随着WIFI技术的广泛应用,越来越多的企业组建了基于WIFI接入的Intranet企业网,分享无线网络给企业生产、管理及营销带来的极大便利。WIFI技术发展至今,全球目前已有约7亿WIFI用户。无线网络技术的快速发展,使得用户无论是在何时何地都能方便地与其他人保持在线联系。然而,WIFI网络在访问接入及数据传输过程中都容易出现安全问题,轻者可能令企业网络性能下降,重者可能使企业遭受严重的经济损失。
1、WIFI技术概述
WIFI(lifeless Fidelity)无线保真技术,又称802.11b标准。WIFI是一种短程无线传输技术,能够在100 m范围支持网络间的无线连接WIFI的传输速率最高可达54 Mbps,能够广泛支持数据和多媒体业务的传输,无线覆盖范围不受现实地理条件的限制,非常适合高效率的企业组网需求。WIFI定义了两种类型的设备:一种是无线接入站点设备,一般是配置有无线网卡的计算机;另一种是无线接入访问点AP,其作用是提供无线网络和有线网络之间的桥接。一个1线接入点通常由一个无线输出口和一个有线的网络接口构成,无线接入点就像一个无线基站,可将企业内部的无线网络聚合到ISP的有线网络上。
2、企业WIFI网络安全问题
WIFI网络安全问题主要分为两种类型:第一种安全间题是WIFI网络的访问控制策略以及网络传输数据的保密性和完整性问题;第二种安全问题是基于WIFI的Intranet网络拓扑设计、网络设备的安装与参数配置方面的安全问题。
2.1无线信号搜索发现
WIFI网络无线信号的发送很容易被搜索发现,这为非法用户接入WIFI网络创造了基本条件,现在有根多像NetStumble这样的软件用于发现WIFI无线网络信号。正如前面所述,因为各种原因造成较多的WIFI网络加密功能较弱,一般的企业WIFI网络即使采用了加密功能,但没有关闭无线接入点设备的广播信息功能,其广播信息中就大量携带了许多可以用来推断WEP密钥的明文信息,其中包括WIFT网络的名称、SSID号等重要信息,这些信息为非法用户人侵WIFI网络创造了必要条件。
2.2网络传输数据信息泄露
WIFI网络传输的数据信息泄露主要包括对数据传输包的捕获,是一种被动的入侵方式,并不破坏网络数据的传输而不易被发现。即使WIFI网络不对外广播信息,非法用户也能够使用一些网络工具来(如AiroPeek和TCPDump)监听和分析通信流量,捕获WIFI网络中传输的明文数据信息。
2.3网络访问认证欺骗
非法用户伪装成合法的WIFI网络用户或者网络地址,欺骗WIFI网络的认证机制人侵网络,从而达到非法访问网络资源的目的。目前有很多网络工具可以修改像MAC这样的信息来伪装成合法的WIFI网络用户。众所周知TCP/IP是一个开放的协议,基于TCP/IP协议的网络根据MAC/IP地址进行接入网络认证,只要伪装成合法的地址就可以轻易欺骗网络接入认证。
3、企业WIFI网络安全策略
根据本文对企业WIFI网络的管理与维护实践经验,为了排除无线网络的安全威胁,常采用以下几种安全措施来综合提高无线网络的安全性。
3.1 WIFI网络安全的整体设计
要提高企业WIFI网络的安全性,在设计网络时就要考虑网络的整体安全,对网络用途、密级进行论证,根据企业实际情况全面分析可能出现的安全威胁。当确定有潜在的安全问题时,要把网络安全性纳入网络的规划设计,采取系统和整体策略来实现企业WIFI网络的安全。
3.2无线信号扩频技术
无线信号扩频技术是用来进行数据保密传输的一种通信技术。扩展频谱发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去,与窄带射频相反,它将所有的能量集中到一个单一的频点阎。这种技术使无线信号的通信频率不断变换,扩展频谱发送器将无线信号按顺序发送到各个频率通道上,并在每一通道上停留固定的时间,周期性转换前将覆盖所有频率通道。如果不事先知道在每一频率通道上停留的时间长短和跳频图案等规则信息,本系统外的站点就无法接收和译码无线通信数据。
3.3启用WEP加密功能
WEP数据加密技术是IEEE802.11b协议中最基本的无线网络安全策略,其主要用途包括提供接入控制及防止未授权用户访问网络,。提高企业WIFI网络信息安全的基本方法就是正确启用无线网络的WEP数据加密功能,要能够正确启用WEP机制来实现加密与认证功能,则要从以下五个方面进行:
(1)在网络传输的每帧数据中插人帧校验和来检验数据的完整性,防止非法用户在数据流中插人已知文本来试图破解WEP加密的密钥。
(2)确保每个无线站点和无线访问接入点AP上都同时启用WEP功能。
(3)不使用常见的WEP密钥,更不能使用缺省设置。
(4) WEP密钥由用户来设定并能够经常更改。
(5)要使用高的WEP版本并不断升级更新。
3.4 过滤网络接入站点的MAC地址与IP地址
无线接入站点的MAC地址是入网认证的重要依在访问接入点AP上设置MAC地址过滤策略可以有效防止非法用户的入侵,这对企业中一般使用相对固定的网络站点是非常有用的一种安全措施。启用MAC地址过滤一般包括三个方面:
(1)在服务访问点AP上启用MAG过滤器选项。
(2)统计企业所有的入网站点的MAC地址并添加到AP列表记录上,只有这些MAC地址可以接入网络。
(3)定期检查AP的日志记录,判断是否有人企图非法接入WIFI网络。
3.5屏蔽SSID广播信息
SSID ( Service Set Identifier)服务集标识用来标识不同无线网络的名称,是网络站点找到指定无线网络的重要信息。通过关闭服务访问点AP对外的SSID广播信息,即使非凡用户搜索到无线网络信号,但也无法判断是哪个网络,也无法进行人网连接,只有合法用户采用企业网管事先分配的网络ID名称才能安全接入本无线网络。
4、企业WIFI网络安全案例
根据企业性质的不同,WIFI网络安全的需求也不一样。根据长期积累的实践经验,针对不同企业对WIFI网络的需求,制定了一套WIFI网络安全应用方案。
4.1中小企业WIFI网络安全方案
对于中小型企业用户来说,使用网络的范围相对较小且终端用户数量有限,初级安全方案完全可以满足这些企业的网络安全需求,且投资成本低,配置方便效果显著。初级安全方案建议使用传统的WEP认证与加密技术,一般的WIFI无线接入访问点AP由无线路由器担当,目前的无线路由器支持6a位和128位的WEP认.证与加密来提高网络传输中的数据安全,防止数据被盗用。小型企业WIFI网络的站点数量一般较少而且相对固定不变,可以给每台站点手工配置WEP密钥来提高安全性。在站点数量有限的情况下还可以进一步通过在接入访问点AP(无线路由器)中设置基于站点MAC地址过滤方式来防止非法用户的接入。
4.2大型企业WIFI网络安全方案
对安全性要求很高的大型企业、金融机构等组建的WIFI网络,需要采用综合性的网络安全措施。在部署的各个WIFI网络节点环节(AP)启用安全设置,在网络中心节点采用802.1x认证机制,在网络数据传输环节采用虚拟专用网VPN技术来进一步提高网络的安全性能。虚拟专用网VPN技术目前已经广泛应用于企业网络的远程接入和数据在公网平台上的传输,建议在大型企业内网中传输敏感或者关键信息数据时也能采用VPN服务器进行处理,从而保证数据全程传输的安全性。虚拟专用网VPN协议包括数据链路层中PPTP/L2TP协议及网络层中的IPsec协议网,这些协议实现数据的加密传输。VPN实现了数据帧级的信息安全,具有比WEP协议实现的数据报级加密更高的安全性,可以支持站点与WIFI网络之间端到端的安全接入。
5、结束语
在实际的WIFI网络组建、管理与维护过程中,一方面要熟练地综合应用各种网络安全技术;另一方面要加强对用户的管理。禁止用户私自安装AP,规定用户不得把网络设置信息告诉单位外部人员等。只有做到技术和管理的结合才能构建安全的WIFI网络平台。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:基于WIFI的企业网信息安全研究
相关文章
