目前无线网络随着无线路由器的普及,一些公司或家庭因为不同设备(笔记本、手机、电视、PDA、PSP等)无线上网的需求,在办公区域或家中增设了无线AP(接入点,全称Access Point),大大增强了上网设备的机动性,弥补了有线网络的局限性。无线虽然不可见,但无线网络的普及程度却是随处可见的,因此,当人们走进酒店、餐馆、商务区、运动场馆等场所,都可以很快搜索到附近的无线接入点,方便、快捷地享受上网冲浪的乐趣。
1、企业无线网络现状
在企业网络中,特别是还没有系统规划自己的企业级无线网络安全规范的网络,对于无线网络的建设没有获得足够的重视,而为了满足一些新业务的需求,或是解决员工便捷的办公网络环境,往往会轻易地将一个AP接入企业的网络中来。无线网络的安全隐患早在多年前就被比较有前瞻性的人所预见,而今,随着无线网络普及程度的提高以及相关工具的日益丰富,特别是在近年来,无线安全问题犹如“忽闻一夜春风来,千树万树梨花开”之态势很突兀地暴露在公众面前。
对于一个企业来说,这样的网络现状所带来的安全风险更大一些,由于以前的网络安全规范中对无线安全没有足够的规划,因此,随着企业网络中的无线AP不断增加,由于部署和使用人员的安全意识和专业知识的不足,形成了各种厂家、型号各异的AP并存,同时,分布混乱,设备安全性脆弱。这给企业的网络信息安全带来了极大安全风险。面对整个城域网中庞大的无线设备,在暂时无充足的整改资金投入的情况下,需要专业的网络管理人员制定一个过渡的安全优化方案,来缓解企业无线网络面临的安全威胁。
2、安全的无线网络
作为新兴技术,人们更多关注的是无线网络应用的便捷性,而对其安全性往往不够重视,然而我们已渐渐在不知不觉中被推送到无线网络安全威胁的风口浪尖,攻击可能就发生在我们身边,攻击代码甚至可以从我们眼前飘过。因为公司内松外严的管理制度很容易给以局域网身份侵入的非法用户提供更多的便利条件。那么作为公司,又该如何防范呢?要管理好企业无线安全,我们需要解决两个方面的问题。
一,对于授权使用的AP设备,我们必须保障AP设备的安全、用户访问安全、数据传输的安全以及规范的申请开通流程。二,对于没有授权的AP设备,应该能够自动识别并阻断其工作,以达到保护整个企业网络安全的目的。因为有线网络中可能出现的危害,无线网络中基本都能做到,而且通常情况下,一个私自搭建的无线接入点很可能会破坏掉整个防御体系。
3、无线网络建设
然而,当我们真正关注无线网络安全,又会发现防范无线网络安全威胁在当下并非易事。虽然市场上已经有多种成熟的网络安全产品,可以提供包括访问控制、监控、攻击防御、审计、管理等多种用途,但是所有这些都是基于有线网络环境,因为传输载体的不同,其触角无法到达无线网络;而现实的情况是,互联网已经从原有的有线网络拓扑扩展到边界模糊的无线网络连接,这就势必造成整体网络安全的盲区或薄弱点。
因此为了防范无线网络安全威胁,必须重新审视现有的网络边缘,从每个无线AP开始,对其重新规范,一个合理、安全的企业AP接入流程:
3.1授权的AP安全
3.1.1无线热点的统一认证
无线ap常见的有WEP、WPA.PSK/WPA2一PSK,还有就是企业和运营商使用的WPA—EntERPrise,也就是我们常说的基于RADIUS服务器的EAP认证。为了有效地管理分散部署在分公司各个办公地点的各种无线AP,我们启用了Radius服务器,对所有无线设备进行统一认证、授权,并对每个人(设备),都分配实名信息进行认证记录,对获取的ip进行绑定,对访问的行为进行审计。
3.1.2无线热点接入
(1)为了确保企业各办公地点的无线AP,不会被无关的手机、笔记本、IPAD等终端非授权访问,通过关闭AP的SSID广播功能,在办公终端设备上以配置文件方式,通过静默方式连接。如果设备支持,可以通过优化调整AP设备,降低天线增益或功率,缩小覆盖范围。
(2)对各地需要通过无线接入的终端设备,进行mac过滤,确保只有那些在企业注册过的硬件设备,才能通过这些AP进入企业内部网络。
(3)对每个地点的AP,规划不同的DHCP地址池,区分同一个帐号在不同的办公地点的访问审计。
(4)对每个授权的AP,要限制其可接受管理的设备(MAC或IP),并要求定期修改其管理密码,对密码复杂度进行限制,并对其修改记录日志,进行统一存储与管理。
3.1.3无线访问的数据加密
由于无线AP不论采用WEP、WPA\WPA2加密,都可能被不法人员进行无线网络嗅探,从而轻易完成破解,完成非法入侵、导致信息泄露,因此,我们建立了企业内部网络的IPSEC VPN服务器,在接入层或汇聚层通过ACL,限制所有的AP只能访问它,而不能访问其它任何资源。因此,用户在接入了AP后,必须通过IPSECVPN客户端,来完成各项操作,通过这种方式,完成传输数据的可靠加密,防止无线信息被嗅探后,造成的企业敏感信息丢失。
3.1.4安全制度
(1)各部门进行无线现状清理,对私自搭建的进行拆除。对已有必须使用的AP进行整合,尽量保持数量最小,并且覆盖合理。
(2)各部门今后使用的无线AP,必须在企业信息化部门注册,并对硬件设备配置进行规范后,方可联入网络。
3.2非授权的AP
在企业内部网络中,必须拒绝非授权的AP接入。要实现这一点,首先,必须能识别出AP,然后才能判断是否授权。但是,如何在网络中自动识别出私接乱建的AP,思科的MSE系统只能解决cisco自己的AP设备,对其它厂家,没法处理。华为等其他厂商的产品也同样存在这样的问题,针对企业内部各种厂家的AP,目前还缺乏一个统一的解决方案。
因此,我们可以换一种思路来考虑这个问题。在标准的企业网络模型中,AP一般都是接在接入层网络设备上,而接入层主要是负责本地和远程工作组接入的,它工作在企业网络内部,默认的安全策略往往是允许接入。但是,在引入AP设备后,由于AP的特殊性,本来我们认为相对安全的内部接入层,开始变得不再可以盲目信任,,要求对每一个接入点进行安全验证。对于主机接入,通过安装的Agent,将采集的信息发给认证服务器进行合规判断,以决定是否可以入网,对于那些硬件设备,由于不能自行安装这类Agent,必须通知网络管理员,对他们的IP进行例外,以保证其正常工作。
因此,对接入层的设备启用网络准入认证,就可以达到自动识别AP的目的。
常用的几种网络准入:
由于公司网络属于IT城域网,无法实现交换到桌面,网络还有大量的HUB,因此排除802.IX认证,所以我们采用Cisco EOU和NACC两种认证方式混合部署。
针对企业的网络拓扑结构的不同,可以在Cisco L2 EOU/L3 EOU以及NACC三种具体实施方案进行灵活组合,L2 EOU是Cisco推荐的方案,它是最贴近用户部署,理论上可以提供最大限度的安全特性,但是接入层不同的CISCO接入交换机存在接入终端数限制不同,需要在实施过程考虑这些因素,避免因此影响正常网络通信;L3 EOU可以在汇接层上启用EOU,通过TRUNK链路,对远程的接入层设备进行准入管理,由于汇接层设备往往性能较高,能提供更多的准入终端,同时通用中继链路,能提供更灵活的部署;NACC在统一出口或总线型、星型网络拓扑结构部署,通过策略路由对需要路由转发的信息,进行网络准入验证功能。
4、结语
在一个大型网络中,存在了大量不同厂家的不同型号的AP设备接入的情况下,文中提供一种投资不大,操作简单并且可以平滑过渡的网络安全改造方案。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:企业网络的无线安全优化
相关文章
