機構無線網絡的部署
使用無線網絡可帶來成本效益及方便,令它在大小機構中的應用日趨普遍。無線網絡的應用雖然有不少好處,卻同時帶來新的保安風險。要有效地減低這些風險,在無線網絡方案的整個發展周期中,應考慮各種保安最佳作業實務。為協助機構了解在無線網絡推行期間的最佳作業實務,我們會以一個分為五個階段的網絡發展周期作為基礎,逐步指出保安方面需要特別注意的重點。
推出階段
就使用無線網絡釐定業務及功能的需求
在設計無線網絡前,須了解無線方案業務及功能的需求,因為這些需求可能會影響應採取的網絡保護措施。例如,倘若容許非註冊用戶接達系統,在設計階段便應考慮相關的最佳保安作業實務。
在設計無線網絡前,須了解無線方案業務及功能的需求,因為這些需求可能會影響應採取的網絡保護措施。例如,倘若容許非註冊用戶接達系統,在設計階段便應考慮相關的最佳保安作業實務。
訂立無線保安政策
機構應制訂一套穩建的無線保安政策,以處理使用無線網絡的問題及釐定可傳送的資料種類。該政策應描述一個制訂安裝、保護、管理和使用程序的架構,以及訂立保安與運作指引、標準和各員工的職責。
機構應制訂一套穩建的無線保安政策,以處理使用無線網絡的問題及釐定可傳送的資料種類。該政策應描述一個制訂安裝、保護、管理和使用程序的架構,以及訂立保安與運作指引、標準和各員工的職責。
設計/採購階段
留意 Wi-Fi 標準的發展
自從 802.11 標準推出並不斷加以改良,數據傳輸率、訊號范圍和無線網絡的保安都得以加強,因此,當采購新設備或獲取新的無線網絡服務時,最好時常留意新標準的發展。在采購新設備時,應考慮以較安全的無線保安規約如 WPA2 或 WPA3 作保護。由於日後可能在這些規約中發現新的保安漏洞,故不能只依賴這些保安規約作為確保資料保密性和完整性的唯一措施。
自從 802.11 標準推出並不斷加以改良,數據傳輸率、訊號范圍和無線網絡的保安都得以加強,因此,當采購新設備或獲取新的無線網絡服務時,最好時常留意新標準的發展。在采購新設備時,應考慮以較安全的無線保安規約如 WPA2 或 WPA3 作保護。由於日後可能在這些規約中發現新的保安漏洞,故不能只依賴這些保安規約作為確保資料保密性和完整性的唯一措施。
進行保安風險評估及審計以識別保安漏洞
保安風險評估及審計是檢查無線網絡安全程度的重要方法,用以確定所需的修正措施,維持可接受的保安水平。這些方法有助於識別無線網絡的漏洞,例如使用預設或易猜的密碼和簡單網絡管理規約(SNMP)的社群字串的無線接駁點,以及偵測是否已啓動加密功能等。然而,保安風險評估只能揭示資訊系統於某一段時間的部份風險,故在無線網絡運作後,應定期進行風險評估及審計。
保安風險評估及審計是檢查無線網絡安全程度的重要方法,用以確定所需的修正措施,維持可接受的保安水平。這些方法有助於識別無線網絡的漏洞,例如使用預設或易猜的密碼和簡單網絡管理規約(SNMP)的社群字串的無線接駁點,以及偵測是否已啓動加密功能等。然而,保安風險評估只能揭示資訊系統於某一段時間的部份風險,故在無線網絡運作後,應定期進行風險評估及審計。
進行實地調查
基於射頻(RF)的性質,無線網絡訊號一般不會受樓宇阻隔。無線訊號的覆蓋範圍過大,可能會對網絡構成重大威脅如停車場攻擊。因此,在網絡策劃階段中,應充份了解無線網絡的覆蓋範圍要求並進行實地調查,以便確定:
基於射頻(RF)的性質,無線網絡訊號一般不會受樓宇阻隔。無線訊號的覆蓋範圍過大,可能會對網絡構成重大威脅如停車場攻擊。因此,在網絡策劃階段中,應充份了解無線網絡的覆蓋範圍要求並進行實地調查,以便確定:
適宜採用的技術;
須避免、刪除或處理的障礙;
應採用的覆蓋模式;及
需要的容量。
採用縱深防禦方式
有線網絡的保安設計,一直廣泛採用「縱深防禦」的概念,這原理亦適用於無線網絡。經採取多重保安措施後,無線網絡遭成功入侵的風險將大幅減少。如一項措施受襲,尚有多重保安措施可保護網絡。
分隔無線與有線網絡數據段、使用強化的裝置及用戶認證方法、依據位址及規約作出網絡過濾,以及對無線與有線網絡進行監視和入侵偵測,均是多重防禦的措施。
有線網絡的保安設計,一直廣泛採用「縱深防禦」的概念,這原理亦適用於無線網絡。經採取多重保安措施後,無線網絡遭成功入侵的風險將大幅減少。如一項措施受襲,尚有多重保安措施可保護網絡。
分隔無線與有線網絡數據段、使用強化的裝置及用戶認證方法、依據位址及規約作出網絡過濾,以及對無線與有線網絡進行監視和入侵偵測,均是多重防禦的措施。
分隔無線網絡與有線網絡
基於無線技術的特質,無線網絡比較難以受樓宇阻隔,故一般被視為不可靠的網絡。連接網絡時,最佳的作業實務是有線和無線網絡不應直接連接在一起。防火牆的安裝通常用於分隔和控制不同網絡的通訊。譬如,有線網絡的 ARP 廣播封包不應傳送至無線網絡,否則惡意用戶便可揭露內部信息,例如這些廣播的以太網 MAC 位址。
基於無線技術的特質,無線網絡比較難以受樓宇阻隔,故一般被視為不可靠的網絡。連接網絡時,最佳的作業實務是有線和無線網絡不應直接連接在一起。防火牆的安裝通常用於分隔和控制不同網絡的通訊。譬如,有線網絡的 ARP 廣播封包不應傳送至無線網絡,否則惡意用戶便可揭露內部信息,例如這些廣播的以太網 MAC 位址。
無線接駁點的覆蓋範圍分段
由於無線網絡的傳送容量有限,惡意攻擊者可輕易進行拒絕服務(DoS)攻擊,使網絡停頓。把無線接駁點的覆蓋範圍分段,可平衡無線網絡的負荷,並減少 DoS 攻擊的影響。
由於無線網絡的傳送容量有限,惡意攻擊者可輕易進行拒絕服務(DoS)攻擊,使網絡停頓。把無線接駁點的覆蓋範圍分段,可平衡無線網絡的負荷,並減少 DoS 攻擊的影響。
實施階段
推行有效的實體保安管制
網絡設備的遺失可能會對無線網絡構成重大威脅,因為網絡的配置可從遺失的無線接駁點或無線界面卡中取得。把網絡設備如無線接駁點安全地放置在不容易接觸的位置,並加設有效的實體保安管制,被竊的風險便會減少。
網絡設備的遺失可能會對無線網絡構成重大威脅,因為網絡的配置可從遺失的無線接駁點或無線界面卡中取得。把網絡設備如無線接駁點安全地放置在不容易接觸的位置,並加設有效的實體保安管制,被竊的風險便會減少。
避免無線網絡的覆蓋範圍過大
從實地調查收集資料後,便可設計放置無線接駁點的位置,以免無線網絡的覆蓋範圍過大,因而減少遭入侵的機會。此外,調較傳送的射頻功率(RF)或使用定向天線,亦可控制傳送的射頻訊號,從而控制無線網絡的覆蓋範圍。
從實地調查收集資料後,便可設計放置無線接駁點的位置,以免無線網絡的覆蓋範圍過大,因而減少遭入侵的機會。此外,調較傳送的射頻功率(RF)或使用定向天線,亦可控制傳送的射頻訊號,從而控制無線網絡的覆蓋範圍。
保障無線接駁點的安全
無線接駁點是無線網絡的核心,它們是否安全,對無線網絡的整體保安有一定的影響。要保護無線網絡,首先要確保無線接駁點的安全。以下是加強管理無線接駁點安全的一些建議:
無線接駁點是無線網絡的核心,它們是否安全,對無線網絡的整體保安有一定的影響。要保護無線網絡,首先要確保無線接駁點的安全。以下是加強管理無線接駁點安全的一些建議:
更改配置的預設值;
定期更換密碼匙;
確保所有無線接駁點均有安全而獨立的管理密碼,並定期更換密碼;
關閉無線接駁點上所有不安全及未使用的管理規約,並以最小權限配置餘下的管理規約;
啓動記錄功能,並把記錄傳送至遠程記錄伺服器;
啓動無線基本參數,例如靜止逾時及支援結合
使用難以聯想到的服務設定識別碼(SSID)命名常規
無線網絡中, SSID 用作分段網絡的網絡名稱,客戶端須配置正確的 SSID 才能接達網絡。 SSID 值會顯示位標、探測請求及深測回應廣播,因此,為免惡意攻擊者在無線網絡裝置竊取偵察資料, SSIDs 不應反映機構的內部資料。
無線網絡中, SSID 用作分段網絡的網絡名稱,客戶端須配置正確的 SSID 才能接達網絡。 SSID 值會顯示位標、探測請求及深測回應廣播,因此,為免惡意攻擊者在無線網絡裝置竊取偵察資料, SSIDs 不應反映機構的內部資料。
關閉客戶端與客戶端之間的「臨機操作模式」傳送功能
一般而言,無線網絡可透過三種不同方式運作:基建、臨機操作及橋路模式。利用臨機操作模式運作時,客戶端之間可直接連接而不同無線接駁點。如客戶端配置不善,攻擊者不費吹灰之力便可接達客戶端。因此,除非有特別的業務需要,否則應關閉無線裝置的臨機操作模式。
一般而言,無線網絡可透過三種不同方式運作:基建、臨機操作及橋路模式。利用臨機操作模式運作時,客戶端之間可直接連接而不同無線接駁點。如客戶端配置不善,攻擊者不費吹灰之力便可接達客戶端。因此,除非有特別的業務需要,否則應關閉無線裝置的臨機操作模式。
限制客戶端與客戶端之間透過無線接駁點的通訊
大部份無線網絡以「基建」模式運作,需要使用一個或以上無線接駁點,所有網絡交通均穿越無線接駁點。透過控制無線接駁點的客戶端通訊,可防止惡意用戶接達易受破壞的客戶端。
大部份無線網絡以「基建」模式運作,需要使用一個或以上無線接駁點,所有網絡交通均穿越無線接駁點。透過控制無線接駁點的客戶端通訊,可防止惡意用戶接達易受破壞的客戶端。
保持最新的保安修補程式
電腦產品新發現的保安漏洞應即時修補,以免受到無意或惡意的攻擊。修補程式在使用前亦應先進行測試,以確保能有效運作。
電腦產品新發現的保安漏洞應即時修補,以免受到無意或惡意的攻擊。修補程式在使用前亦應先進行測試,以確保能有效運作。
在無線接駁點實施 MAC 位址過濾
MAC位址過濾可視作無線網絡的第一層保護。啓動過濾功能後,只有獲授權的裝置才可使用網絡。由於互聯網上有工具可修改 MAC 位址,故不可單靠這種接達控制方式來保護數據的保密性和完整性。此外, MAC 位址過濾機制在一些情況下並不適用,例如實施公共無線熱點的時候。
MAC位址過濾可視作無線網絡的第一層保護。啓動過濾功能後,只有獲授權的裝置才可使用網絡。由於互聯網上有工具可修改 MAC 位址,故不可單靠這種接達控制方式來保護數據的保密性和完整性。此外, MAC 位址過濾機制在一些情況下並不適用,例如實施公共無線熱點的時候。
採用無線入侵偵測系統
在網絡上採用無線入侵偵測系統,有助及時偵測惡意破壞活動和作出回應。現時,一些無線入侵偵測系統更備有可偵測及預防非法無線接駁點的功能。
在網絡上採用無線入侵偵測系統,有助及時偵測惡意破壞活動和作出回應。現時,一些無線入侵偵測系統更備有可偵測及預防非法無線接駁點的功能。
操作及維修保養階段
教育用戶無線技術的風險
用戶知悉風險所在,往往是確保資訊保安的成功關鍵。完善的政策並不足夠,教育用戶遵行政策同樣重要,故應訂定最佳作業實務或保安指引,讓終端用戶了解和跟隨。
用戶知悉風險所在,往往是確保資訊保安的成功關鍵。完善的政策並不足夠,教育用戶遵行政策同樣重要,故應訂定最佳作業實務或保安指引,讓終端用戶了解和跟隨。
備存所有無線裝置的詳細清單
一份準確的獲授權使用的無線裝置清單,有助於在保安審計時確定非法的無線接駁點,以及進行不同的支援工作。
一份準確的獲授權使用的無線裝置清單,有助於在保安審計時確定非法的無線接駁點,以及進行不同的支援工作。
公布無線網絡的覆蓋圖
網絡管理員應建立無線網絡的覆蓋圖,包括各無線接駁點的位置和 SSID資料。當發生保安事故,這覆蓋圖對於解決問題將會起很大的作用。
網絡管理員應建立無線網絡的覆蓋圖,包括各無線接駁點的位置和 SSID資料。當發生保安事故,這覆蓋圖對於解決問題將會起很大的作用。
訂立無線接駁點的保安配置標準
為簡化日常工序,並確保各無線接駁點受適當的措施保護,建議為無線接駁點訂立基準保安配置標準。當無線接駁點運作故障,常見的做法是將其重設到預設值。如訂立了基準保安配置標準,有關人員只需要按照標準便可重新配置無線接駁點。機構必須定期檢查審核記錄,以確保記錄齊全完整。如發現不尋常情況必須作出匯報,並且有需要時應進行詳細調查。
為簡化日常工序,並確保各無線接駁點受適當的措施保護,建議為無線接駁點訂立基準保安配置標準。當無線接駁點運作故障,常見的做法是將其重設到預設值。如訂立了基準保安配置標準,有關人員只需要按照標準便可重新配置無線接駁點。機構必須定期檢查審核記錄,以確保記錄齊全完整。如發現不尋常情況必須作出匯報,並且有需要時應進行詳細調查。
定期檢查審核記錄
機構必須定期檢查審核記錄,以確保記錄齊全完整。如發現不尋常情況必須作出匯報,並且有需要時應進行詳細調查。
機構必須定期檢查審核記錄,以確保記錄齊全完整。如發現不尋常情況必須作出匯報,並且有需要時應進行詳細調查。
訂定保安事故應變程序
建議管理員訂定一套內部保安事故應變程序,以及不時更新以處理新的潛在保安威脅。
建議管理員訂定一套內部保安事故應變程序,以及不時更新以處理新的潛在保安威脅。
棄置階段
棄置裝置前刪除所有敏感資料
在棄置無線組件時,緊記刪除裝置上所有的敏感配置資料,例如共享密碼匙和密碼。如惡意用戶取得這些資料,便可用作攻擊網絡。因此,在棄置裝置前必須透過管理界面以人手刪除配置設定。機構可考慮在可行情況下為設備消磁,如有硬磁碟裝置,亦可使用安全刪除工具。
在棄置無線組件時,緊記刪除裝置上所有的敏感配置資料,例如共享密碼匙和密碼。如惡意用戶取得這些資料,便可用作攻擊網絡。因此,在棄置裝置前必須透過管理界面以人手刪除配置設定。機構可考慮在可行情況下為設備消磁,如有硬磁碟裝置,亦可使用安全刪除工具。
相關主題:
參閱資料予:
