企业无线网络存在哪些安全隐患

梦想家

企业中的无线网络安全隐患你注意了吗?公司或者单位的电脑，你是不是用的非常安心呢?会不会担心你的机密被他人无情的窃取走呢?那么，本文就介绍几种常见的安全隐患，提醒大家注意。

为了方便企业日常办公的需要，不少企业都部署了无线网络。在有线网络时代，要想登录企业无线网络，必须将网线插在企业网络的交换机中;部署了无线网络之后，只要在无线网络的覆盖范围之内，用户就可以登录企业网络。

不妨大胆的设想一下，攻击者手持装有无线网卡的笔记本，在企业办公室外面就可以轻松畅游企业网络，无意之中，企业无线网络成为了泄密之门，为此，无线网络安全必须引起高度重视。

无线网络安全隐患知多少?

诚然，无线网络的出现，极大方便了企业的日常办公。以往，企业员工频繁穿梭于各个会议室，经常苦于没有足够的网络接口，无线网络的出现，企业员工可以在企业的每个角落登录网络。由于无线网络是借助空气作为传输介质的的一种组网模式，具有一定的开放性，无线网络也有一定的安全隐患。

在无线网络的实际应用中，安全隐患主要体现在以下几个方面：

无线网络安全隐患1、网络带宽被盗用

很多企业使用无线路由器或者是无线AP组建无线网络，非法接入者只要在企业无线网络的覆盖范围之内就可以盗用企业的带宽资源。就这样，企业网络的带宽被非法接入者白白盗用。如果非法接入者没事儿玩一下视频聊天，P2P下载这样耗费带宽的互联网应用，企业网络将会出现拥塞的现象。

无线网络安全隐患2、企业商业机密外泄

企业网络中通常会存放着企业的一些商业合同及客户资料，入侵者一旦成功登录无线网络，企业的商业机密将会受到威胁。由于很多企业员工电脑安全意识的缺乏，电脑的口令通常为空，或者非常简单，这种情况之下，入侵者登录了企业网络之后，企业的商业机密岂不是暴露于入侵者的面前?对于企业的资料，入侵者可以随意复制、删除或更改，届时，企业的正常运营也会受到影响。

无线网络安全隐患3、 危及企业电脑安全

时下，一些技术高超的“黑客”们可以通过互联网控制企业网络的电脑，无线网络自然也不例外。开放式的无线网络，为黑客入侵企业网络制造了便利条件。一旦黑客登录了企业网络，企业的电脑将会被黑客玩弄于股掌之间，一夜之间，企业电脑的硬盘被格式化绝不是危言耸听。

诚然，无线网络的出现提高了企业的办公效率，也带来了巨大的安全隐患。为此，企业网管必须周密防范，打造一个安全的无线网络。从技术角度讲，保障企业无线网络的安全，其本质就是禁止非授权使用无线网络，很多企业都使用加密的手段禁止非授权使用的。

shiwei

你的认识太肤浅啦，你说的只是普通soho型的应用，像现在企业级的都可以做到AES(高级加密标准)一种区块加密法，老美的安全局都敢用无线ap呢。
摩托罗拉拥有世界上最优秀的无线网络入侵保护系统WIPS(wireless instruction protection system)，可以探测到上百种的无线入侵行为。这套系统被用于美国国防部等其他对无线网络安全有极高要求的地方。
摩托罗拉的AirDefense无线入侵防护系统 为 专业人员提供了强大工具，可以全天24 小时持续保护网络，并监控WLAN性能。此系统可以在网络受到攻击或入侵时通知IT 人员以立即做出响应。软件采用了易于部署和升级的可扩展体系结构，为客户的投资提供有力保障。主要功能有：
1)        恶意/入侵检测：实时检测802.11 网络中是否存在恶意设备
2)        漏洞评估：找出网络弱点，例如设备配置不当或薄弱的加密环节
3)        准确定位：快速准确地找出网络中的任何设备
4)        策略执行：在发生违反策略的行为时即时发出通知并做出响应
5)        终止恶意设备：允许安全管理员终止恶意设备的无线连接，快速对攻击做出响应
6)        集中管理：用户界面简单易用，功能强大，可针对各层级的用户

1.1.6        高度的可管理性
摩托罗拉发明的无线交换体系可以通过无线交换机RF7000管理所有AP和移动终端，配置维护都可以在中心机房完成，接入端的维护更是无需专业管理人员。
另外，摩托罗拉的RFMS可以对摩托罗拉的全部无线产品和终端进行统一管理，包括配置、维护、统计和无线射频的监控。后面的章节将有详细RFMS系统介绍。
1.1.7        高度的可靠性
Motorola的无线交换机支持系统冗余备份，多台无线交换机可进行堆叠，构成一个无线交换机集群。当某台无线交换机发生故障后，集群中其余的无线交换机按照负载分担的智能算法接收故障设备管理的AP。
更为特别的是，这些堆叠成集群的无线交换机不仅可以按主备机方式进行冗余备份，还可以按Active：Active的方式进行冗余备份，即备份机不需要出于等待激活的状态，而是所有设备都可以同时工作，这样提高了设备的利用率，降低了故障修复的时延。
1.1.8        卓越的加密性能
在国内外的专业测试中，测试仪表产生超大容量的AES加密数据冲击被测设备，不少厂商的设备系统发生瘫痪现象，而Motorola的RFS7000设备则表现良好，很好的通过了测试，吞吐量没有下降。
1.2        无线网络高可靠冗余方案
        摩托罗拉建议保护区WLAN系统在管理中心采用高可靠的冗余拓扑结构设计，核心交换机建议选择支持冗余引擎、冗余电源、支持热插拔的高端交换机产品。
采用2台RFS7000主机和2台RFS7000备机构成2组全冗余架构的无线管理核心，2组RFS7000无线交换机与核心交换机直连，每组无线交换机主备机之间通过网络实时同步状态信息，一旦出现主用无线交换机故障，备用无线交换机能立即接管主无线交换机的所有功能，保证无线网的不中断运行。Motorola的无线交换机支持系统冗余备份，多台无线交换机可进行堆叠，构成一个无线交换机集群。当某台无线交换机发生故障后，集群中其余的无线交换机按照负载分担的智能算法接收故障设备管理的AP。更为特别的是，这些堆叠成集群的无线交换机不仅可以按主备机方式进行冗余备份，还可以按Active：Active的方式进行冗余备份，即备份机不需要出于等待激活的状态，而是所有设备都可以同时工作，这样提高了设备的利用率，降低了故障修复的时延。
1.3        无线网络安全方案
由于无线局域网采用公共的电磁波作为载体，因此与线缆网络不同，任何人都有条件窃听或干扰信息，因此在无线局域网中，网络安全很重要。常见的无线网络安全问题如下：
服务区标示符(SSID)：
无线工作站必需出示正确的SSID 才能访问AP，因此可以认为SSID 是一个简单的口令，从而提供一定的安全。如果配置AP 向外广播其SSID，那末安全程度将下降；由于一般情况下，用户自己配置客户端系统，所以很多人都知道该SSID，很容易共享给非法用户。在消费类产品中，例如在机场，很多人通过使用普通的迅驰PC就能实现对区域内AP的扫描，从而非法使用该AP的网络资源。有的厂家支持“任何”SSID 方式，只要无线工作站在任何AP 范围内，客户端都会自动连接到AP，这将跳过SSID 安全功能。
在SSID安全的保证中，一项基本的设置要求就是必须关闭SSID的广播，这样至少可以杜绝简单的扫描攻击。
物理地址（MAC）过滤：
每个无线工作站网卡都由唯一的物理地址标示，因此可以在AP 中手工维护一组允许访问的MAC 地址列表，实现物理地址过滤。物理地址过滤属于硬件认证，而不是用户认证。这种方式要求AP 中的MAC地址列表必需随时更新，目前都是手工操作通常列表数目不超过40个；如果用户增加，则扩展能力很差，因此只适合于小型网络规模。对于二代无线架构，MAC过滤是一种比较容易使用的方式。

由于无线信号的空间泄漏特性，以及802.11技术的普及，随之而来的无线网络安全问题也被广大用户普遍关注。如何在保证802.11WLAN的高带宽，便利访问的同时，增加强有力的安全特性？业界的厂商纷纷研究发展了802.11技术，增强了无线局域网安全的各个方面，并促成了诸如802.1x/EAP，802.11i，WPA/WPA2等标准的诞生，以及后续标准（如802.11w）的制定。
摩托罗拉在无线局域网安全技术和标准制定方面，扮演了极为重要的角色，是802.1x/EAP无线环境应用的最早支持厂商，并在无线安全标准工作组中占据领导地位。
与其他网络一样，WLAN的安全性主要集中于访问控制和隐私保护。健全的WLAN访问控制（也被称为身份验证）可以防止未经授权的用户通过接入点收发信息。严格的WLAN访问控制措施有助于确保合法的客户端基站只与可靠的接入点（而不是恶意的或者未经授权的接入点）建立联系。
WLAN隐私保护有助于确保只有预定的接收者才能了解所传输的数据。在数据通过一个只供数据的预定接收者使用的密钥进行加密时，所传输的WLAN数据的隐私才视为得到了妥善保护。数据加密有助于确保数据在收发传输过程中不会遭到破坏。
但是，无线局域网的安全并不仅仅局限于接入认证和数据加密。无线接入设备AP的物理安全性，AP连接到有线网络交换机的安全认证，基于无线访问位置的物理防护手段，如何避免攻击，如何快速发现非法/假冒AP，对一个网络系统来讲也是十分重要的。
下面我们就结合保护区WLAN信息系统项目的无线网络结构，以及无线网络传输特点，进行详细说明。

1.3.1        无线通讯安全加密
在无线通讯传输过程中，所有数据包经过加密后在无线链路上进行传输。在现有的无线网络数据加密技术中，除了要考虑加密算法外，还应当考虑传输密钥的管理。摩托罗拉已经在产品方案上实施了TKIP/AES加密技术，可以有效改善无线链路的通讯安全。
TKIP（动态密钥完整性协议）加密机制
TKIP（动态密钥完整性协议）主要包括两个关键的对WEP（连线对等保护）的增强部分：
1、在所有WEP（连线对等保护）加密的数据包上采用报文完整性检测 (MIC) 功能，以更有效的保证数据帧的完整性；
2、针对所有的WEP（连线对等保护）加密的包实行 基于每个数据包密匙的方式。
MIC主要是用来改善802.11低效率的 Integrity check function (ICV)，主要解决两个主要的不足：MIC对每个无线数据帧增加序列号，而AP将丢弃顺序错误的帧；另外在无线帧上增加MIC段，MIC段则提供了更高量级的帧的完整性检查。
有很多报告显示WEP（连线对等保护）密匙方式的弱点，报告了WEP在数据私密和加密上的很低功效性。在802.1X的重认证中采用WEP（连线对等保护）密匙旋转的办法可以减轻可能经受的网络攻击，但没有根本解决这些问题。802.11i的标准中WEP（连线对等保护）增强机制已经采纳了针对每个分组的WEP密匙。并且这些技术已经在摩托罗拉的WLAN设备中得以实施。


AES(高级加密标准)加密机制

AES(高级加密标准)是一种旨在替代TKIP（动态密钥完整性协议）和WEP中使用的RC4加密的加密机制。AES(高级加密标准)不存在任何已知攻击，而且加密强度远远高于TKIP和WEP（连线对等保护）。AES(高级加密标准)是一种极为安全的密码算法，目前的分析表明，需要2的120次方次计算才能破解一个AES(高级加密标准)密钥――还没有人真正做到这一点。
AES(高级加密标准)是一种区块加密法。这是一种对称性加密方法，加密和解密都使用同一个密钥，而且使用一组固定长度的比特――即所谓的“区块”。与使用一个密钥流对一个文本数据输入流进行加密的WEP（连线对等保护）不同，AES会独立地加密文本数据中的各个区块。AES(高级加密标准)标准规定了三种可选的密码长度（128、192和256比特），每个AES(高级加密标准)区块的大小为128比特。WPA2/802.11i使用128比特密钥长度。一轮WAP2/802.11i AES加密包括四个阶段。对于WPA2/802.11i，每轮会重复10次。
为了保护数据的保密性和真实性，AES采用了一种名为Counter-Mode/CBC-Mac (CCM)的新型结构模式。CCM会在Counter模式（CTR）下使用AES，以保护数据保密性，而AES采用CBC-MAC来提供数据完整性。这种对两种模式（CTR和CBC-MAC）使用同一个密钥的新型结构模式已经被NIST（特殊声明800-38C）和标准化组织（IETF RFC-3610）所采用。
CCM采用了一种48比特的IV。与TKIP一样，AES(高级加密标准)使用IV的方式与WEP加密模式有所不同。在CCM中，IV被用作用于制止重复攻击的加密和解密流程的输入信息。而且，因为IV空间被扩展到48比特，发生一次IV冲突所需的时间会以指数形式增长。这可以提供进一步的数据保护。
建议采用基于硬件的AES加密（和解密），因为AES需要进行大量的计算。摩托罗拉无线设备产品为AES提供了硬件支持。
1.3.2        防御潜在的无线网络攻击
WLAN可能会遭受多种类型的攻击。在使用802.1X-EAP、TKIP或AES(高级加密标准)时，可以防止网络遭受多种网络攻击的影响。如下表所示：
新的安全技术有助于制止网络攻击
攻击类型        安全改进
        身份验证：
开放
加密：
静态WEP        身份验证：
EAP-FAST，EAP-TLS或者PEAP
加密：
动态WEP        身份验证：
EAP-FAST，EAP-TLS或者PEAP
加密：
TKIP/MIC，AES
中间人        不安全        不安全        安全
身份伪装        不安全        安全        安全
薄弱 IV攻击（AirSnort）        不安全        不安全        安全
分组伪装（重复攻击）        不安全        不安全        安全
暴力攻击        不安全        安全        安全
字典攻击        不安全        安全        安全

1.3.3        非法AP和非法用户的发现和抑制
Rogue Device是指黑客在无线局域网中安放未经授权的AP或客户机提供对网络的无限制访问，通过欺骗得到关键数据。无线局域网的用户在不知情的情况下，以为自己通过很好的信号连入无线局域网，却不知已遭到黑客的监听了。
在Rogue检测中，分为Rogue AP和Rogue Client，即假的AP和假的客户端两种情况。
Rogue AP的检测
通过侦听无线电波中的数据包来检测AP的存在，得到所有正在使用的AP，SSID和STA。要完成Rogue AP的检测，需要在网络中放置如下部件:①探测器Sensor/Probe，用于随时监测无线数据;②入侵检测系统IDS，用于收集探测器传来的数据，并能判断哪些是Rogue Device;③网络管理软件，用于与有线网络交流，判断出Rogue Device接入的交换机端口，并能断开该端口。
为了发现AP，分布于网络各处的探测器能完成数据包的捕获和解析的功能，它们能迅速地发现所有无线设备的操作，并报告给管理员或IDS系统，这种方式称为RF扫描。某些AP能够发现相邻区域的AP，我们只要查看各AP的相邻AP。当然通过网络管理软件，比如SNMP，也可以确定AP接入有线网络的具体物理地址。
发现AP后，可以根据合法AP认证列表(ACL)判断该AP是否合法，如果列表中没有列出该新检测到的AP的相关参数，那么就是Rogue AP识别每个AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型以及信道。判断新检测到AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型或者信道异常，就可以认为是非法AP。
Rogue Client的检测
Rogue Client是一种试图非法进入WLAN或破坏正常无线通信的带有恶意的无线客户，管理员只要多注意他们的异常行为，就不难识别假冒客户。其异常行为的特征主要有:①发送长持续时间(Duration)帧;②持续时间攻击;③探测“any SSID”设备;④非认证客户。
如果客户发送长持续时间/ID的帧，其他的客户必须要等到指定的持续时间(Duration)后才能使用无线媒介，如果客户持续不断地发送这样的长持续时间帧，这样就会使其他用户不能使用无线媒介而一直处于等待状态。
为了避免网络冲突，无线节点在一帧的指定时间内可以发送数据，根据802.11帧格式，在帧头的持续时间/ID域所指定的时间间隔内，为节点保留信道。网络分配矢量(NAV)存储该时间间隔值，并跟踪每个节点。只有当该持续时间值变为O后，其他节点才可能拥有信道。这迫使其他节点在该持续时间内不能拥有信道。如果攻击者成功持续发送了长持续时间的数据包，其他节点就必须等待很长时间，不能接受服务，从而造成对其他节点的拒绝服务。
如果AP允许客户以任意SSID接入网络，这将给攻击者带来很大的方便，如果发现有客户以任意SSID方式连接，就很可能是攻击者，管理员应该更改AP的设置，禁止以任意SSID方式接入。如果假冒客户在合法客户认证列表中出现，可以根据客户MAC地址和设备供应商标识进行判断，如果NIC的MAC地址或Vendor标识未在访问控制列表中，则可能是非法客户。
RF7000提供全面的网络安全特性，包括集成的基于MAC地址认证，入侵检测，AAA Radius服务器和为访客提供安全访问的Hotspot功能。状态包检测防火墙在提供流量优化的同时针对拒绝服务以及其他无线网络攻击进行防范保护，在发现有非法用户进行DOS攻击时可以自动将这些用户列入黑名单。
1.3.4        无线入侵保护系统
摩托罗拉提供最先进的无线入侵专业保护AirDefense系统。众所周知，美国国防部是全球最重视网络安全的组织机构，摩托罗拉AirDefense系统强大的功能得到美国国防部的高度认可，并在其办公场所得到部署。在中国部署在白云机场、中央电视台、Walmart和Fedex。
常见的无线入侵行为有以下几种：
欺诈设备信号在实体墙和防火墙周围进行传输
入侵者或黑客可以发动攻击(DoS), 或盗用身份信息
偶尔相关和恶意相关的设备可以窃听信息
热点区的无线网络诈骗或分析软件(AirSnarf, Hotspotter等)
具有无线网络功能的笔记本电脑的无线接口可能成为有线网络的一个后门, 使企业资源完全暴露



部署AirDefense系统至少需要一个无线传感器Sensor,这个专门的无线传感器可以可监控 40,000 – 60,000 平方英尺(3700 – 5600 平方米)范围内的所有设备。无线传感器硬件上与瘦AP产品AP300是一样的，只是软件Firmware有区别，两者可以通过专门的软件进行相互转换。部署示意图如下所示：





此外，AirDefense还提供入侵者跟踪功能，这对于快速定位和对入侵者进行必要措施非常有帮助。