隨著無(wú)線網(wǎng)絡(luò)的普及����,人們的安全防護(hù)需求也在不斷提升,無(wú)線網(wǎng)絡(luò)的全面覆蓋可以給企業(yè)提供巨大的業(yè)務(wù)優(yōu)勢(shì)��,可以確保員工跨多個(gè)設(shè)備甚至是建筑物進(jìn)行連接����,并可提高員工的工作效率。但無(wú)線網(wǎng)絡(luò)安全防護(hù)操作太簡(jiǎn)單也可能給企業(yè)隱私帶來(lái)很多隱形風(fēng)險(xiǎn)��。下面列出了9個(gè)常見(jiàn)無(wú)線網(wǎng)絡(luò)安全隱患��,希望企業(yè)可以多加注意����。
隨著無(wú)線網(wǎng)絡(luò)的普及,人們的安全防護(hù)需求也在不斷提升����,安全防護(hù)操作太復(fù)雜����,不好設(shè)置��。通過(guò)這些簡(jiǎn)單的設(shè)置��,防止黑客入侵不敢說(shuō)�,
隨著B(niǎo)YOD在工作場(chǎng)所的不斷發(fā)展,風(fēng)險(xiǎn)也隨之增加����。在管理企業(yè)的Wi-Fi無(wú)線網(wǎng)絡(luò)時(shí),管理員不僅需要關(guān)注無(wú)線覆蓋范圍問(wèn)題和連接中斷問(wèn)題�,還需要關(guān)注安全和隱私性。這些風(fēng)險(xiǎn)似乎非常明顯����,但其實(shí)這往往被企業(yè)忽視。無(wú)線局域網(wǎng)的小漏洞都可能讓攻擊者乘虛而入�。
現(xiàn)在有很多安全技術(shù)可供企業(yè)選擇,在選擇安全技術(shù)時(shí)��,主要關(guān)注的問(wèn)題是選擇靈活快速地工作還是嚴(yán)格的安全保護(hù)�。如果WiFi平臺(tái)支持正確的設(shè)備�,并根據(jù)企業(yè)要求進(jìn)行自定義配置�,就可以實(shí)現(xiàn)靈活性與安全性����。然而,企業(yè)還需要記住的是����,攻擊者在不斷變強(qiáng),單靠技術(shù)可能無(wú)法提供最高的安全性����。只有正確結(jié)合技術(shù)和配套政策才可以確保安全和健康的WiFi無(wú)線網(wǎng)絡(luò)環(huán)境。下面是部署和運(yùn)行WLAN時(shí)企業(yè)應(yīng)該避免的常見(jiàn)安全錯(cuò)誤:
▲ 過(guò)分依賴防火墻和防病毒軟件
很多企業(yè)過(guò)分依靠網(wǎng)絡(luò)防火墻和殺毒軟件��,而避免對(duì)網(wǎng)絡(luò)安全額外投資的討論�,企業(yè)通常都是“我們不需要更多的安全技術(shù)”的態(tài)度,這樣很容易讓企業(yè)受到攻擊�。防火墻和防病毒軟件并不能解決企業(yè)WiFi無(wú)線網(wǎng)絡(luò)中的常見(jiàn)漏洞,企業(yè)需要意識(shí)到他們的安全投資可能不會(huì)有直接作用����,但這相當(dāng)于保險(xiǎn)。根據(jù)企業(yè)數(shù)字信息和IT基礎(chǔ)設(shè)施的重要程度����,企業(yè)必須進(jìn)行額外的安全投資以確保安全性�。
▲不考慮WLAN安全特性
在購(gòu)買(mǎi)WLAN設(shè)備時(shí)�,企業(yè)通常會(huì)根據(jù)無(wú)線覆蓋范圍、上傳/下載速度����、設(shè)備數(shù)量或類(lèi)型或者甚至墻壁和地板的類(lèi)型來(lái)選擇設(shè)備。然而��,WiFi無(wú)線網(wǎng)絡(luò)設(shè)備有很多額外的安全功能集��,包括QoS控制選項(xiàng)����、對(duì)WPA/WPA2的支持、WPS�、端口過(guò)濾、IP包過(guò)濾�、URL關(guān)鍵字過(guò)濾、MAC地址過(guò)濾和集成防火墻支持�。新一代設(shè)備中的很多安全功能可以讓你不必投資于多個(gè)產(chǎn)品,并確保你從WiFI設(shè)備中獲得最大的效益�。
▲不合格的設(shè)備配置
在設(shè)置WLAN節(jié)點(diǎn)(路由器、接入點(diǎn)����、網(wǎng)橋或客戶端適配器)時(shí)��,你必須評(píng)估設(shè)備加密��。加密通信機(jī)制可以確保客戶端系統(tǒng)的有效性��,但這可能對(duì)網(wǎng)絡(luò)性能產(chǎn)生負(fù)面影響��。有線等效保密(WEP)機(jī)制于2003年被廢棄��,自那時(shí)起��,WiFi保護(hù)訪問(wèn)(WPA)和WPA2開(kāi)始成為新標(biāo)準(zhǔn)����。在不同配置中還有這些加密機(jī)制,包括預(yù)共享密鑰(PSK)��、臨時(shí)密鑰完整性協(xié)議(TKIP)或高級(jí)加密標(biāo)準(zhǔn)(AES)��,它們都支持不同的密鑰長(zhǎng)度(64位����、128位或者256位)��。大型企業(yè)也可能會(huì)選擇WPA或WPA2的企業(yè)模式��,這可以防止WLAN用戶竊聽(tīng)對(duì)方的通信�。
最先進(jìn)的配置無(wú)疑會(huì)提供更好的安全性����,但這往往是以犧牲性能為代價(jià)。當(dāng)加密密鑰很冗長(zhǎng)��,設(shè)備需要更多時(shí)間和資源來(lái)執(zhí)行加密和解密����,這會(huì)影響網(wǎng)絡(luò)性能。加密配置還需要足夠嚴(yán)格以確保安全性��,同時(shí)也要允許網(wǎng)絡(luò)可接受的性能水平��。
提示:在配置/升級(jí)你的設(shè)備時(shí)��,請(qǐng)記錄和/或備份舊路由器的設(shè)置�,例如端口轉(zhuǎn)發(fā)、QoS優(yōu)先級(jí)設(shè)置或者其他設(shè)置及密碼�。如果沒(méi)有這么做,稍后你可能需要花很多時(shí)間來(lái)配置設(shè)備。
▲訪客無(wú)需密碼就能訪問(wèn)
最糟糕的情況是��,允許訪客在沒(méi)有任何密碼的情況下就可以連接到WiFi網(wǎng)絡(luò)��。所有企業(yè)(包括商場(chǎng)��、機(jī)場(chǎng)或連鎖餐廳)應(yīng)該使用某種基于PIN����、時(shí)間限制或數(shù)據(jù)限制的訪問(wèn)機(jī)制來(lái)跟蹤訪客用戶。對(duì)于企業(yè)級(jí)WiFi網(wǎng)絡(luò)�,針對(duì)訪客的密碼或PIN身份驗(yàn)證系統(tǒng)通常是最重要的安全部署��。
▲無(wú)密碼無(wú)線網(wǎng)絡(luò)
現(xiàn)在有很多攻擊者在不斷嘗試竊聽(tīng)企業(yè)網(wǎng)絡(luò)以及盜取數(shù)據(jù)�,通過(guò)現(xiàn)代化的小工具和應(yīng)用程序,他們可以輕松地入侵到大部分WiFi網(wǎng)絡(luò)�。即使是采用WPA或WPA2加密標(biāo)準(zhǔn)的無(wú)線局域網(wǎng)都可能受到攻擊者的暴力破解,攻擊者可以用來(lái)竊取密碼或者劫持網(wǎng)站或服務(wù)賬戶����。對(duì)關(guān)鍵應(yīng)用程序使用安全套接字層(SSL)和傳輸層安全(TSL)等加密可以保護(hù)你阻止這種竊聽(tīng)企圖,并限制訪問(wèn)到共享文件夾和其他關(guān)鍵網(wǎng)絡(luò)資源����。
▲缺乏身份驗(yàn)證的額外措施
企業(yè)可以通過(guò)額外的身份驗(yàn)證來(lái)降低WLAN安全風(fēng)險(xiǎn)。在使用企業(yè)模式的WPA或WPA2時(shí)��,為了進(jìn)行802.1x身份驗(yàn)證,通常需要安裝獨(dú)立的遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)(RADIUS)服務(wù)器����。對(duì)于這一點(diǎn),現(xiàn)在有很多選擇�。Windows服務(wù)器版本2008和更高版本提供網(wǎng)絡(luò)政策服務(wù)器(NPS),這可以用來(lái)配置RADIUS服務(wù)器�。而對(duì)于其他操作系統(tǒng),則需要第三方RADIUS服務(wù)器��。有些WLAN接入點(diǎn)還包括一個(gè)內(nèi)置的RADIUS服務(wù)器�。
還有AnthenticateMyWiFi等托管服務(wù)可用于提供額外的身份驗(yàn)證安全性。企業(yè)在做出任何投資之前應(yīng)該考慮所有選項(xiàng)��。
▲完全依靠MAC地址過(guò)濾
MAC地址過(guò)濾是很多WLAN設(shè)備中的集成安全機(jī)制�,它讓管理員可以根據(jù)獨(dú)特的MAC地址,定制允許或不允許連接的計(jì)算機(jī)和客戶端設(shè)備清單��。這種機(jī)制提供基本的安全性�,但不能作為獨(dú)當(dāng)一面的安全機(jī)制,因?yàn)镸AC地址很容易被模擬�。很多設(shè)備提供更改MAC地址的功能。如果攻擊者知道你企業(yè)授權(quán)MAC地址的清單或者采購(gòu)你網(wǎng)絡(luò)授權(quán)的設(shè)備�,他們就可以進(jìn)入你的網(wǎng)絡(luò)竊取帶寬或執(zhí)行惡意活動(dòng)。
為了避免這種情況,使用加密與MAC過(guò)濾����。加密可防止攻擊者竊聽(tīng)企業(yè)網(wǎng)絡(luò),提供比只使用MAC過(guò)濾更強(qiáng)大的安全性��。
▲不正確的SSID設(shè)置
正確設(shè)置服務(wù)集標(biāo)識(shí)符(SSID)可幫助減少風(fēng)險(xiǎn)因素��。例如����,很多WLAN設(shè)備允許管理員關(guān)閉SSID名稱(chēng)的廣播,這可以將SSID從可見(jiàn)可用網(wǎng)絡(luò)連接清單中移除��。這可幫助保護(hù)網(wǎng)絡(luò)免受未經(jīng)授權(quán)用戶的訪問(wèn)��。然而�,精明的攻擊者可能會(huì)找出隱藏的網(wǎng)絡(luò);需要采用上面討論的組合方法�。
另一個(gè)重要的SSID設(shè)置與SSID客戶端數(shù)量有關(guān)。在Windows 7和更高版本的Windows操作系統(tǒng)中��,你可以限制可連接的SSID客戶端設(shè)備數(shù)量����。這可以幫助防止客戶端連接到不安全的公共WiFi網(wǎng)絡(luò),從而避免暴露設(shè)備和登錄憑證到外部網(wǎng)絡(luò)。
▲缺少密碼政策
除了安全部署和管理設(shè)備外����,企業(yè)還需要確保部署適當(dāng)?shù)恼邅?lái)運(yùn)行WIFi無(wú)線網(wǎng)絡(luò)環(huán)境。例如����,當(dāng)創(chuàng)建WiFi無(wú)線網(wǎng)絡(luò)用戶賬戶時(shí),很多管理員喜歡為所有WiFi計(jì)算機(jī)和設(shè)備使用相同的密碼�,這種方法往往會(huì)導(dǎo)致訪問(wèn)問(wèn)題。為了限制特定用戶或特定組訪問(wèn)網(wǎng)絡(luò)�,管理員可能需要更改所有接入點(diǎn)和設(shè)備的密碼。為此����,企業(yè)可利用用戶的個(gè)人賬戶或數(shù)字證書(shū)來(lái)允許他們連接到WiFi無(wú)線網(wǎng)絡(luò)。同時(shí)�,管理單個(gè)賬戶的權(quán)限通常可讓企業(yè)更好地追蹤用戶��。
企業(yè)在制定強(qiáng)大的安全政策時(shí)��,應(yīng)該考慮讓用戶使用高強(qiáng)度密碼�,包括字母、數(shù)字和特殊字符的組合��,并在指定時(shí)間期限內(nèi)密碼或過(guò)期。
企業(yè)通訊
