
|
用加密保障企业无线网络安全 对无线网络的加密,可以通过对无线网络设备进行配置来实现的。对企业无线网络加密时,不仅要考虑到实用性,更要考虑到安全性,这也是企业无线网络加密的基本原则。下面,笔者以无线路由器为例,向大家介绍一下无线网络的加密方式。 其实,无线路由器的多项设置都可以达到对无线网络加密的目的。下面,笔者把一些常用的加密模式优缺介绍给大家,大家可以根据自己的实际情况,选择一种适合自己的网络加密模式。 1、合理配置SSID广播 每个无线网络都会有一个SSID号码,这也是用户进入无线网络的一张通行证。打个比方讲,SSID号码相当于Windows XP中的帐号,如果没有SSID号码,计算机是无法进入无线网络的。 通常情况下,无线路由器会将该无线网络的SSID号码进行广播,既便是不知道无线网络SSID号码的用户也可以登录无线网络。对于企业用户而言,启用无线路由器的SSID广播是非常危险的,为此,企业无疑网络必须将SSID广播禁用。将无线路由器的SSID广播禁用之后,未获得授权计算机将无法登录企业无线网络,这可以保障企业无线网络的安全。不过,禁用了SSID广播之后,用户的无线网络仍然可以使用,只是不会出现在其他人所搜索到的可用网络列表中,为了安全,企业网管还要更改无线路由器的默认SSID号码。 细心的网管都会发现,一些品牌无线路由器的默认SSID号码非常有规律,如TP-Link无线路由器的默认SSID号码是“TP-Link”。如果不更改无线路由器默认的SSID号码,入侵者可以非常容易的猜测到SSID号码并登录企业无线网络。为此,企业网管必须为自己无线网络取一个不易被外人猜到的SSID号码。 禁用SSID广播方法很简单,直接进入无线路由器的配置界面,把“允许SSID广播”禁用即可。不过,禁用了SSID广播后会降低无线路由器的工作效率。 2、禁用DHCP服务 从表面看,DHCP服务与无线网络安全是风马牛不相及的事情,事实上,DHCP的启用对企业无线网络也是一种威胁。众所周知,计算机要想登录无线网络,除了需要SSID号码这个通行证外,还需要得到一个授权的IP地址。 在DHCP服务开启状态下,无线路由器会自动为进入无线网络的计算机分配IP地址、子网掩码、网关及DNS服务器地址等信息,入侵者不费吹灰之力就可以进入无线网络。企业的计算机终端数量有限,企业无线网络完全可以手工分配IP地址,这样不仅可以提高无线网络的安全,也方便企业网络的管理。 进入无线路由器的配置界面,选择“DHCP服务器”中的“DHCP服务”,将“不启用”打勾即可禁用DHCP服务。禁用了DHCP服务之后,必须重新启动路由器才有效。禁用DHCP服务后,企业网管还需要在计算机客户端为其配置IP地址才可以登录无线网络。 启用DHCP服务会加重无线路由器的负担,随着用户的增多,无线路由器的负担也越重。更重要的是,启用DHPC服务还会为企业无线网络产生不安全因素。禁用DHCP服务器可以减少无线路由器的开销,提高无线路由器的工作效率,让企业无线网络更安全。
3、开启无线网络加密 禁用SSID广播,关闭DHCP服务一定程度上可以防止非授权访问,但这两种方法仍有一定的局限性,对于资深黑客而言,上述两种方法形同虚设。企业无线网络必须开启无线网络加密,这样可以最大限度的保障企业无线网络的安全。 目前,一般无线路由器会提供WEP、WPA/WPA2和WPA-PSK/WPA2-PSK三种加密方式,这三种加密方式的区别在于安全系数不同。在这三种加密方式中,WPA-PSK/WPA2-PSK是最安全的一种加密方式,遗憾的是一些无线路由器中并没有提供该种加密方式。 WEP加密技术也叫有线等效加密技术,该技术非正规加密标准,而且存在不少安全漏洞,使用该技术加密的无线数据很容易被攻击。WPA-PSK/WPA2-PSK是企业无线网络最常用的一种加密方式,也是一种比较安全的加密方式。相比之下,WPA/WPA2加密方式最安全,但需要认证服务器,不适合中小企业无线网络使用。 在无线路由器的“基本设置”页面中,将“开启安全设置激活”。选择“WPA-PSK/WPA2-PSK”加密模式,选择合适的“安全选项”和“加密方法”后输入PSK密码,再设定组密钥更新周期就可以了。 加密之后,企业网管还需要在计算机端进行相应的配置,把密钥填写进去,否则,计算机是无法登录无线网络的。用户使用的加密模式越复杂,无线路由器的负担也就越重。为此,用户也没有必要选择安全级别太高的加密模式,适用即可。
|
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者
京公网安备 11010802021500号