公司里那个谁都可以连的WiFi,可能正在把你的数据送出门外。听起来有点夸张?但我在安全服务工作中还真见过这样的情况。有一次帮一家企业做安全评估,发现他们办公区的WiFi密码就贴在茶水间的墙上,来访的客户、保洁阿姨、快递小哥都能轻松看到并连接。更让我担心的是,这个WiFi和公司内网完全没有隔离,这意味着连上这个WiFi的任何一个设备,理论上都有机会访问公司内部系统。
企业WiFi的安全问题,往往被严重低估。很多企业和老板觉得WiFi不就是让人上网方便嘛,能有什么风险?但实际上,不安全的WiFi网络可能成为黑客进入公司内网的便捷通道。
先看看企业WiFi常见的几种风险。第一种是弱密码和默认配置。很多企业的WiFi密码过于简单,有的直接用公司名称、门牌号或者极其容易猜到的数字组合。还有的企业在部署WiFi设备后,没有改过管理后台的默认用户名和密码,攻击者只要知道设备型号,就可以用默认密码登录管理后台,随意修改WiFi配置,甚至窃取所有经过该WiFi的流量数据。
第二种是访客网络和办公网络不分家。这个问题在大大小小的企业中都非常普遍。访客连上WiFi后,理论上可以和公司内部设备在同一个二层网络里通信。攻击者如果以访客身份接入网络,就可以通过ARP欺骗、DNS劫持等手段,截获其他同事的网络通讯。假设销售部门正在登录报价系统,研发部门正在上传代码,财务部门正在打开银行网站,所有数据传输都有可能被正在同一个WiFi里喝咖啡的"访客"偷窥到。
第三种是WiFi钓鱼攻击。攻击者在公司附近布置一个名称跟公司WiFi一模一样的假热点,信号强度比公司真正的WiFi还高。员工手机或笔记本会自动连接到信号更强的假热点上,然后攻击者就可以截获使用者所有的网络流量。我见过一个案例,攻击者在一个园区的公共区域部署了假WiFi,名称跟园区物业提供的WiFi完全相同,几天时间就捕获了大量员工的邮箱账号和密码。
第四种是无线侧信道攻击。即使攻击者没有连上你的WiFi,如果WiFi信号覆盖到办公室外面的区域,攻击者可以在室外用定向天线捕捉WiFi信号,通过分析无线电波的细微变化,有可能恢复出你在网络上的操作信息。这种攻击虽然技术门槛较高,但确实存在。
那么怎么把企业WiFi的安全做好呢?我梳理了几个关键措施。
第一,网络必须做隔离。至少划分两个SSID,一个给员工用,走公司内网;一个给访客用,只能访问互联网,无法访问任何公司内部资源。如果业务需要更多的安全级别,还可以进一步细分WiFi网络。在有条件的办公环境中,建议为员工使用WPA2企业版加密方式,每个员工分配独立的账号和密码,这样既安全也方便追溯。
第二,WiFi密码管理要规范。使用WPA2或WPA3加密协议,避免使用WEP这种老旧的不安全协议。员工使用的WiFi密码要有一定的复杂度,定期更换。访客WiFi可以设置临时密码,到期自动失效。对于安全性要求高的企业,可以考虑采用证书认证代替密码认证。
第三,做好WiFi网络的监控和审计。部署无线入侵检测系统,实时监测WiFi环境中有没有可疑的假热点、有没有异常数量的连接尝试、有没有从未授权区域的强信号。定期查看WiFi管理后台的日志,关注有没有异常的接入设备。
第四,建立企业WiFi使用规范。明确规定哪些设备可以连接公司WiFi,个人手机和平板接入是否需要经过审批。不要在公司WiFi网络中接入物联网设备、智能家居设备等安全等级不明的终端,这些设备应该连接专用的IoT网络。
第五,定期进行无线网络安全检测。企业可以每半年做一次无线安全评估,用专业的WiFi审计工具扫描公司周围有没有伪造的假热点,检查公司的WiFi配置有没有安全漏洞。这种评估成本不高,但能发现很多隐藏的风险点。
WiFi安全是整个网络安全防护体系中容易被忽视但非常重要的一环。一个配置得当的企业WiFi网络,既能为员工提供便利的办公体验,又能守住企业数据安全的第一道大门。
Q: 企业WiFi用WPA2还是WPA3好? A: 如果设备支持,优先选用WPA3。WPA3在加密强度和防暴力破解方面都比WPA2有明显提升。如果部分老旧设备不支持WPA3,可以采用混合模式,或者分两个SSID分别运行WPA2和WPA3。
Q: 访客WiFi应该用什么样的密码策略? A: 建议使用临时的短信验证码或者二维码扫码认证,密码或验证码使用后自动失效。也可以设置访客WiFi的有效时间段,比如只在工作时间开放,或者有效期为一天。
Q: 公司空间有限,无法物理隔离访客区域怎么办? A: 物理隔离不是必须的,网络层面的VLAN隔离同样有效。通过WiFi控制器将访客SSID划分到独立的VLAN,配置访问控制策略禁止该VLAN访问公司内网,就能实现有效的逻辑隔离。
