在阅读过大量文章之后,相信您已经对无线LAN(无线局域网,WLAN)采取了敬而远之的态度。至少,您已经对WLAN产生了怀疑――这并不是一件坏事情。Rik描述了WEP的缺陷,Corey描述了如何将无线访问点转移到DMZ中,而Dave指出应该将它们彻底地放到外面。不过,还没有人说应该完全舍弃WLAN,这是出于两个非常有说服力的理由。首先,WLAN在某些场合非常有用;其次,您完全可以不必听我们的。
您已经知道WLAN在办公室的用处。但是,它在家里有什么用呢?正如许多人所指出的,“无线”的价格很便宜,而且确实行之有效(我在撰写本文时,就是通过无线方式连接家庭网络,再通过我的ISP连接到Internet)。那么,如何保护您的用户――以及在他们的计算机上存储的公司数据呢?首先,您(以及您的用户)需要理解WLAN所存在的安全风险。
理解风险
首先,我们要知道脆弱性、威胁等级以及当某人窃取了敏感信息(或者至少拦截了您的Internet连接)之后会为公司造成多大的损失。正如其他专业人士告诉我们的那样,WLAN确实存在脆弱性。而且这个脆弱性完全是因为WLAN技术本身的原因而造成的。
随之所产生的威胁(或者威胁等级)则是很难衡量的。我们必须考虑一些物理参数。例如,不仅要考虑到WAP的有效信号发射距离,还要考虑到别有用心的人在不为人察觉的情况下能够多接近用户的房子。LiveSecurity的专栏作家Lisa Phifer对此有过亲身体验,她在新泽西收费公路上高速行驶时,总共采集到了8个访问点。另外,在她的桌子上,她收到了来自她的邻居的WAP的广播信号。
另外,假如攻击者原先设定的目标就是您的网络,那么威胁等级还会提高。员工最近是不是惹到了他的邻居(或者更糟,惹到了邻居的小儿子)?您的公司是不是有一些军事机密或者特制比萨配方?在您完成了对公司网络的威胁分析之后,必须继续对员工的家庭进行类似的分析。不需要同样多的细节,也不需要进行同样多的工作,只是进行类似的分析。对于某些人来说,对公司员工的家庭网络和系统进行攻击,也许同样是一件有价值的事情。不管最后如何评定威胁,总比对之视而不见好。
那么,具体如何估算因为一次家庭网络入侵而对公司(或个人)造成的损失?这要视情况而定。家庭网络中究竟容纳了什么秘密?上面存有公司的敏感信息吗?有多少军事机密或者个人、财务或者医疗信息?安装了一台家用WAP之后,就相当于从房子里的一台交换机拉了一条5类网线到车道尽头,再在那里装上一个RJ45网线插座。别有用心的人可以跑到房子外面,插好网线,然后访问您的家庭网络。通过连接WAP,他们可以做类似的事情。另外,他们可以嗅探在WAP和每一个无线客户端之间传送的所有无线数据包。
制定策略和操作规程
您现在或许已经得出结论,对于家庭用户,或许最好的WLAN使用策略就是禁止使用。在这一点上,您或许是正确的。但我们知道,即使知道可能存在的安全风险,但用户们仍有可能选择忽略这条禁令(前面说过,我自己也是这样做的),所以您需要制定一些切实可行的操作准则,便于用户遵守。作为安全专家,我们的工作并不是提供安全性,而是满足企业的任务需求。
假定我们现在谈论的是一般级别的风险。因此,我们主要关心的不是其他国家的特工所发动的定向攻击(在那种情况下,我们只需说一声:“千万别这样做。”确定让发动攻击的人知道他们的行为将触犯美国联邦法律)。
首先,还是应该使用WEP来进行身份验证和保证完整性。支持128位或者更高位数加密的PC卡要贵一些,所以许多家庭用户不会考虑购买它们。但是,假如您的用户想把他们的工作用电脑连接到家庭WLAN上,就应该在策略中规定必须购买此类高位加密产品。
接着,要求用户使用一个随机密钥。许多WAP会根据一个密码来生成一个密钥。正如Rik几周前指出的,因为实现上存在的缺陷,使这个密钥生成机制成为一个摆设。如果您的用户采用这个方法,他们应该为密码使用随机字母和数字,并允许WAP生成密钥。然后,它们可以将生成的加密密钥人工输入无线客户端中。另外,他们必须每周改变一次密钥。当然,他们也许不会这么自觉。但是,假如您要求每周改变一次,那么他们可能会每个月改变一次。记着提醒他们就好。
用户应该改变其WAP上的所有默认设置。默认密钥必须更换,默认安全设置必须修改(因为所有这些设备都默认禁用了WEP),默认的广播频道必须换一换,而且必须将SSID重命名为某个不常见的名字。最好是根据名字猜不出所有者的姓名(虽然在邻居面前,这一点可能没有什么作用)。另外,绝对不能从名字中看出用户就职的单位。例如,一个对外广播“ABC1”的SSID对偶尔路过的攻击者来说没有什么吸引力;相反,如果一个SSID广播的是“cia-home1”(中央情报局-家庭1),那么产生的吸引力将是惊人的。从风险评估的角度来说,“CIA”到底是不是一户人家的姓,这一点完全是无关紧要的。
用户应该更改WAP的默认IP地址以及默认的管理密码。有的WAP使用一个外置的USB端口来进行管理,但许多产品都允许使用一个通过网络连接的Web界面来进行管理。如果邻居家的小孩启动了他的无线网卡,并看到了您的WAP广播(因为两家使用的广播频道是一样的),并看到您的SSID是“Linksys”,他就可能好奇地尝试连接IP地址“192.168.1.251”,并使用密码“admin”来登录。每有厂商都有类似的默认设置。这正是为什么必须更改默认设置的原因。
在“Five 'Must Have' Defenses for Mobile Computer Users”一文中,我曾经指出:“移动型电脑是私人网络的一个扩展……”。运行WLAN的用户将面临比其他移动用户更大的安全风险。PC断电和待机的时候,可以通过磁盘加密来保护PC上的数据。然而,如果数据在一个家庭网络中传输,就需要对网络或者计算机实行额外的保护。个人防火墙是必须使用的,而且要设置一个防火墙策略,不允许计算机之间的SMB服务。否则,就没有很好的办法防止隔壁的小孩访问您的计算机上的文件夹。
最后,或许是最重要的一点:建立一个策略,要求家庭WLAN用户必须配置他们的WAP来进行过滤,只和固定MAC地址的设备进行通信。如果一个企业部署的计算机很多,这明显是一个相当繁琐的任务。但是,对于在家庭网络上工作的人来说,要进行这个配置是非常容易的。
总结
并不是每个员工都安装了家庭WLAN,也并不是每个人都有家庭网络。但是,就像目前没有家庭网络的每个计算机用户都有可能在某一天装上家庭网络,目前有家庭网络的每个人都有可能很快添加一个无线访问点。您可以在某种程度上控制WLAN在办公室中的使用。但是,由于您不太可能经常开着车到每个员工的家附近检查WAP,所以必须提前制定好相关的策略和操作规程,尽可能减小员工现在或者将来在家庭WLAN中使用工作电脑所带来的安全风险。在这种情况下,人们虽然是在家里做事情,但也必须接受您的管辖。