無線網(wǎng)絡(luò)管理之杜絕非法用戶
網(wǎng)絡(luò)的連接狀態(tài)是我們應(yīng)該注意到的網(wǎng)絡(luò)問題,那么在進(jìn)行網(wǎng)絡(luò)設(shè)置的同時,該怎樣去管好你的網(wǎng)絡(luò)呢?這里就詳細(xì)為你介紹。非法用戶登陸到公司網(wǎng)絡(luò)一般有連種途徑,一是通過外部網(wǎng)絡(luò),如通過防火墻漏洞或者VPN漏洞等等。第二就是通過內(nèi)部進(jìn)行非法連接。一般來說,通過內(nèi)部非法連接更加的簡單,危害也更加的大。但是,相對來說,防治起來也更加的簡單。下面筆者就結(jié)合一些具體的案例,來談?wù)勅绾畏乐狗欠ㄓ脩魪膼芤鈨?nèi)部連接到公司網(wǎng)絡(luò)。
無線網(wǎng)絡(luò)管理一、管理好你的無線網(wǎng)絡(luò)。
無線網(wǎng)絡(luò)作為有線網(wǎng)絡(luò)的重要輔助部分,在企業(yè)的網(wǎng)絡(luò)組建中,具有不可小視的作用。但是,對于無線網(wǎng)絡(luò)管理不當(dāng),也會給企業(yè)網(wǎng)絡(luò)安全造成很多不必要的困擾。
如筆者以前在一個工業(yè)區(qū)里上班,筆者辦公室離另外一家企業(yè)的會議室只隔了一個小弄堂,大概5M左右的距離。而他們辦公室中剛好有部署了一個無線路由器。有時候,我們利用筆記本的無線網(wǎng)卡的時候,往往會不經(jīng)意的搜索到他們的無線網(wǎng)絡(luò)。最可惜的時候,他們的無線網(wǎng)絡(luò)還盡然不設(shè)置密碼。這導(dǎo)致有些有無線網(wǎng)卡的員工經(jīng)常問我,怎么他們的網(wǎng)絡(luò)來時登陸到別人公司的網(wǎng)絡(luò)中去。沒辦法,我這次只好當(dāng)了一回黑客,輕松的登陸到他們的網(wǎng)絡(luò),并在他們的文件服務(wù)器上,留下了我的聲音,提醒他們的網(wǎng)絡(luò)管理員管理好他們的無線網(wǎng)絡(luò),不然造成損失的話,他們要自負(fù)。沒過多久,他們也就設(shè)置了無線網(wǎng)絡(luò)的密碼。其實,這個情況已經(jīng)由來好久,我相信很多公司的員工也遇到過類似的情況。在不小心登陸到他們的網(wǎng)絡(luò)中后,我是不能夠保證他們是否對這家公司的網(wǎng)絡(luò)產(chǎn)生什么影響。如是否查看了他們公司的重要文件,等等。不過據(jù)我所知,他們公司網(wǎng)絡(luò)鄰居上照片很多,我們很多男同事茶余飯后就會拿他們的照片開刷。
可見,若無限線網(wǎng)絡(luò)管理的不好的話,則會給企業(yè)帶來比較大的損失。為此,對于無線網(wǎng)絡(luò),筆者有如下的建議:
1、為無線網(wǎng)絡(luò)配置好連接密碼。無線網(wǎng)絡(luò)默認(rèn)情況下,是沒有連接密碼的。也就是說,通過無線網(wǎng)絡(luò)訪問網(wǎng)絡(luò)的時候,不需要通過用戶名與密碼。這對于企業(yè)的員工來說,確實方便,使用起來跟有線網(wǎng)絡(luò)差不多,除了速度或者穩(wěn)定性上面有一定的影響之外,跟有線網(wǎng)絡(luò)一樣的方便。但是,由于沒有用戶名或者密碼,則任何一個用戶,如企業(yè)無線路由器旁邊的非公司員工,都可以登陸到企業(yè)的網(wǎng)絡(luò)。以前我還聽到過,一家公司旁邊的一家住戶,就利用公司的無線網(wǎng)絡(luò)免費上了好幾年的網(wǎng)。由于沒有設(shè)置無線網(wǎng)絡(luò)的連接密碼,這就給了很多人有機(jī)可乘。利用公司的無線網(wǎng)絡(luò)免費上網(wǎng)是小事情,若他們利用這干一些破壞的事情,如刪除一些共享文件,泄露公司的信息,則給企業(yè)帶來的損失就更大了。更有甚者,可能會在企業(yè)的網(wǎng)絡(luò)內(nèi)散發(fā)一些木馬或者病毒,來竊取公司用戶的郵件、QQ等賬號或者密碼,甚至網(wǎng)上銀行的帳號與密碼,那損失可是不可估量了。
2、對無線網(wǎng)絡(luò)進(jìn)行IP地址與MAC地址的綁定。有時候,若用戶反映每次利用無線網(wǎng)絡(luò)連接的話,輸入密碼比較麻煩,則企業(yè)可以采用無線路由器的MAC地址綁定功能。一般來說,現(xiàn)在的無線路由器基本上都帶有MAC地址綁定功能。利用這個功能,可以有效的避免非公司員工的電腦主機(jī)登陸到公司網(wǎng)絡(luò)上。只是這個功能設(shè)置起來比較麻煩。要使用Mac地址來過濾上網(wǎng)用戶的話,則網(wǎng)絡(luò)管理員首先需要把公司所有可能用到無線網(wǎng)絡(luò)的主機(jī)的MAC地址都找出來,然后一一輸入到無線路由器上。此時,非公司的用戶,由于其主機(jī)的MAC地址沒有在無線路由器上,則其不能夠連接到企業(yè)的網(wǎng)絡(luò)中,即使有無線路由器的信號也不行。但是,很明顯,收集各個用戶的MAC地址信息并把他們一一的輸入到無線路由器中,工作量比較大,雖然可以通過一定的技術(shù)手段實現(xiàn)成批導(dǎo)入,仍然比較麻煩。而且,這個MAC地址表需要根據(jù)企業(yè)網(wǎng)卡數(shù)量的增減而及時進(jìn)行變化,也無疑增加了工作量。所以,一般情況下,能夠利用密碼來控制無線網(wǎng)絡(luò)的連接,就利用密碼,而不要使用MAC地址來過濾。
無線網(wǎng)絡(luò)管理二、管理好你的備用有線網(wǎng)絡(luò)。
有時候,有線網(wǎng)絡(luò)由于受到地理位置的限制,當(dāng)然沒有有線網(wǎng)絡(luò)那樣被人盜連。但是,在一些企業(yè)中,仍然存在一些管理漏洞,使得非法用戶輕松的利用有線網(wǎng)絡(luò)登陸到企業(yè)的局域網(wǎng)中。
如一些企業(yè)都會在會客室或者會議室部署一些有線網(wǎng)絡(luò)端口,當(dāng)客戶或者供應(yīng)商前來拜訪時,就可以利用這些網(wǎng)絡(luò)接口上網(wǎng)。但是,基本上沒有對這些端口進(jìn)行一些網(wǎng)絡(luò)訪問權(quán)限的控制。如這些有線網(wǎng)絡(luò)的端口跟其他網(wǎng)絡(luò)端口都有同等的網(wǎng)絡(luò)訪問權(quán)利。
如筆者有一位朋友,就受到過類似的教訓(xùn)。他是一家培訓(xùn)企業(yè)的網(wǎng)絡(luò)管理員,一次一個學(xué)員來他們的培訓(xùn)機(jī)構(gòu)咨詢相關(guān)的事宜,但是,由于他預(yù)約的培訓(xùn)講師有事出去了一會兒,他就在公司的會議室等。而在公司的會議室中,有時會為了開會的方便,有一根網(wǎng)線。一開始,這個學(xué)員也可能不是要存心竊取培訓(xùn)資料,只是等的無聊想上網(wǎng)。就用自帶的筆記本在會議室上網(wǎng),連接到了公司的網(wǎng)絡(luò)。結(jié)果呢,他就復(fù)制了公司網(wǎng)絡(luò)中所有的培訓(xùn)資料。而這些資料一般對培訓(xùn)學(xué)生來說,都是保密的。 秦皇島網(wǎng)絡(luò)公司