还剩8页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
企业无线网络切莫成为泄密之门为了方便企业日常办公的需要,不少企业都部署了无线网络在有线网络时代,要想登录企业无线网络,必须将网线插在企业网络的交换机中;部署了无线网络之后,只要在无线网络的覆盖范围之内,用户就可以登录企业网络不妨大胆的设想一下,攻击者手持装有无线网卡的笔记本,在企业办公室外面就可以轻松畅游企业网络,无意之中,企业无线网络成为了泄密之门,为此,无线网络安全必须引起高度重视无线网络安全隐患知多少? 诚然,无线网络的出现,极大方便了企业的日常办公以往,企业员工频繁穿梭于各个会议室,经常苦于没有足够的网络接口,无线网络的出现,企业员工可以在企业的每个角落___络由于无线网络是借助空气作为传输介质的的一种组网模式,具有一定的开放性,无线网络也有一定的安全隐患在无线网络的实际应用中,安全隐患主要体现在以下几个方面
1、网络带宽被盗用 很多企业使用无线路由器或者是无线AP组建无线网络,非法接入者只要在企业无线网络的覆盖范围之内就可以盗用企业的带宽资源就这样,企业网络的带宽被非法接入者白白盗用如果非法接入者没事儿玩一下视频聊天,P2P下载这样耗费带宽的互联网应用,企业网络将会出现拥塞的现象图一盗用带宽就是如此简单
2、企业商业机密外泄 企业网络中通常会存放着企业的一些商业合同及____,入侵者一旦成功登录无线网络,企业的商业机密将会受到威胁由于很多企业员工电脑安全意识的缺乏,电脑的口令通常为空,或者非常简单,这种情况之下,入侵者登录了企业网络之后,企业的商业机密岂不是暴露于入侵者的面前?对于企业的资料,入侵者可以随意__、删除或更改,届时,企业的正常运营也会受到影响图二企业有线网络的保密措施
3、危及企业电脑安全 时下,一些技术高超的“黑客”们可以通过互联网控制企业网络的电脑,无线网络自然也不例外开放式的无线网络,为黑客入侵企业网络制造了便利条件一旦黑客登录了企业网络,企业的电脑将会被黑客玩弄于股掌之间,一夜之间,企业电脑的硬盘被格式化绝不是危言耸听 诚然,无线网络的出现提高了企业的办公效率,也带来了巨大的安全隐患为此,企业__必须周密防范,打造一个安全的无线网络从技术角度讲,保障企业无线网络的安全,其本质就是禁止非授权使用无线网络,很多企业都使用加密的手段禁止非授权使用的用加密保障企业无线网络安全 对无线网络的加密,可以通过对无线网络设备进行配置来实现的对企业无线网络加密时,不仅要考虑到实用性,更要考虑到安全性,这也是企业无线网络加密的基本原则下面,笔者以无线路由器为例,向大家介绍一下无线网络的加密方式 其实,无线路由器的多项设置都可以达到对无线网络加密的目的下面,笔者把一些常用的加密模式优缺介绍给大家,大家可以根据自己的实际情况,选择一种适合自己的网络加密模式
1、合理配置SSID广播 每个无线网络都会有一个SSID号码,这也是用户进入无线网络的一张通行证打个比方讲,SSID号码相当于WindowsXP中的帐号,如果没有SSID号码,计算机是无法进入无线网络的 通常情况下,无线路由器会将该无线网络的SSID号码进行广播,既便是不知道无线网络SSID号码的用户也可以登录无线网络对于企业用户而言,启用无线路由器的SSID广播是非常危险的,为此,企业无疑网络必须将SSID广播禁用将无线路由器的SSID广播禁用之后,未获得授权计算机将无法登录企业无线网络,这可以保障企业无线网络的安全不过,禁用了SSID广播之后,用户的无线网络仍然可以使用,只是不会出现在其他人所搜索到的可用网络列表中,为了安全,企业__还要更改无线路由器的默认SSID号码图三无线网络SSID号码设置 细心的__都会发现,一些品牌无线路由器的默认SSID号码非常有规律,如TP-Link无线路由器的默认SSID号码是“TP-Link”如果不更改无线路由器默认的SSID号码,入侵者可以非常容易的猜测到SSID号码并登录企业无线网络为此,企业__必须为自己无线网络取一个不易被外人猜到的SSID号码 禁用SSID广播方法很简单,直接进入无线路由器的配置界面,把“允许SSID广播”禁用即可不过,禁用了SSID广播后会降低无线路由器的工作效率
2、禁用DHCP服务 从表面看,DHCP服务与无线网络安全是风马牛不相及的事情,事实上,DHCP的启用对企业无线网络也是一种威胁众所周知,计算机要想登录无线网络,除了需要SSID号码这个通行证外,还需要得到一个授权的IP地址 在DHCP服务开启状态下,无线路由器会自动为进入无线网络的计算机分配IP地址、子网掩码、__及DNS服务器地址等信息,入侵者不费吹灰之力就可以进入无线网络企业的计算机终端数量有限,企业无线网络完全可以手工分配IP地址,这样不仅可以提高无线网络的安全,也方便企业网络的管理图四禁用DHCP服务 进入无线路由器的配置界面,选择“DHCP服务器”中的“DHCP服务”,将“不启用”打勾即可禁用DHCP服务禁用了DHCP服务之后,必须重新启动路由器才有效禁用DHCP服务后,企业__还需要在计算机客户端为其配置IP地址才可以登录无线网络 启用DHCP服务会加重无线路由器的负担,随着用户的增多,无线路由器的负担也越重更重要的是,启用DHPC服务还会为企业无线网络产生不安全因素禁用DHCP服务器可以减少无线路由器的开销,提高无线路由器的工作效率,让企业无线网络更安全
3、开启无线网络加密 禁用SSID广播,关闭DHCP服务一定程度上可以防止非授权访问,但这两种方法仍有一定的局限性,对于资深黑客而言,上述两种方法形同虚设企业无线网络必须开启无线网络加密,这样可以最大限度的保障企业无线网络的安全 目前,一般无线路由器会提供WEP、WPA/WPA2和WPA-PSK/WPA2-PSK三种加密方式,这三种加密方式的区别在于安全系数不同在这三种加密方式中,WPA-PSK/WPA2-PSK是最安全的一种加密方式,遗憾的是一些无线路由器中并没有提供该种加密方式图五无线加密选项 WEP加密技术也叫有线等效加密技术,该技术非正规加密标准,而且存在不少安全漏洞,使用该技术加密的无线数据很容易被攻击WPA-PSK/WPA2-PSK是企业无线网络最常用的一种加密方式,也是一种比较安全的加密方式相比之下,WPA/WPA2加密方式最安全,但需要认证服务器,不适合中小企业无线网络使用 在无线路由器的“基本设置”页面中,将“开启安全设置激活”选择“WPA-PSK/WPA2-PSK”加密模式,选择合适的“安全选项”和“加密方法”后输入PSK__,再设定组密钥更新周期就可以了图六WPA-PSK/WPA2-PSK加密设置 加密之后,企业__还需要在计算机端进行相应的配置,把密钥填写进去,否则,计算机是无法登录无线网络的用户使用的加密模式越复杂,无线路由器的负担也就越重为此,用户也没有必要选择安全级别太高的加密模式,适用即可
4、启用IP地址和__C地址过滤 随着网络技术的发展,防火墙组件已经成为无线路由器的一个标准配置在防火墙功能中,提供了基于IP地址和__C地址过滤的安全选项,这也是加固企业无线网络安全的一个功能组件 IP地址过滤选项,主要是为了防范未经授权进入无线网络的入侵者无论是有线网络还是无线网络,要想成为其合法用户,必须拥有一个IP地址,如果把非法的IP地址过滤掉,用户将很难入侵企业无线网络__C地址过滤的实现方法与IP地址过滤相同,因为每一块网卡在全球拥有唯一的一个地址,即__C地址,如果将这个__C地址禁用了,入侵者是无法进入该无线网络的相比之下,__C地址过滤功能更安全,只是需要将企业网络内所有计算机的__C地址填写到__C地址过滤规则中去图七更改__C地址过滤缺省规则 要想激活__C地址过滤和IP地址过滤两项功能,必须先启用无线路由器的防火墙功能组件如果欲使用__C地址过滤功能,激活该功能后,还要根据企业无线网络的需要调整一下缺少的过滤规则启用__C地址过滤功能,我们是想让企业网络内的所有机器都能够访问互联网,为此,__C地址的缺省过滤规则应该为“仅允许已设__C地址列表中已启用的__C地址访问Internet”设置好__C地址缺省过滤规则之后,把企业网络内所有计算机的__C地址填写到__C地址过滤列表中就可以了如图八,我们把总经理电脑的__C地址填写到__C地址过滤列表中,凡是不在该表的计算机均无法访问企业的无线网络要想获取整个网络的__C地址,可以借助超级网上邻居等软件 IP地址过滤功能的设置与__C地址过滤设置基本相同,唯一改变的是把__C地址换成IP地址启用__C地址和IP地址过滤功能之后会加重无线路由器的负担,因为无线路由器要对每一个接入无线路由器的信息一一进行辨别由于IP地址用户可以更改,为此,最有效的加密方式是__C地址过滤,因为用户网卡的__C地址不能轻易改变哪种加密模式最安全 企业的互联网应用无非是浏览网页查阅资料,收发____,对网络带宽的要求并不是很高,但对安全性能的要求却非常苛刻在上述叙述的四种加密方式中,哪种可以保障企业无线网络的安全?由于一些加密方式会消耗路由器的性能,影响网络传输质量,但企业网络最大的要求是安全,其次才是传输质量上述四种加密模式的安全性能,可以做成如下的表格说明 在安全系数中,★越多,破解越难;在降低无线路由器性能中,★越多,降低无线路由器性能最越厉害;★实用性中,★越多,该种加密模式越实用 通过上表可以得知,“开启无线加密”和“__C地址过滤”两个功能可以大大提高企业无线网络的安全性__可以根据企业的实际需要,选择一种适合企业的加密模式结束语企业无线网络的安全已经成为一个不可忽视的话题对于企业而言,网络安全高于一切,企业__也应在无线网络安全方面多下功夫,切莫让无线网络成为企业的泄密之门!为无线网络上好锁,WEP、WPA无线加密对比随着无线网络的普及,在商场、街上、餐厅搜索到无线__并不出奇,这些无线热点一般都是免费的提供无线网络给大家使用,并不对__进行加密但对于家庭来说,如果自己付款的宽带网络因无线__没有加密而给别人免费享用并占用了大量的带宽这可不是一件愉快的事情对企业来说,无线__更是绝对不能给企业以外的人所接收 所有的无线网络都提供某些形式的加密但无线路由器、无线AP、或中继器的无线__范围很难控制得准确,外界也是很大机会的能访问到该无线网络,一旦他们能访问该内部网络时,该网络中所有是传输的数据对他们来说都是透明的如果这些数据都没经过加密的话,黑客就可以通过一些数据包嗅探工具来抓包、分析并窥探到其中的隐私开启无线网络加密,这样即使你在无线网络上传输的数据被截取了也没办法(或者是说没那么容易)被解读两种常用的加密WEP、WPA 目前,无线网络中已经存在好几种加密技术,最常使用的是WEP和WPA两种加密方式无线局域网的第一个安全协议—
802.11WiredEquivalentPrivacy(WEP,一直受到人们的质疑虽然WEP可以阻止窥探者进入无线网络,但是人们还是有理由怀疑它的安全性,因为WEP破解起来非常容易,就像一把锁在门上的塑料锁WEP安全加密方式 WEP特性里使用了rsa数据安全性公司__的rc4prng算法全称为有线对等保密(WiredEquivalentPrivacy,WEP)是一种数据加密算法,用于提供等同于有线局域网的保护能力使用了该技术的无线局域网,所有客户端与无线接入点的数据都会以一个共享的密钥进行加密,密钥的长度有40位至256位两种,密钥越长,黑客就需要更多的时间去进行破解,因此能够提供更好的安全保护WPA安全加密方式 WPA加密即Wi-FiProtectedAc__ss,其加密特性决定了它比WEP更难以入侵,所以如果对数据安全性有很高要求,那就必须选用WPA加密方式了(WindowsXPSP2已经支持WPA加密方式) WPA作为IEEE
802.11通用的加密机制WEP的升级版,在安全的防护上比WEP更为周密,主要体现在身份认证、加密机制和数据包检查等方面,而且它还提升了无线网络的管理能力WPA、WEP对比 WPA与WEP不同,WEP使用一个静态的密钥来加密所有的通信WPA不断的转换密钥WPA采用有效的密钥分发机制,可以跨越不同厂商的无线网卡实现应用另外WPA的另一个优势是,它使公共场所和学术环境安全地部署无线网络成为可能而在此之前,这些场所一直不能使用WEPWEP的缺陷在于其加密密钥为静态密钥而非动态密钥这意味着,为了更新密钥,IT人员必须亲自访问每台机器,而这在学术环境和公共场所是不可能的另一种办法是让密钥保持不变,而这会使用户容易受到攻击由于互操作问题,学术环境和公共场所一直不能使用专有的安全机制WPA工作原理 WPA包括暂时密钥完整性协议TemporalKeyIntegrityProtocol,TKIP和
802.1x机制TKIP与
802.1x一起为__客户机提供了动态密钥加密和相互认证功能WPA通过定期为每台客户机生成惟一的加密密钥来阻止黑客入侵TKIP为WEP引入了新的算法,这些新算法包括扩展的48位初始向量与相关的序列规则、数据包密钥构建、密钥生成与分发功能和信息完整性码(也被称为“Michael”码)在应用中,WPA可以与利用
802.1x和EAP(一种验证机制)的认证服务器如远程认证拨入用户服务连接这台认证服务器用于保存用户证书这种功能可以实现有效的认证控制以及与已有信息系统的集成由于WPA具有运行“预先共享的密钥模式”的能力,SOHO环境中的WPA部署并不需要认证服务器与WEP类似,一部客户机的预先共享的密钥常常被称为“通行字”必须与接入点中保存的预先共享的密钥相匹配,接入点使用通行字进行认证,如果通行字相符合,客户机被允许访问接入点WPA弥补了WEP的安全问题除了无法解决拒绝服务DoS攻击外,WPA弥补了WEP其他的安全问题黑客通过每秒发送至少两个使用错误密钥的数据包,就可以造成受WPA保护的网络瘫痪当这种情况发生时,接入点就会假设黑客试图进入网络,这台接入点会将所有的连接关闭一分钟,以避免给网络资源造成危害,连接的非法数据串会无限期阻止网络运行,这意味着用户应该为关键应用准备好备份进程-1-。