企業(yè)無線網(wǎng)絡(luò)安全設(shè)置解析
入侵無線網(wǎng)絡(luò)的方式
要想對(duì)企業(yè)的無線網(wǎng)絡(luò)進(jìn)行周密防范,必須了解企業(yè)無線網(wǎng)絡(luò)存在的安全隱患。在日常使用中可以發(fā)現(xiàn),企業(yè)無線網(wǎng)絡(luò)的安全隱患主要有以下幾種情況:
1、無線網(wǎng)絡(luò)不設(shè)防
由于很多企業(yè)對(duì)無線網(wǎng)絡(luò)并不了解,加之網(wǎng)絡(luò)安全意識(shí)的缺乏,在部署無線網(wǎng)絡(luò)時(shí),很多網(wǎng)管人員并沒有對(duì)無線網(wǎng)絡(luò)設(shè)置進(jìn)行相應(yīng)的安全設(shè)置。眾所周知,如果無線路由器不進(jìn)行設(shè)置,用戶在無線網(wǎng)絡(luò)覆蓋范圍內(nèi)就可以接入企業(yè)的無線網(wǎng)絡(luò)。通過無線網(wǎng)絡(luò)接入設(shè)備,入侵者可以掌握到該企業(yè)非常全面的網(wǎng)絡(luò)信息。
由于企業(yè)網(wǎng)管人員沒有對(duì)無線網(wǎng)絡(luò)設(shè)備進(jìn)行任何設(shè)置,無線網(wǎng)絡(luò)將一直保持廠商出廠時(shí)的默認(rèn)設(shè)置。無線路由器的地址是廠商默認(rèn)的,用戶名和密碼都是默認(rèn)的,在信息發(fā)達(dá)的互聯(lián)網(wǎng)中,稍微具備一點(diǎn)網(wǎng)絡(luò)知識(shí)的人就可以輕松查找到各品牌無線路由器廠商的默認(rèn)設(shè)置,這使得企業(yè)的無線網(wǎng)絡(luò)處在不設(shè)防的狀態(tài)。
2、無線網(wǎng)絡(luò)設(shè)置漏洞
目前,企業(yè)無線網(wǎng)絡(luò)的搭建,都是基于無線AP、無線路由器及無線網(wǎng)橋等設(shè)備,而且其網(wǎng)絡(luò)覆蓋范圍有限。正因?yàn)闊o線網(wǎng)絡(luò)的覆蓋范圍有限,一些企業(yè)的網(wǎng)管人員在搭建無線網(wǎng)絡(luò)時(shí)忽視了無線網(wǎng)絡(luò)的安全。
無線網(wǎng)絡(luò)接入與有線網(wǎng)絡(luò)最大的不同是,無線接入無需在企業(yè)的交換機(jī)或路由器等網(wǎng)絡(luò)設(shè)備上插上網(wǎng)線,只要有無線網(wǎng)絡(luò)信號(hào),用戶就可以接入企業(yè)的無線網(wǎng)絡(luò)。無線路由器的設(shè)置口令,DHCP服務(wù)器,無線網(wǎng)絡(luò)的SSID號(hào)碼,這些都是無線網(wǎng)絡(luò)存在的安全漏洞,入侵者通過這一系列的信息可以輕松進(jìn)入企業(yè)網(wǎng)絡(luò)。除此之外,一些企業(yè)的無線網(wǎng)絡(luò)都沒有進(jìn)行數(shù)據(jù)加密,這也是企業(yè)無線網(wǎng)絡(luò)的另一漏洞。除上述兩種漏洞之外,無線網(wǎng)絡(luò)設(shè)備通常也會(huì)存在一些安全漏洞,這些都是為入侵者打開的大門。要想打造一個(gè)安全的企業(yè)無線網(wǎng)絡(luò),網(wǎng)管人員必須針對(duì)這些安全漏洞做出相應(yīng)的防范措施。
企業(yè)無線網(wǎng)絡(luò)周密設(shè)防
1、給無線網(wǎng)絡(luò)設(shè)備加把鎖
通常情況下,入侵者先是獲取無線網(wǎng)絡(luò)設(shè)備的權(quán)限,因?yàn)闊o線網(wǎng)絡(luò)設(shè)備中存放著企業(yè)的網(wǎng)絡(luò)信息。很多安全意識(shí)缺乏的網(wǎng)管人員,認(rèn)為無線網(wǎng)絡(luò)設(shè)備并不涉及企業(yè)網(wǎng)絡(luò)的核心,搭建無線網(wǎng)絡(luò)時(shí)并沒有對(duì)無線網(wǎng)絡(luò)設(shè)置的默認(rèn)用戶名和密碼進(jìn)行更改,這無疑成為企業(yè)無線網(wǎng)絡(luò)的最大安全漏洞。
為此,要想保障企業(yè)無線網(wǎng)絡(luò)的安全,必須將無線路由器或無線AP等網(wǎng)絡(luò)設(shè)備的默認(rèn)密碼更改掉,對(duì)于支持更改用戶名的網(wǎng)絡(luò)設(shè)備,強(qiáng)烈建議把設(shè)備默認(rèn)的用戶名更改掉。在設(shè)置無線網(wǎng)絡(luò)設(shè)備的密碼時(shí),最好使用字母和數(shù)字相混合的密碼,并且要定期更換密碼。
2、關(guān)閉無線路由器的SSID廣播
在默認(rèn)情況下,無線路由器的SSID是路由器的品牌名稱,而且是默認(rèn)的,例如,TP?Link無線路由器的SSID號(hào)默認(rèn)為“TP?Link”,這無疑給了入侵者一個(gè)最佳的機(jī)會(huì)。為此,我們必須將無線路由器默認(rèn)的SSID號(hào)更改掉。為了安全,強(qiáng)烈建議用戶關(guān)閉無線路由器的SSID廣播。為了保障企業(yè)無線網(wǎng)絡(luò)的安全,建議定期更改無線路由器的SSID號(hào)。
3、禁用無線路由器的DHCP服務(wù)
從表面看,DHCP服務(wù)與企業(yè)無線網(wǎng)絡(luò)的安全風(fēng)馬牛不相及,殊不知,DHCP服務(wù)會(huì)暴露企業(yè)網(wǎng)絡(luò)的一些信息,這對(duì)于企業(yè)無線網(wǎng)絡(luò)的運(yùn)行是一個(gè)不小的威脅。
研究用戶接入企業(yè)無線網(wǎng)絡(luò)的過程不難發(fā)現(xiàn),用戶使用無線上網(wǎng)時(shí),無線路由器就會(huì)自動(dòng)分配一個(gè)IP地址給無線網(wǎng)絡(luò)客戶端,這樣,無線客戶端就會(huì)從無線路由器中獲得IP地址、子網(wǎng)掩碼、DNS及網(wǎng)關(guān)等信息。獲得了IP地址等一系列的信息之后,無線路由器無疑將會(huì)暴露于公眾之下,入侵者很輕易的就可以使用無線路由器的資源。為此,啟用DhpC服務(wù)器會(huì)降低企業(yè)無線網(wǎng)絡(luò)的安全系數(shù),成為一個(gè)有隱患的漏洞。為此,要想保障企業(yè)無線網(wǎng)絡(luò)的安全,必須禁用無線路由器的 DHCP服務(wù)。
4、開啟無線上網(wǎng)加密設(shè)置
無論是無線路由器還是無線AP,其設(shè)置中都提供了無線上網(wǎng)加密設(shè)置。設(shè)置了無線上網(wǎng)加密之后,無線客戶端必須憑密碼才可以接入企業(yè)的無線網(wǎng)絡(luò)。經(jīng)過無線上網(wǎng)加密之后,入侵都將無法搜索到加密的無線網(wǎng)絡(luò)信號(hào),這樣可以大大增加企業(yè)無線網(wǎng)絡(luò)的安全性。
無線網(wǎng)絡(luò)設(shè)備提供的無線上網(wǎng)加密設(shè)置,通常有WEP、WPA/WPA2和WPA-PSK/WPA2-PSK幾種模式。在上述的加密模式中,WEP是最簡單的加密方式,建議有條件的企業(yè)采用安全級(jí)別相對(duì)高的加密模式。
【編輯推薦】
