在现代办公环境中,无线网络已经成为企业办公的基础设施。员工使用WiFi进行日常通信、传输文件、登录系统、访问云服务,几乎所有的工作活动都通过无线网络进行数据传输。然而很多企业在无线网络的安全部署上却相当随意。他们认为设置了一个强密码就已经足够安全,或者认为公司周边没有商业间谍因此不需要太担心。这种乐观的心态恰恰是无线网络安全管理的最大隐患。事实上,WiFi破解已经发展出多种成熟的技术手段,有经验的攻击者可以在几分钟内攻破普通配置的企业WiFi网络。一旦攻击者接入了企业无线网络,他就处于企业内部网络的有利位置,可以监听网络通信流量、拦截数据包、实施中间人攻击、获取登录凭证、渗透内部系统。
企业无线网络的主要安全漏洞包括以下几个方面。一是弱密码和默认配置。很多企业虽然更换了WiFi的默认管理员密码,但使用的密码强度不足,可以被字典攻击在短时间内破解。更有甚者直接使用默认的管理员登录名和密码,攻击者可以未经授权直接登录路由器或无线接入点进行配置修改。二是WPA2等旧加密协议漏洞。虽然WPA3已经在安全性上有了大幅提升,但大多数企业的无线网络仍然在使用WPA2协议。WPA2协议存在已知的安全漏洞,攻击者可以通过捕获四次握手数据包并发起离线字典攻击来破解WiFi密码。三是访客网络管理缺失。很多企业出于便利考虑,将访客专用的WiFi密码设置为与内部网络相同,或者访客网络与内部网络之间没有做有效的隔离。访客一旦接入,就可能访问到企业内部的数据资源。四是无线AP管理漏洞。多个无线接入点分布在办公区域的不同位置,每个接入点都是一个潜在的入侵入口。如果接入点没有做到统一的安全配置和固件更新,就可能被攻击者利用。五是隐藏SSID的虚假安全感。有些企业认为隐藏了WiFi名称就能增加安全性,但实际上隐藏SSID只需要简单的WiFi扫描工具就可以被发现,这种做法并不能提供真正的安全保障。
企业需要从多个层面来加强无线网络的安全管理。网络架构层面,企业应当将内部网络与访客网络分离,使用独立的VLAN和防火墙规则实现逻辑隔离。访客网络仅提供互联网接入,不开放任何企业内部资源的访问权限。重要部门的连接应当独立设置,核心业务数据所在网段与其他网段之间设立严格的访问控制规则。加密认证层面,企业应当优先使用WPA3协议,在设备不支持的情况下使用WPA2-AES而非TKIP算法。部署企业级802.1X认证方案,让每一台设备都通过独立的证书或账号进行网络接入认证,而不是让所有人使用同一个共享密码。当一个设备出现过安全问题时,可以单独吊销该设备的接入权限而不影响整个网络。监控审计层面,企业应当部署无线网络入侵检测系统,持续监控无线网络中的异常行为。检测内容包括异常的WiFi信号强度、异常的设备连接次数、可疑的Deauth攻击、仿冒接入点等。发现异常时应当立即发出警报并自动阻断可疑连接。物理安全层面,无线接入点应当放置在安全的位置,防止被物理接触和破坏。对于不使用的无线端口,应当在设备层面进行禁用。
对于安全管理要求较高的企业,还可以考虑一些更严格的技术措施。比如部署无线网络流量加密方案,对企业内网中传输的所有数据进行加密,即使攻击者截获了数据包也无法解读数据内容。再如部署零信任网络访问架构,不信任任何设备和任何网络连接,每一次访问资源都需要经过独立的身份验证和授权。对于高度敏感的场景,可以考虑使用有线网络或完全不联网的独立物理环境。
无线网络的安全管理需要与企业的整体保密制度相协调。企业应当制定无线网络安全管理制度,内容包括无线网络的使用范围、接入审批流程、密码更新周期、设备接入规范、异常处理程序等。制度应当明确禁止员工私设无线路由器和无线热点,因为私设的接入点可能绕过企业统一的安全管控机制,形成安全盲区。制度还应当要求所有接入企业无线网络的设备都必须安装统一的安全管理软件,设备不符合安全要求的不得接入。
无线网络是现代企业的信息动脉,这条动脉的安全直接关系到企业所有信息资产的安全。不重视无线网络安全的企业,如同把大楼的大门敞开着却在办公室里装满了保险柜。构筑无线网络的第一道防线,是企业商业秘密保护的基础工作。
FAQ:问:企业WiFi使用共享密码有哪些风险?答:共享密码一旦泄露无法追溯泄露者,且离职人员或外部人员可能持续使用密码接入网络。问:访客网络与内部网络为什么要隔离?答:防止访客设备被攻击后成为跳板攻击内部网络,保护企业内部系统和数据的安全。问:使用WPA2加密的企业WiFi是否安全?答:WPA2存在已知漏洞,可被离线字典攻击破解,企业应优先升级到WPA3或使用802.1X认证方案。
北京企密安信息安全技术有限公司 010-63711822 jess@baomiwang.com
