现在,在看过论坛的大量文章之后,相信您已经对无线LAN(无线局域网,WLAN)采取了敬而远之的态度。至少,您已经对WLAN产生了怀疑——这并不是一件坏事情。Rik描述了WEP的缺陷,Corey描述了如何将无线访问点转移到DMZ中,而Dave指出应该将它们彻底地放到外面。不过,还没有人说应该完全舍弃WLAN,这是出于两个非常有说服力的理由。首先,WLAN在某些场合非常有用;其次,您完全可以不必听我们的。
您已经知道WLAN在办公室的用处。但是,它在家里有什么用呢?正如许多人所指出的,“无线”的价格很便宜,而且确实行之有效(我在撰写本文时,就是通过无线方式连接家庭网络,再通过我的ISP连接到Internet)。那么,如何保护您的用户——以及在他们的计算机上存储的公司数据呢?首先,您(以及您的用户)需要理解WLAN所存在的安全风险。
理解风险
首先,我们要知道脆弱性、威胁等级以及当某人窃取了敏感信息(或者至少拦截了您的Internet连接)之后会为公司造成多大的损失。正如其他专业人士告诉我们的那样,WLAN确实存在脆弱性。而且这个脆弱性完全是因为WLAN技术本身的原因而造成的。
随之所产生的威胁(或者威胁等级)则是很难衡量的。我们必须考虑一些物理参数。例如,不仅要考虑到WAP的有效信号发射距离,还要考虑到别有用心的人在不为人察觉的情况下能够多接近用户的房子。
LiveSecurity的专栏作家Lisa Phifer对此有过亲身体验,她在新泽西收费公路上高速行驶时,总共采集到了8个访问点。另外,在她的桌子上,她收到了来自她的邻居的WAP的广播信号。
另外,假如攻击者原先设定的目标就是您的网络,那么威胁等级还会提高。员工最近是不是惹到了他的邻居(或者更糟,惹到了邻居的小儿子)?您的公司是不是有一些军事机密或者特制比萨配方?在您完成了对公司网络的威胁分析之后,必须继续对员工的家庭进行类似的分析。不需要同样多的细节,也不需要进行同样多的工作,只是进行类似的分析。对于某些人来说,对公司员工的家庭网络和系统进行攻击,也许同样是一件有价值的事情。不管最后如何评定威胁,总比对之视而不见好。
那么,具体如何估算因为一次家庭网络入侵而对公司(或个人)造成的损失?这要视情况而定。家庭网络中究竟容纳了什么秘密?上面存有公司的敏感信息吗?有多少军事机密或者个人、财务或者医疗信息?安装了一台家用WAP之后,就相当于从房子里的一台交换机拉了一条5类网线到车道尽头,再在那里装上一个RJ45网线插座。别有用心的人可以跑到房子外面,插好网线,然后访问您的家庭网络。通过连接WAP,他们可以做类似的事情。另外,他们可以嗅探在WAP和每一个无线客户端之间传送的所有无线数据包。
制定策略和操作规程 您现在或许已经得出结论,对于家庭用户,或许最好的WLAN使用策略就是禁止使用。在这一点上,您或许是正确的。但我们知道,即使知道可能存在的安全风险,但用户们仍有可能选择忽略这条禁令(前面说过,我自己也是这样做的),所以您需要制定一些切实可行的操作准则,便于用户遵守。作为安全专家,我们的工作并不是提供安全性,而是满足企业的任务需求。
假定我们现在谈论的是一般级别的风险。因此,我们主要关心的不是其他国家的特工所发动的定向攻击(在那种情况下,我们只需说一声:“千万别这样做。”确定让发动攻击的人知道他们的行为将触犯美国联邦法律)。
首先,还是应该使用WEP来进行身份验证和保证完整性。支持128位或者更高位数加密的PC卡要贵一些,所以许多家庭用户不会考虑购买它们。但是,假如您的用户想把他们的工作用电脑连接到家庭WLAN上,就应该在策略中规定必须购买此类高位加密产品。
接着,要求用户使用一个随机密钥。许多WAP会根据一个密码来生成一个密钥。正如Rik几周前指出的,因为实现上存在的缺陷,使这个密钥生成机制成为一个摆设。如果您的用户采用这个方法,他们应该为密码使用随机字母和数字,并允许WAP生成密钥。然后,它们可以将生成的加密密钥人工输入无线客户端中。另外,他们必须每周改变一次密钥。当然,他们也许不会这么自觉。但是,假如您要求每周改变一次,那么他们可能会每个月改变一次。记着提醒他们就好。
|