机构无线网络的部署
主页 > 
机构无线网络的部署
< 返回

机构无线网络的部署

使用无线网络可带来成本效益及方便,令它在大小机构中的应用日趋普遍。无线网络的应用虽然有不少好处,却同时带来新的保安风险。要有效地减低这些风险,在无线网络方案的整个发展周期中,应考虑各种保安最佳作业实务。为协助机构了解在无线网络推行期间的最佳作业实务,我们会以一个分为五个阶段的网络发展周期作为基础,逐步指出保安方面需要特别注意的重点。

推出阶段

就使用无线网络厘定业务及功能的需求
在设计无线网络前,须了解无线方案业务及功能的需求,因为这些需求可能会影响应采取的网络保护措施。例如,倘若容许非注册用户接达系统,在设计阶段便应考虑相关的最佳保安作业实务。
订立无线保安政策
机构应制订一套稳建的无线保安政策,以处理使用无线网络的问题及厘定可传送的资料种类。该政策应描述一个制订安装丶保护丶管理和使用程序的架构,以及订立保安与运作指引丶标准和各员工的职责。

设计/采购阶段

留意 Wi-Fi 标准的发展
自从 802.11 标准推出并不断加以改良,数据传输率丶讯号范围和无线网络的保安都得以加强,因此,当采购新设备或获取新的无线网络服务时,最好时常留意新标准的发展。在采购新设备时,应考虑以较安全的无线保安规约如 WPA2 或 WPA3 作保护。由于日后可能在这些规约中发现新的保安漏洞,故不能只依赖这些保安规约作为确保资料保密性和完整性的唯一措施。
进行保安风险评估及审计以识别保安漏洞
保安风险评估及审计是检查无线网络安全程度的重要方法,用以确定所需的修正措施,维持可接受的保安水平。这些方法有助于识别无线网络的漏洞,例如使用预设或易猜的密码和简单网络管理规约(SNMP)的社群字串的无线接驳点,以及侦测是否已启动加密功能等。然而,保安风险评估只能揭示资讯系统于某一段时间的部份风险,故在无线网络运作后,应定期进行风险评估及审计。
进行实地调查
基于射频(RF)的性质,无线网络讯号一般不会受楼宇阻隔。无线讯号的覆盖范围过大,可能会对网络构成重大威胁如停车场攻击。因此,在网络策划阶段中,应充份了解无线网络的覆盖范围要求并进行实地调查,以便确定:
适宜采用的技术;
须避免丶删除或处理的障碍;
应采用的覆盖模式;及
需要的容量。
采用纵深防御方式
有线网络的保安设计,一直广泛采用「纵深防御」的概念,这原理亦适用于无线网络。经采取多重保安措施后,无线网络遭成功入侵的风险将大幅减少。如一项措施受袭,尚有多重保安措施可保护网络。
分隔无线与有线网络数据段丶使用强化的装置及用户认证方法丶依据位址及规约作出网络过滤,以及对无线与有线网络进行监视和入侵侦测,均是多重防御的措施。
分隔无线网络与有线网络
基于无线技术的特质,无线网络比较难以受楼宇阻隔,故一般被视为不可靠的网络。连接网络时,最佳的作业实务是有线和无线网络不应直接连接在一起。防火墙的安装通常用于分隔和控制不同网络的通讯。譬如,有线网络的 ARP 广播封包不应传送至无线网络,否则恶意用户便可揭露内部信息,例如这些广播的以太网 MAC 位址。
无线接驳点的覆盖范围分段
由于无线网络的传送容量有限,恶意攻击者可轻易进行拒绝服务(DoS)攻击,使网络停顿。把无线接驳点的覆盖范围分段,可平衡无线网络的负荷,并减少 DoS 攻击的影响。

实施阶段

推行有效的实体保安管制
网络设备的遗失可能会对无线网络构成重大威胁,因为网络的配置可从遗失的无线接驳点或无线界面卡中取得。把网络设备如无线接驳点安全地放置在不容易接触的位置,并加设有效的实体保安管制,被窃的风险便会减少。
避免无线网络的覆盖范围过大
从实地调查收集资料后,便可设计放置无线接驳点的位置,以免无线网络的覆盖范围过大,因而减少遭入侵的机会。此外,调较传送的射频功率(RF)或使用定向天线,亦可控制传送的射频讯号,从而控制无线网络的覆盖范围。
保障无线接驳点的安全
无线接驳点是无线网络的核心,它们是否安全,对无线网络的整体保安有一定的影响。要保护无线网络,首先要确保无线接驳点的安全。以下是加强管理无线接驳点安全的一些建议:
更改配置的预设值;
定期更换密码匙;
确保所有无线接驳点均有安全而独立的管理密码,并定期更换密码;
关闭无线接驳点上所有不安全及未使用的管理规约,并以最小权限配置馀下的管理规约;
启动记录功能,并把记录传送至远程记录伺服器;
启动无线基本参数,例如静止逾时及支援结合
使用难以联想到的服务设定识别码(SSID)命名常规
无线网络中, SSID 用作分段网络的网络名称,客户端须配置正确的 SSID 才能接达网络。 SSID 值会显示位标丶探测请求及深测回应广播,因此,为免恶意攻击者在无线网络装置窃取侦察资料, SSIDs 不应反映机构的内部资料。
关闭客户端与客户端之间的「临机操作模式」传送功能
一般而言,无线网络可透过三种不同方式运作:基建丶临机操作及桥路模式。利用临机操作模式运作时,客户端之间可直接连接而不同无线接驳点。如客户端配置不善,攻击者不费吹灰之力便可接达客户端。因此,除非有特别的业务需要,否则应关闭无线装置的临机操作模式。
限制客户端与客户端之间透过无线接驳点的通讯
大部份无线网络以「基建」模式运作,需要使用一个或以上无线接驳点,所有网络交通均穿越无线接驳点。透过控制无线接驳点的客户端通讯,可防止恶意用户接达易受破坏的客户端。
保持最新的保安修补程式
电脑产品新发现的保安漏洞应即时修补,以免受到无意或恶意的攻击。修补程式在使用前亦应先进行测试,以确保能有效运作。
在无线接驳点实施 MAC 位址过滤
MAC位址过滤可视作无线网络的第一层保护。启动过滤功能后,只有获授权的装置才可使用网络。由于互联网上有工具可修改 MAC 位址,故不可单靠这种接达控制方式来保护数据的保密性和完整性。此外, MAC 位址过滤机制在一些情况下并不适用,例如实施公共无线热点的时候。
采用无线入侵侦测系统
在网络上采用无线入侵侦测系统,有助及时侦测恶意破坏活动和作出回应。现时,一些无线入侵侦测系统更备有可侦测及预防非法无线接驳点的功能。

操作及维修保养阶段

教育用户无线技术的风险
用户知悉风险所在,往往是确保资讯保安的成功关键。完善的政策并不足够,教育用户遵行政策同样重要,故应订定最佳作业实务或保安指引,让终端用户了解和跟随。
备存所有无线装置的详细清单
一份准确的获授权使用的无线装置清单,有助于在保安审计时确定非法的无线接驳点,以及进行不同的支援工作。
公布无线网络的覆盖图
网络管理员应建立无线网络的覆盖图,包括各无线接驳点的位置和 SSID资料。当发生保安事故,这覆盖图对于解决问题将会起很大的作用。
订立无线接驳点的保安配置标准
为简化日常工序,并确保各无线接驳点受适当的措施保护,建议为无线接驳点订立基准保安配置标准。当无线接驳点运作故障,常见的做法是将其重设到预设值。如订立了基准保安配置标准,有关人员只需要按照标准便可重新配置无线接驳点。机构必须定期检查审核记录,以确保记录齐全完整。如发现不寻常情况必须作出汇报,并且有需要时应进行详细调查。
定期检查审核记录
机构必须定期检查审核记录,以确保记录齐全完整。如发现不寻常情况必须作出汇报,并且有需要时应进行详细调查。
订定保安事故应变程序
建议管理员订定一套内部保安事故应变程序,以及不时更新以处理新的潜在保安威胁。

弃置阶段

弃置装置前删除所有敏感资料
在弃置无线组件时,紧记删除装置上所有的敏感配置资料,例如共享密码匙和密码。如恶意用户取得这些资料,便可用作攻击网络。因此,在弃置装置前必须透过管理界面以人手删除配置设定。机构可考虑在可行情况下为设备消磁,如有硬磁碟装置,亦可使用安全删除工具。