1. 如何解決企業無線區域網安全問題
安全性主要包括訪問控制和加密兩大部分。訪問控制保證只有授權用戶能訪問敏感數據,加密保證只有正確的接收者才能理解數據。目前使用最廣泛的 IEEE 802.11b 標准提供了兩種手段來保證 WLAN 的安全—— SSID 服務配置標示符 和 WEP 無線加密協議 。SSID提供低級別的訪問控制,WEP是可選的加密方案,它使用RC4加密演算法,一方面用於防止沒有正確的WEP密鑰的非法用戶接入網路,另一方面只允許具有正確的WEP 密鑰的用戶對數據進行加密和解密 包括軟體手段和硬體手段。
一、許多安全問題都是由於無線訪問點沒有處在一個封閉的環境中造成的。所以,首先就應注意合理放置訪問點的天線。以便能夠限制信號在覆蓋區以外的傳輸距離。別將天線放在窗戶附近,因為玻璃無法阻擋信號。你最好將天線放在需要覆蓋的區域的中心,盡量減少信號泄露到牆外。
二、將信號天線問題處理好之後,再將其加一層「保護膜」,即一定要採用無線加密協議(WEP)。
三、建議禁用DHCP和SNMP設置。從禁用DHCP對無線網路而言,這很有意義。如果採取這項措施,黑客不得不破譯你的IP地址、子網掩碼及其它所需的TCP/IP參數(無疑也就增加了難度)。無論黑客怎樣利用你的訪問點,他仍需要弄清楚IP地址。而關於SNMP設置,要麼禁用,要麼改變公開及專用的共用字元串。如果不採取這項措施,黑客就能利用SNMP獲得有關你方網路的重要信息。
四、使用訪問列表(也稱之為訪問控制列表)。為了進一步保護你的無線網路,建議選用此項特性,但請注意,並不是所有的無線訪問點都支持。因為此項特性可以具體地指定允許哪些機器連接到訪問點。支持這項特性的訪問點有時會使用普通文件傳輸協議 TFTP ,定期下載更新的列表,非常有用。
五、綜合使用無線和有線策略。無線網路安全不是單獨的網路架構,它需要各種不同的程序和協議配合。制定結合有線和無線網路安全的策略能夠最大限度提高安全水平。
通過精心部署,虛擬專用網(VPN)與802.11b無線標准內建的有線對等保密(WEP)協議的完美組合,將可以為公司的無線802.11b環境提供強大的安全保護。
1、利用強大的身份驗證特性防止非法人員訪問公司網路。
2、利用優異的加密性能防止數據在傳輸過程中被竊聽。
802.11b技術規範本身提供了一定程度的保護。其內建的有線對等保密(WEP)協議是對用戶進行身份驗證和對數據加密的常用方法。WEP封裝技術可在傳輸前將數據打亂,之後使用名為共享密鑰驗證(shared key authentication)的演算法對客戶機進行身份驗證。理論上只有享有接入點發出的密鑰的人員才能破譯信號。但在實際使用中,WEP並不能滿足英特爾對網路安全的要求。從802.11b數據流中可以獲取用於打亂數據的密鑰基礎結構。這意味著黑客可以重新組織起有效密鑰,並利用它們偽裝成網路的授權客戶,進入到採用WEP保護的802.11b無線網路。經過精挑細選,虛擬專用網(VPN)技術最終獲得了英特爾IT部門的青睞。
通過在802.11b網路中部署業經驗證的VPN安全機制,企業可以在無線客戶機與企業網路之間建立安全的連接。在歷經3年多的實際考驗之後,VPN仍是用戶心中最受歡迎的解決方案。英特爾IT部門的研發管理人員稱之為久經考驗的安全解決方案,對於它能夠幫助英特爾大展宏圖深信不疑。
工作中,虛擬專用網(VPN)將在客戶機和VPN網關之間建立一對一的安全連接。在802.11b網路中,VPN網關位於無線接入點後面。一般而言,網路的每一客戶機均通過一個專用的VPN通道與網路連接。數據包經由無線網路從一台客戶機向另一台發送時,首先需經過VPN通道,之後逐次通過接入點和VPN網關。隨後數據包將通過無線區域網抵達另一個VPN網關,此處它們將進行加密,之後通過無線接入點發送至接收客戶機。通過將VPN網關置於802.11b接入點後面,公司可以確保所有無線傳輸的信息都在嚴密保護之下。
適用於802.11b無線網路的VPN解決方案:
在數據抵達位於無線接入點後面的VPN網關之前,將一直處於加密狀態之下。現在,在採用端到端的兼容性解決方案的前提下,英特爾公司正將這一解決方案部署於網路之中。例如,選擇來自同一廠商的防火牆和VPN解決方案,兩者之間的兼容性將相對較高。如網路中存在多個移動和遠程通信設備,客戶端的VPN應由軟體進行控制。在這種情況下,企業的所有終端使用相同的軟體將至關重要。