無線網路安全五戒

| | | | | | 留下回應

    

設置無線網路時，保障企業網路安全可說是頭號重點。以下有五種必須避免的情況才能保障網路安全。

保護無線網路安全首先需要採取與保護傳統網路相同的安全措施，然後才是其他的一些特別措施。在非無線網路領域中需要考慮的問題，在面對無線網路和設備時同樣需要你加以考慮：足夠強度的加密，採用認證模式，且要持續加強安全。

相對於有線網路，無線網路安全並不是另一種網路安全，而是需要更有安全意識。

以下以幾個最常見的安全疏失，以及如何避免之道：

1、不要破壞自己的防火牆

不管是有線還是無線，你幾乎都會以防火牆來作網路防護，這絕對是正確的。然而，如果你沒有將AP(無線基地台)放置在防火牆之外，則防火牆的設定將無濟於事。你應當確保不會出現這樣的情況，否則你不僅不能為網路製造一道必要的屏障，反而還從既有的防火牆上打開了一條便利的通道。

2、不要小看MAC

媒體存取控制（Media Access Control 即MAC）由於不是百分之百有效，因此常被忽略。但對於整個保護系統的壁壘來說，它無疑是相當重要的一環。就本質而言，它基本上就是一種位址過濾工具，能夠阻止潛在駭客的入侵行動。它依據你在位址存取控制清單中所設定的註冊裝置來控管網路存取權。

你也可以把MAC用來當作排除潛在入侵者的工具，這好比駭客想入侵還得先敲門一樣，只是會落得被拒門外的下場。

如果你已經有了MAC，入侵者必然會先碰壁才知道碰上阻礙，他們必須重新想辦法繞過這道障礙，但此時入侵者就已經先現形了。所以你的MAC列表中包括了三類訪問者：首先，已經被列入MAC表中的已知用戶；第二種是沒有在MAC清單中的陌生人，但他們不小心碰到這到障礙；第三種則是不在清單中的用戶，但由於之前曾試圖闖進，所以現在已經身份曝光了。如果他們還將試圖闖入，你馬上就知道是對方。

簡而言之，如果你監測無線網路，並發現有不在MAC清單的人士多次試圖存取你的網路，那麼你已經抓到一個潛在入侵者，而對方並不會知道你已經發現了他。

3、不要忽略WEP

WEP加密（Wired Equivalent Privacy）是一種符合802.11b標準的無線網路安全協定。它在無線資料發送時對資料進行加密，加密範圍覆蓋了你使用的任何資料。一定要使用它。但是必須強調它是以鎖鑰為基礎，因此不要一直使用預設的鎖鑰。對於初次存取系統的個人用戶，你甚至應當設定一組獨一無二的WEP鎖鑰。當然也不能認為有了WEP就萬事大吉。即使是多重加密也不會保證你萬無一失，因此應當把WEP與其他無線安全措施相結合。

4、禁止架設未經許可的無線基地台

現在要架設無線基地台可說越來越容易，對於一個任務繁重的IT部門來說，或許常常放鬆管制，只要有需求就放任員工自行架設使用。但請不要被這種便利所誘惑。無線基地台是入侵者的頭號目標。應當詳細研究設置策略和流程，並嚴格加以遵守。

這些策略和流程應當包括那些內容？首先，你必須仔細制訂出關於放置基地台的正確指導方針，並且確保任何人在架設AP(無線基地台)時手邊有這樣一份文件。其次，必須有一份安裝說明以指示在無線網路組態中已存在的AP（以便日後當作參考），並把最新的組態公布給大家知道。無論是誰設置了AP，都應當立即指定另外一人對安裝進行復查。很麻煩嗎？的確如此。但由於漏網AP或安全設定不良倒置的安全入侵事件將會讓你更頭大。

5、拒絕筆記電腦採ad-hoc連線

這條規定在任何公司都不太容易執行，Ad-hoc模式可讓筆記型電腦彼此直接進行無線連結，由於太過便利了，員工不想用也難。

在任何企業中都應當採取這一嚴厲的措施。Ad-hoc模式將允許Wi-Fi用戶直接連接到另一台相鄰的筆記本，這將構成你完全不能想像的恐怖的網路環境。

在802.11標準中，Ad hoc模式允許你的筆記電腦網卡以獨立的基本服務模式來運作，這意味著它跟其他筆記電腦之間可透過RF來進行點對點(P2P)連線。當你用Ad-hoc模式時，你可自動跟其他筆記電腦組成一個無線區域網路。從表面上來看，這個功能實在非常方便，但你使用之前必須瞭解，這麼一來也會讓你電腦的整個硬碟開放給他人存取。如果你自己忘了已經啟動這項功能，那麼你的一切都將毫無保留的呈現在他人面前。

這危險還不僅限於你不設防的機器。入侵者可以將你這台連上網路的筆記電腦當作入侵網路的跳板。如果將機器置於Ad- hoc模式並且有人暗中入侵，你所暴露的危險不僅僅是自己的電腦，而是整個網路。

避免風險的作法就是不要養成使用ad-hoc的習慣。接受這種模式所承擔的風險遠遠大於它所提供的便利。