SS公司的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

　　這種狀況給公司的網(wǎng)絡(luò)管理員Morris帶來(lái)了不少困擾，雖然他清楚地知道公司的任何計(jì)算機(jī)設(shè)備都應(yīng)該被統(tǒng)一管理，但是SS從來(lái)是很少限制員工自由的。當(dāng)Morris還在思索如何與Jack以及公司的管理層交涉這個(gè)問(wèn)題的時(shí)候，一場(chǎng)危機(jī)已經(jīng)在悄然發(fā)生了。之后的一個(gè)月里，公司參與的三宗投標(biāo)項(xiàng)目均告失敗，由于一直以來(lái)SS對(duì)自己的策劃案都具有很高的信心，像這樣直截了當(dāng)?shù)谋惶蕴屗腥硕几械椒浅Ｃ曰蟆９締?dòng)了一切例行的檢查，以查找是不是競(jìng)爭(zhēng)者從公司獲得了什么信息。

　　讓我們還是回到Morris這里，他首先按照網(wǎng)絡(luò)管理備案中的檢查表對(duì)環(huán)境進(jìn)行了細(xì)致的分析和調(diào)查，憑借自己的直覺(jué)，Morris認(rèn)為公司的無(wú)線(xiàn)網(wǎng)絡(luò)是個(gè)很大的疑點(diǎn)。在最近的一些夜間聚會(huì)上，Morris一個(gè)在網(wǎng)絡(luò)安全公司供職的死黨Seven向他談起過(guò)一些無(wú)線(xiàn)安全方面的問(wèn)題，所以他打電話(huà)和 Seven討論了事件的情況。在一個(gè)周六的下午，Seven和Morris在與Jack溝通之后，利用一些嗅探程序?qū)o(wú)線(xiàn)網(wǎng)絡(luò)進(jìn)行了監(jiān)控。最后的結(jié)局很符合戲劇情節(jié)，我們的英雄Seven和Morris逮到了入侵者，同樓層一家公司的員工在無(wú)意之中發(fā)現(xiàn)了SS的無(wú)線(xiàn)頻段，開(kāi)始的時(shí)候他還只是借著SS的 Internet鏈路沖沖浪，但當(dāng)他發(fā)現(xiàn)可以無(wú)限制出入SS局域網(wǎng)的時(shí)候，整件事情就演變成了一場(chǎng)商業(yè)犯罪。

無(wú)線(xiàn)網(wǎng)絡(luò)的弱點(diǎn)

無(wú)線(xiàn)網(wǎng)絡(luò)安全解決辦法

　　這個(gè)案件反映了正統(tǒng)無(wú)線(xiàn)安全問(wèn)題背后的一個(gè)隱憂(yōu)，那就是即使公司沒(méi)有籌建自己的無(wú)線(xiàn)網(wǎng)絡(luò)，無(wú)線(xiàn)網(wǎng)絡(luò)的安全問(wèn)題仍有可能給公司造成威脅。該案件中的問(wèn)題是因?yàn)閱T工私裝設(shè)備引起的，除了這種情況之外，還有一些情況可能更難以被察覺(jué)。由于無(wú)線(xiàn)信號(hào)利用空氣來(lái)傳播，所以無(wú)線(xiàn)設(shè)備能夠更好的被隱藏。在一個(gè)機(jī)柜紛亂的以太線(xiàn)纜背后隱蔽的插接一個(gè)AP是很容易辦到的，在疏于管理的環(huán)境下，甚至幾個(gè)月都不會(huì)被發(fā)現(xiàn)。在一些更大規(guī)模的企業(yè)中，這樣的漏洞可能很難被發(fā)現(xiàn)，而在之后的某天，讓所有人目瞪口呆的災(zāi)難就會(huì)發(fā)生。

　　盡管基于802.11協(xié)議的無(wú)線(xiàn)網(wǎng)絡(luò)技術(shù)所存在的安全風(fēng)險(xiǎn)一直讓人深感擔(dān)憂(yōu)，但是我們并不能因此放棄努力。下面簡(jiǎn)短地給出一些無(wú)線(xiàn)網(wǎng)絡(luò)實(shí)施的安全建議，這些建議大部分取自Morris后來(lái)實(shí)施無(wú)線(xiàn)安全的備忘錄。

掌控信號(hào)覆蓋范圍

　　部署了無(wú)線(xiàn)網(wǎng)絡(luò)之后，應(yīng)該用可移動(dòng)的無(wú)線(xiàn)設(shè)備徹底的勘測(cè)信號(hào)覆蓋情況，并反映在公司的網(wǎng)絡(luò)拓?fù)鋱D里。由于無(wú)線(xiàn)信號(hào)是全向性的，所以某些情況下還需要到你的上層和下層查看一番。如果信號(hào)的覆蓋超過(guò)了公司的物理范圍，就必須做出相應(yīng)的處理，比如移動(dòng)AP的位置，也可以像SS所做的那樣，以帶有屏蔽效果的材質(zhì)“裝飾”他們的外墻。另外要特別注意一點(diǎn)，隨著信號(hào)區(qū)域內(nèi)物體的移動(dòng)，信號(hào)覆蓋范圍可能會(huì)發(fā)生變動(dòng)，在標(biāo)記范圍的時(shí)候最好為那些可能對(duì)信號(hào)產(chǎn)生較大影響的物體做特別的標(biāo)注。而且某個(gè)地點(diǎn)在檢查時(shí)沒(méi)有信號(hào)不代表一小時(shí)之后信號(hào)不會(huì)泄漏到這里，所以在檢測(cè)到的覆蓋范圍上擴(kuò)展5%的比例。

啟用無(wú)線(xiàn)設(shè)備的安全能力

　　保護(hù)無(wú)線(xiàn)網(wǎng)絡(luò)安全的最基礎(chǔ)手段是加密，通過(guò)簡(jiǎn)單的設(shè)置AP和無(wú)線(xiàn)網(wǎng)卡等設(shè)備，就可以啟用WEP加密。雖然WEP加密本身存在一些漏洞并且比較脆弱，但是仍然可以給非法訪(fǎng)問(wèn)設(shè)置不小的障礙。我們建議經(jīng)常對(duì)WEP密鑰進(jìn)行更換，在有條件的情況下啟用獨(dú)立的認(rèn)證服務(wù)為WEP自動(dòng)分配密鑰。另外一個(gè)必須注意的問(wèn)題就是用于標(biāo)識(shí)每個(gè)無(wú)線(xiàn)網(wǎng)絡(luò)的SSID，在部署無(wú)線(xiàn)網(wǎng)絡(luò)的時(shí)候一定要將出廠(chǎng)時(shí)的缺省SSID更換為自定義的SSID。現(xiàn)在的AP大部分都支持屏蔽 SSID廣播，除非有特殊理由，否則應(yīng)該禁用SSID廣播，這樣可以減少無(wú)線(xiàn)網(wǎng)絡(luò)被發(fā)現(xiàn)的可能。

使用安全性高的部署方式

　　相對(duì)來(lái)說(shuō)，將無(wú)線(xiàn)網(wǎng)絡(luò)配置成Ad-hoc(端對(duì)端互連)模式會(huì)在很大程度上增加管理負(fù)擔(dān)和安全風(fēng)險(xiǎn)，盡可能使所有客戶(hù)端都通過(guò)AP連接。另外我們建議將AP放置在企業(yè)的安全防御設(shè)備之外，不要像SS公司最初那樣，將AP插接在局域網(wǎng)內(nèi)部，這樣對(duì)于慣常使用的邊界安全防御模式來(lái)說(shuō)，近乎于為入侵者敞開(kāi)了大門(mén)。正確的方法是將AP部署在防火墻之外，使經(jīng)過(guò)AP的訪(fǎng)問(wèn)都受到防火墻的過(guò)濾。同時(shí)我們還可以利用防火墻及其它設(shè)施執(zhí)行地址綁定，阻止未被允許的地址訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)。

實(shí)施之外

　　面對(duì)高度動(dòng)態(tài)變化的網(wǎng)絡(luò)環(huán)境，我們需要一直保持高度的警惕性。相對(duì)來(lái)說(shuō)，無(wú)線(xiàn)網(wǎng)絡(luò)比有線(xiàn)網(wǎng)絡(luò)更需要啟用日常監(jiān)測(cè)手段以發(fā)現(xiàn)安全問(wèn)題，如果沒(méi)有專(zhuān)門(mén)的設(shè)備，可以使用一些針對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)環(huán)境的入侵檢測(cè)軟件。定期檢查、變更管理這些常務(wù)的安全工作也要認(rèn)真的執(zhí)行，因?yàn)闆](méi)有任何設(shè)施是天然安全的，只有在管理中對(duì)安全做出足夠的努力，才能獲得所期望的安全。