3.15Wi-Fi安全背后更大的威胁:企业无线安全的黑洞

日期: 2015-03-18 来源:TechTarget中国

今年的央视3.15晚会中,“网络安全”这个听起来离我们挺遥远的词儿,再次大喇喇地进入公众的视野。从国家层面到权威媒体机构,一遍遍不厌其烦地提醒人们,看清楚虚幻的网络世界中真实存在的种种危险和罪恶。现场再现免费Wi-Fi环境下的信息泄露,只是冰山一角,却已足够令人震惊和后怕。而事实上,有很多人有过类似的操作,只是危险还未降临,或已经发生但还未被察觉而已。

公共场合尚且如此,如果将场景延伸到企业网络中,情况又将如何?

无线局域网(WLAN)基础架构的脆弱性,是目前企业网络中最重要和直接的威胁之一。在企业环境中,使用智能手机和平板电脑的Wi-Fi需求与日俱增,这无意中侵犯了网络安全的边界,也使那些没有部署无线的企业和组织面临着不可估量的风险。

无线安全在企业环境中常见的四大误区

误区一:没有部署Wi-Fi,企业就是安全的

很多人仍然认为,如果企业没有部署Wi-Fi网络,那么就不存在Wi-Fi安全问题。然而,现实世界不可能是一个人人彼此信任的世界,也没有人会天真地认为绝不会有人违背“无Wi-Fi”部署策略。无论有意或无意,安装一个隐秘接入点(AP),就足以将企业的网络暴露给无孔不入的攻击者。现在绝大多数的笔记本或上网本内置的Wi-Fi网卡同样可以构成潜在的威胁源。甚至于内嵌在笔记本或上网本中的无线技术,如蓝牙等,也可能会产生严重的安全漏洞。以为“无Wi-Fi”部署便可保障企业网络的安全无异于掩耳盗铃。

误区二:部署了传统的防火墙、IPS等网关设备,企业就是安全的

过去我们所理解的企业边界好比一幢大楼,由企业内网联通各个房间。大楼的出口有一道防盗门,也就是传统的防火墙或是UTM网关设备。由这道门实时审视进出企业的全部流量,这是我们通常定义的企业边界。但是,随着无线技术的快速发展和大量部署,大楼的原有边界变得越发模糊,安全边界的概念已经发生巨大的变化。无线信号能够传播到企业的物理边界之外,让那些认为大楼内部安全无忧的传统理念失去了说服力。如Wi-Fi共享软件、流氓AP、钓鱼AP、用户连接外部AP、Ad Hoc以及无线DoS攻击等,都无时不在侵犯和挑战传统的安全边界。

误区三:强大的认证与加密能够提供全面的防护

如果企业已经部署了带WPA2安全功能的Wi-Fi网络,那肯定是一个不错的开头。WPA2可为企业的WLAN AP和客户端提供更强大的密码安全保护。但在较大规模的网络部署中,确保全部设备没有因疏忽而出现误配置,不给攻击者留下可乘之机,才是最重要的。随着Wi-Fi被用来承载越来越多的关键任务应用,黑客和犯罪分子们也把重心转移到了攻破Wi-Fi的安全措施上。研究人员最新发现,WPA-TKIP对于数据包注入攻击是缺乏免疫力的。同样,也已经有报道提到,思科的WLAN控制器漏洞可以被用来“劫持”思科的LAP。总之,基于WPA2的WLAN部署不可能防范所有类型的无线安全威胁。

误区四:使用地址绑定策略,只有经过许可的MAC地址才能连接

任何一种可用无线解决方案都可提供MAC(介质访问控制)地址过滤。消费级与企业级无线实施方案都拥有该选项,以便应用一定等级的MAC地址过滤。这听起来是一种有效的安全方法,但实际上却并非如此。对于黑客而言,在几乎任意一种操作系统中欺骗MAC地址都出人意料的简单。黑客可将欺骗的MAC地址用于多类攻击,包括WEP (有线等效保密) 回放、解除认证、解除关联以及伪装攻击(设备可搭载通过客户认证的访客网络进行攻击)等。

新边界的守护者——东软下一代防火墙无线安全解决方案

终端守护:智能设备分类和安全的BYOD策略执行

东软NetEye WIPS模块能够自动分析尝试接入公司网络的智能手机和平板电脑的类型(安卓、黑莓、iPhone、iPad、Windows Mobile等),并根据策略划分准入及拒绝接入的类别。同时,通过提供的API,可以轻松地与几乎所有移动设备管理系统(MDM)进行整合。

频段守护:无线威胁防御

大多数的无线入侵检测/防御系统,常常会不正确地扰乱自己或者邻近的Wi-Fi网络。东软无线安全解决方案能够正确区分威胁是否来自邻近的无线Wi-Fi设备,有效防范滥用Wi-Fi或违反企业安全策略的威胁。同时,能够智能判断各种类型的无线网络威胁,并在2.4 GHz和 5 GHz频段的多种渠道上,同时阻止多种安全威胁。

策略守护:针对无线网络准入的控制手段

无线网络准入控制的目的就在于基于策略控制对无线网络的接入,它包括预准入端点安全策略检查(以确定谁可以接入网络)。另外,无线网络准入控制解决方案还包括某些主机检查(如在主机上运行的操作系统和服务等),可防范欺骗AP作为路由器或NAT的功能。

传输守护:多重的安全无线传输保障

虽然在企业的无线安全方案部署中可以通过802.11i、WPA2或者WPA加强传输的安全性,但还是会有无法使用这些加密和身份验证类型的情况发生。在这种情况下,VPN可以作为保护无线客户端连接的备用解决方案。通过使用VPN,以及利用多个SSID和VLAN进行网络分段,为拥有多种不同客户端的网络提供强大的解决方案。IP安全(IPSec)和SSL VPN可以提供与802.11i和WPA类似的安全等级。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 关于Wi-Fi安全的探讨

    十多年以来,Wi-Fi一直应用在企业网络环境中。企业无线安全问题不断涌现,在本文中,专家Kevin Beaver探讨了关于Wi-Fi安全的问题。

  • 315提示无线风险 WebRay安全神器给出解决之道

    据一份非官方的Wi-Fi信息安全报告显示,过去一年,全国范围内的无线网络遭到攻击的次数正呈几何级增长,而让人更为担忧的是,依然有很大一部分用户并没有意识到Wi-Fi可能带来的安全风险。

  • 网络档次也会影响无线局域网安全?

    无线局域网安全问题一直是我们关注最多的问题。那么网络档次问题,会不会对无线局域网安全造成影响呢?

  • 如何突破企业无线网络管理的瓶颈?

    与前几年无线网络延伸有线网络、满足用户随时、随地、随心所欲的接入互联网不同,如今的无线网络已不再只是单纯的满足用户的接入服务,更多的参与到企业信息化业务当中。