详解企业安全隐患 加固网络安全

　　无线网络(Wi-Fi)安全问题随着网络技术的快速发展成为用户关注的焦点，当企业员工在咖啡厅移动办公的时候，什么安全管理人员的您该思考些什么？行动起来应对新的无线网络威胁。

　　在企业的下一次会议召开之前，你的CEO也许正坐在咖啡厅里使用即时消息与他负责市场营销的副总裁谈话，同时还给财务总监发一封电子邮件询问有关下个月的财务结果。在咖啡厅的角落里，一个人坐在那里喝着咖啡，全神贯注地操作笔记本电脑。他不是在读新闻，而是阅读你的CEO的谈话。当他结束的时候，他将在你的CEO的笔记本电脑中安装一个木马程序。IT经理应该怎样做和做些什么来阻止这种事情发生呢?

　　Wi-Fi安全既是客户端的问题，也是服务器方面的问题。许多企业，特别是小企业，都没有对自己和网路加以保护。一个内部无线局域网是一种很好的提高生产效率的工具，像无线笔记本电脑一样。无线局域网创造了从漫游办公到无线IP电话的许多功能的潜力。但是，无线局域网也创造了许多严重安全漏洞。考虑到这种有针对性的攻击，这种威胁已经成为一种实际的威胁。据零售商TJX Group公司的报告称，这家零售商的网络上运行了几个月的恶意软件最初就是犯罪分子通过无线网络安装到这家公司的网络的。安全专家发表的一篇报告称，TJX公司认为，入侵者最初是通过在美国两家商店的无线局域网获得访问权。

　　即使一个公司自己的服务器有充分的保护措施足以应付攻击，允许任何人访问其无线网络将为犯罪分子入侵使用这家公司基础设施的其他用户系统提供机会。赛门铁克首席研究员Guy Bunker说，如果犯罪分子利用一家公司的网络发送垃圾邮件或者攻破其他人的计算机，这个网络的拥有者将陷入法律纠纷之中。这个事情将会让他头疼。许多这种事情都归结为声誉问题。这种问题不是你争辩你是否有错误的问题，而是你首先要防止这种事情发生。

　　与目前相比，早期保护无线局域网的选择措施是很有限的。WEP(无线等效协议)协议加密在空中传输的通讯，但我们不得不意识到这个协议是有漏洞的。WEP协议的概念并不坏，但协议的实施却导致这个协议出现漏洞。攻击者只需要让一台计算机运行几天开源软件无线网络嗅探软件就可以破解一个采用WEP协议的网络。

　　WEP协议被WPA(Wi-Fi保护接入)协议取代了，WPA是采用同一个概念的升级版本，但是，执行起来更有效。遗憾的是竞争性的标准化努力导致了不同缩写词的字母组合：WPA2、WPA PSK和WPA企业版。Potter说，这就导致了混乱。许多企业只好退回去使用WEP，尽管这个协议一直遭到反对。因此，许多加密的网络使用公开的软件就很容易破解。

　　如果使用正确，另一种称作“802.1x”的技术有助于进一步锁定网络。制定这个标准是为了把计算机的身份识别与计算机使用这个无线网络交换的数据的加密分开。一个802.1x网络要求一台计算机在加入这个网络之前对自己进行身份识别。这台计算机把自己的证书发送到接入点。这个接入点随后检查这个网络的身份识别服务器。如果这台计算机通过测试，就允许它进入这个网络。

　　安全研究人员表示，问题是许多公司没有正确地使用802.1x技术。这个技术应该在有线和无线基础设施上一起实施。否则，攻击者就有可能走进一个大楼在一个开放的以太网端口安装一个Wi-Fi接入点，使他们能够在隔壁的安全地方突破网络。大多数企业没有同时在有线和无线网络上安装802.1x设备。安全顾问公司Comsec Consulting的分析师Emma Leith称，我能够轻松绕过保安人员走进大楼安装一个假冒的接入点。

　　安全研究人员还介绍了一种更令人担心的情况：利用已经安装在企业网络上无线客户端设备。一般来说，笔记本电脑使用一种服务集标识符(SSID)连接到无线网络。播出“默认的”、“linksys”或者“T-Mobile”等通用的SSID通常能够让无线客户连接到你的网络。如果这些客户是在这个楼内并且连接到企业网络，这就提供了一种在空中感染这些客户设备的途径，或者利用这些客户设备攻破这些设备连接的企业网络其它部分。

　　安全咨询和入侵测试公司SecureTest的总经理Ken Munro称，如果公司内部设置错误的网络和无线客户端设备能够引起无线安全漏洞的话，在公共无线环境中错误地处理客户计算机可能造成更大的破坏。例如，用户经常容易犯的错误是在公共Wi-Fi网络登录到基于网络的服务。

　　许多网络邮件系统使用安全的、加密的SSL进程进行口令交换。然而，只要用户被允许访问这个网络服务，这个口令交换进程就会恢复到不加密的状态。一个雇员会通过网络邮件泄露敏感的信息，甚至把SMTP(简单邮件传输协议)电子邮件发送到在这个地区使用无线网络嗅探器的任何人。网络上有这种软件。

　　专门在Wi-Fi网络上做广告的公司JiWire负责市场营销的高级副总裁David Blumenfeld说，你不知道你是在Wi-Fi网络上被攻破的，还是在其它地方做交易时被攻破的。Wi-Fi网络破解已经成一种专家的活动变成了业余者的活动。有许多免费的嗅探软件可以用来侦察一个热点发送和接收的信息。这种软件不仅能够截获电子邮件，而且还能截获目前许多企业通讯使用的即时消息信息。

相关文章