企业无线网络切莫成为泄密之门

1、.企业无线网络 切莫成为泄密之门为了方便企业日常办公的需要，不少企业都部署了无线网络。在有线网络时代，要想登录企业无线网络，必须将网线插在企业网络的交换机中；部署了无线网络之后，只要在无线网络的覆盖范围之内，用户就可以登录企业网络。不妨大胆的设想一下，攻击者手持装有无线网卡的笔记本，在企业办公室外面就可以轻松畅游企业网络，无意之中，企业无线网络成为了泄密之门，为此，无线网络安全必须引起高度重视。 无线网络安全隐患知多少？诚然，无线网络的出现，极大方便了企业的日常办公。以往，企业员工频繁穿梭于各个会议室，经常苦于没有足够的网络接口，无线网络的出现，企业员工可以在企业的每个角落登录网络。由于无线网

2、络是借助空气作为传输介质的的一种组网模式，具有一定的开放性，无线网络也有一定的安全隐患。在无线网络的实际应用中，安全隐患主要体现在以下几个方面：1、 网络带宽被盗用很多企业使用无线路由器或者是无线AP组建无线网络，非法接入者只要在企业无线网络的覆盖范围之内就可以盗用企业的带宽资源。就这样，企业网络的带宽被非法接入者白白盗用。如果非法接入者没事儿玩一下视频聊天，P2P下载这样耗费带宽的互联网应用，企业网络将会出现拥塞的现象。图一 盗用带宽就是如此简单2、企业商业机密外泄企业网络中通常会存放着企业的一些商业合同及客户资料，入侵者一旦成功登录无线网络，企业的商业机密将会受到威胁。由于很多企业员工电脑

3、安全意识的缺乏，电脑的口令通常为空，或者非常简单，这种情况之下，入侵者登录了企业网络之后，企业的商业机密岂不是暴露于入侵者的面前？对于企业的资料，入侵者可以随意复制、删除或更改，届时，企业的正常运营也会受到影响。图二 企业有线网络的保密措施3、危及企业电脑安全时下，一些技术高超的“黑客”们可以通过互联网控制企业网络的电脑，无线网络自然也不例外。开放式的无线网络，为黑客入侵企业网络制造了便利条件。一旦黑客登录了企业网络，企业的电脑将会被黑客玩弄于股掌之间，一夜之间，企业电脑的硬盘被格式化绝不是危言耸听。诚然，无线网络的出现提高了企业的办公效率，也带来了巨大的安全隐患。为此，企业网管必须周密防范，

4、打造一个安全的无线网络。从技术角度讲，保障企业无线网络的安全，其本质就是禁止非授权使用无线网络，很多企业都使用加密的手段禁止非授权使用的。用加密保障企业无线网络安全对无线网络的加密，可以通过对无线网络设备进行配置来实现的。对企业无线网络加密时，不仅要考虑到实用性，更要考虑到安全性，这也是企业无线网络加密的基本原则。下面，笔者以无线路由器为例，向大家介绍一下无线网络的加密方式。其实，无线路由器的多项设置都可以达到对无线网络加密的目的。下面，笔者把一些常用的加密模式优缺介绍给大家，大家可以根据自己的实际情况，选择一种适合自己的网络加密模式。1、合理配置SSID广播每个无线网络都会有一个SSID号码

5、，这也是用户进入无线网络的一张通行证。打个比方讲，SSID号码相当于Windows XP中的帐号，如果没有SSID号码，计算机是无法进入无线网络的。通常情况下，无线路由器会将该无线网络的SSID号码进行广播，既便是不知道无线网络SSID号码的用户也可以登录无线网络。对于企业用户而言，启用无线路由器的SSID广播是非常危险的，为此，企业无疑网络必须将SSID广播禁用。将无线路由器的SSID广播禁用之后，未获得授权计算机将无法登录企业无线网络，这可以保障企业无线网络的安全。不过，禁用了SSID广播之后，用户的无线网络仍然可以使用，只是不会出现在其他人所搜索到的可用网络列表中，为了安全，企业网管还要

6、更改无线路由器的默认SSID号码。图三 无线网络SSID号码设置细心的网管都会发现，一些品牌无线路由器的默认SSID号码非常有规律，如TP-Link无线路由器的默认SSID号码是“TP-Link”。如果不更改无线路由器默认的SSID号码，入侵者可以非常容易的猜测到SSID号码并登录企业无线网络。为此，企业网管必须为自己无线网络取一个不易被外人猜到的SSID号码。禁用SSID广播方法很简单，直接进入无线路由器的配置界面，把“允许SSID广播”禁用即可。不过，禁用了SSID广播后会降低无线路由器的工作效率。2、禁用DHCP服务从表面看，DHCP服务与无线网络安全是风马牛不相及的事情，事实上，DHC

7、P的启用对企业无线网络也是一种威胁。众所周知，计算机要想登录无线网络，除了需要SSID号码这个通行证外，还需要得到一个授权的IP地址。在DHCP服务开启状态下，无线路由器会自动为进入无线网络的计算机分配IP地址、子网掩码、网关及DNS服务器地址等信息，入侵者不费吹灰之力就可以进入无线网络。企业的计算机终端数量有限，企业无线网络完全可以手工分配IP地址，这样不仅可以提高无线网络的安全，也方便企业网络的管理。图四 禁用DHCP服务进入无线路由器的配置界面，选择“DHCP服务器”中的“DHCP服务”，将“不启用”打勾即可禁用DHCP服务。禁用了DHCP服务之后，必须重新启动路由器才有效。禁用DHCP

8、服务后，企业网管还需要在计算机客户端为其配置IP地址才可以登录无线网络。启用DHCP服务会加重无线路由器的负担，随着用户的增多，无线路由器的负担也越重。更重要的是，启用DHPC服务还会为企业无线网络产生不安全因素。禁用DHCP服务器可以减少无线路由器的开销，提高无线路由器的工作效率，让企业无线网络更安全。3、开启无线网络加密禁用SSID广播，关闭DHCP服务一定程度上可以防止非授权访问，但这两种方法仍有一定的局限性，对于资深黑客而言，上述两种方法形同虚设。企业无线网络必须开启无线网络加密，这样可以最大限度的保障企业无线网络的安全。目前，一般无线路由器会提供WEP、WPA/WPA2和WPA-PS

9、K/WPA2-PSK三种加密方式，这三种加密方式的区别在于安全系数不同。在这三种加密方式中，WPA-PSK/WPA2-PSK是最安全的一种加密方式，遗憾的是一些无线路由器中并没有提供该种加密方式。图五 无线加密选项WEP加密技术也叫有线等效加密技术，该技术非正规加密标准，而且存在不少安全漏洞，使用该技术加密的无线数据很容易被攻击。WPA-PSK/WPA2-PSK是企业无线网络最常用的一种加密方式，也是一种比较安全的加密方式。相比之下，WPA/WPA2加密方式最安全，但需要认证服务器，不适合中小企业无线网络使用。在无线路由器的“基本设置”页面中，将“开启安全设置激活”。选择“WPA-PSK/WP

10、A2-PSK”加密模式，选择合适的“安全选项”和“加密方法”后输入PSK密码，再设定组密钥更新周期就可以了。图六 WPA-PSK/WPA2-PSK加密设置加密之后，企业网管还需要在计算机端进行相应的配置，把密钥填写进去，否则，计算机是无法登录无线网络的。用户使用的加密模式越复杂，无线路由器的负担也就越重。为此，用户也没有必要选择安全级别太高的加密模式，适用即可。4、启用IP地址和MAC地址过滤随着网络技术的发展，防火墙组件已经成为无线路由器的一个标准配置。在防火墙功能中，提供了基于IP地址和MAC地址过滤的安全选项，这也是加固企业无线网络安全的一个功能组件。IP地址过滤选项，主要是为了防范未经

11、授权进入无线网络的入侵者。无论是有线网络还是无线网络，要想成为其合法用户，必须拥有一个IP地址，如果把非法的IP地址过滤掉，用户将很难入侵企业无线网络。MAC地址过滤的实现方法与IP地址过滤相同，因为每一块网卡在全球拥有唯一的一个地址，即MAC地址，如果将这个MAC地址禁用了，入侵者是无法进入该无线网络的。相比之下，MAC地址过滤功能更安全，只是需要将企业网络内所有计算机的MAC地址填写到MAC地址过滤规则中去。图七 更改MAC地址过滤缺省规则要想激活MAC地址过滤和IP地址过滤两项功能，必须先启用无线路由器的防火墙功能组件。如果欲使用MAC地址过滤功能，激活该功能后，还要根据企业无线网络的需

12、要调整一下缺少的过滤规则。启用MAC地址过滤功能，我们是想让企业网络内的所有机器都能够访问互联网，为此，MAC地址的缺省过滤规则应该为“仅允许已设MAC地址列表中已启用的MAC地址访问Internet”。设置好MAC地址缺省过滤规则之后，把企业网络内所有计算机的MAC地址填写到MAC地址过滤列表中就可以了。如图八，我们把总经理电脑的MAC地址填写到MAC地址过滤列表中，凡是不在该表的计算机均无法访问企业的无线网络。要想获取整个网络的MAC地址，可以借助超级网上邻居等软件。IP地址过滤功能的设置与MAC地址过滤设置基本相同，唯一改变的是把MAC地址换成IP地址。启用MAC地址和IP地址过滤功能之

13、后会加重无线路由器的负担，因为无线路由器要对每一个接入无线路由器的信息一一进行辨别。由于IP地址用户可以更改，为此，最有效的加密方式是MAC地址过滤，因为用户网卡的MAC地址不能轻易改变。哪种加密模式最安全企业的互联网应用无非是浏览网页查阅资料，收发电子邮件，对网络带宽的要求并不是很高，但对安全性能的要求却非常苛刻。在上述叙述的四种加密方式中，哪种可以保障企业无线网络的安全？由于一些加密方式会消耗路由器的性能，影响网络传输质量，但企业网络最大的要求是安全，其次才是传输质量。上述四种加密模式的安全性能，可以做成如下的表格：说明：在安全系数中，越多，破解越难；在降低无线路由器性能中，越多，降低无线

14、路由器性能最越厉害；实用性中，越多，该种加密模式越实用。通过上表可以得知，“开启无线加密”和“MAC地址过滤”两个功能可以大大提高企业无线网络的安全性。网管可以根据企业的实际需要，选择一种适合企业的加密模式。结束语：企业无线网络的安全已经成为一个不可忽视的话题。对于企业而言，网络安全高于一切，企业网管也应在无线网络安全方面多下功夫，切莫让无线网络成为企业的泄密之门！为无线网络上好锁，WEP、WPA无线加密对比随着无线网络的普及，在商场、街上、餐厅搜索到无线信号并不出奇，这些无线热点一般都是免费的提供无线网络给大家使用，并不对信号进行加密。但对于家庭来说，如果自己付款的宽带网络因无线信号没有加密

15、而给别人免费享用并占用了大量的带宽这可不是一件愉快的事情。对企业来说，无线信号更是绝对不能给企业以外的人所接收。 所有的无线网络都提供某些形式的加密。但无线路由器、无线AP、或中继器的无线信号范围很难控制得准确，外界也是很大机会的能访问到该无线网络，一旦他们能访问该内部网络时，该网络中所有是传输的数据对他们来说都是透明的。如果这些数据都没经过加密的话，黑客就可以通过一些数据包嗅探工具来抓包、分析并窥探到其中的隐私。开启无线网络加密，这样即使你在无线网络上传输的数据被截取了也没办法（或者是说没那么容易）被解读。两种常用的加密WEP、WPA目前，无线网络中已经存在好几种加密技术，最常使用的是WEP

16、和WPA两种加密方式。无线局域网的第一个安全协议802.11 Wired Equivalent Privacy（WEP)，一直受到人们的质疑。虽然WEP可以阻止窥探者进入无线网络，但是人们还是有理由怀疑它的安全性，因为WEP破解起来非常容易，就像一把锁在门上的塑料锁。 WEP安全加密方式WEP特性里使用了rsa数据安全性公司开发的rc4 prng算法。全称为有线对等保密（Wired Equivalent Privacy，WEP）是一种数据加密算法，用于提供等同于有线局域网的保护能力。使用了该技术的无线局域网，所有客户端与无线接入点的数据都会以一个共享的密钥进行加密，密钥的长度有40位至256位

17、两种，密钥越长，黑客就需要更多的时间去进行破解，因此能够提供更好的安全保护。WPA安全加密方式WPA加密即Wi-Fi Protected Access，其加密特性决定了它比WEP更难以入侵，所以如果对数据安全性有很高要求，那就必须选用WPA加密方式了（Windows XP SP2已经支持WPA加密方式）。WPA作为IEEE 802.11通用的加密机制WEP的升级版，在安全的防护上比WEP更为周密，主要体现在身份认证、加密机制和数据包检查等方面，而且它还提升了无线网络的管理能力。WPA、WEP对比WPA与WEP不同，WEP使用一个静态的密钥来加密所有的通信。WPA不断的转换密钥。WPA采用有效的

18、密钥分发机制，可以跨越不同厂商的无线网卡实现应用。另外WPA的另一个优势是，它使公共场所和学术环境安全地部署无线网络成为可能。而在此之前，这些场所一直不能使用WEP。WEP的缺陷在于其加密密钥为静态密钥而非动态密钥。这意味着，为了更新密钥，IT人员必须亲自访问每台机器，而这在学术环境和公共场所是不可能的。另一种办法是让密钥保持不变，而这会使用户容易受到攻击。由于互操作问题，学术环境和公共场所一直不能使用专有的安全机制。 WPA工作原理 WPA包括暂时密钥完整性协议(Temporal Key Integrity Protocol，TKIP)和802.1x机制。TKIP与802.1x一起为移动客户机提供了动态密钥加密和相互认证功能。WPA通过定期为每台客户机生成惟一的加密密钥来阻止黑客入侵。TKIP为WEP引入了新的算法，这些新算法包括扩展的48位初始向量与相关的序列规则、数据包密钥构建、密钥生成与分发功能和信息完整性码（也被称为“Michael”码）。在应用中，WPA可以与利用802.1x和EAP（一种验证机制）的认证服务器(如远程认证拨入用户服务)连接。这台认证服务器用于保存用户证书。这种功能可以实现有效的认证控制以及与已有信息系统的集成。由于WPA具有运行“预先共享的密钥模式”的能力，SO