虽然无线网络可以构架在建筑物任何地方,但安全专家指出,最好把无线网络当成外部网络来防范,以确保公司关键系统的安全。
由于无线网络概念来自电波涵盖范围,只要任一台装置具有无线网卡 、侦测到无线桥接器(AP),即可登入无线网络。安全专家认为,无线网络较实体网络难以掌握的本质,加上技术尚在演进中,使得至今没有绝对安全的无线安全产品。最好的方法还是确保核心系统及网络的安全。
“相较于实体网络,除非具有严密监控,否则企业根本不知道有谁、哪一台机器已连到你的网络,特别是拥有多台AP的大型企业”,安全专家指出。“而无线标准从802.11b、g、i、f 还在不断演进,安全产品厂商不知何所遵循,并导致已固定写死的商用软件套件往往不能配合,这些都会造成无线网络安全上的漏洞”。
对已架设无线网络的企业而言,已有WEP加密、MAC地址(网卡的硬件地址)强制注册、实行认证存取控管等产品可以选择。不过一旦一个组织中某个人将WEP金钥泄露出去,则防御将失效,甚至已出现WEP被破解的情形。此外,如果使用者误登入黑客假冒的软件AP,由于其密码及使用者名称已被窃取,则认证控管机制也无法阻挠黑客的长驱直入。
安全专家建议,企业最好安装二道防火墙,分别放在内部网络之前和公司机房之前,以确保档案、数据库等关键系统不会被入侵。
同样地,网络安全公司赛门铁克也指出,虽然无线网络是处于公司环境下,但为了确保公司不会让外人利用无线途径进入公司网络,仍应视无线网络为因特网。赛门铁克公司同时表示,不仅要做到访客进入公司插上网络,实际上和在公司外没有两样,即使是公司员工也必须经过认证才能进入公司网络。赛门铁克还建议用户将VPN用做无线安全的防护,以便员工在公司内部无线网络下再启动VPN,就可以为密码等安全信息进行加密。
“各种无线防御当然是能做则做,但是企业应该了解到无线网络的本质是脆弱的”,安全专家说:“最好的方法是将无线安全网络和实体网络切开,以确保最核心系统的安全”。