了解威脅以及如何保護您的網絡免受威脅
便利的價格
無線網絡的便利性雖然有價格。 有線網絡訪問可以控制,因為數據包含在將計算機連接到交換機的電纜中。 通過無線網絡,計算機和交換機之間的“電纜”稱為“空氣”,範圍內的任何設備都可以訪問。 如果用戶可以在距離300英尺遠的地方連接無線接入點,那麼從理論上講,無線接入點300英尺範圍內的其他任何人都可以。
無線網絡安全威脅
- 流氓無線局域網 - 無論您的企業是否有官方認可的無線網絡,無線路由器相對便宜,而且雄心勃勃的用戶可能會將未經授權的設備插入網絡。 這些流氓無線網絡可能不安全或不適當的保護,並且對整個網絡構成風險。
- 欺騙內部通信 - 通常可以識別來自網絡外部的攻擊。 如果攻擊者可以與WLAN連接,他們可以欺騙似乎來自內部域的通信。 用戶更可能信任和欺騙內部通信。
- 網絡資源的竊取 - 即使入侵者不會攻擊您的計算機或損害您的數據,它們也可能會連接到WLAN並劫持您的網絡帶寬以瀏覽網頁。 他們可以利用大多數企業網絡上的較高帶寬來下載音樂和視頻剪輯,使用寶貴的網絡資源並影響合法用戶的網絡性能。
從WLAN中保護您的網絡
改進的安全性是將WLAN設置在自己的VLAN上的絕佳理由。 您可以允許所有無線設備連接到WLAN,但屏蔽內部網絡的其他部分,使其免受無線網絡上可能出現的任何問題或攻擊。
使用防火牆或路由器ACL(訪問控制列表),可以限制WLAN和網絡其餘部分之間的通信。 如果通過網絡代理或VPN將WLAN連接到內部網絡,甚至可以限制無線設備的訪問,以便他們只能瀏覽網頁,或者只允許訪問某些文件夾或應用程序。
安全的WLAN訪問
無線加密
確保未經授權的用戶不會竊聽您的無線網絡的方法之一就是加密您的無線數據。 原始加密方法WEP(有線等效隱私)被發現存在根本性缺陷。 WEP依靠共享密鑰或密碼來限制訪問。 任何知道WEP密鑰的人都可以加入無線網絡。 WEP沒有內置任何機制來自動更改密鑰,並且有幾種工具可以在幾分鐘內破解WEP密鑰,因此攻擊者不需要很長時間就可以訪問WEP加密的無線網絡。
雖然使用WEP可能比完全不使用加密略好,但它不足以保護企業網絡。 下一代加密WPA(Wi-Fi Protect Access)旨在利用符合802.1X標準的認證服務器,但它也可以在PSK(預共享密鑰)模式下運行,類似於WEP。 從WEP到WPA的主要改進是使用TKIP(臨時密鑰完整性協議),該協議動態改變密鑰以防止用於破解WEP加密的破解技術。
儘管WPA也是一種創可貼的方法。 WPA是無線硬件和軟件供應商在等待官方802.11i標準時實施充分保護的一次嘗試。 最新的加密形式是WPA2。 WPA2加密提供更加複雜和安全的機制,包括基於AES加密算法的CCMP。
為了防止無線數據被攔截並防止未經授權訪問您的無線網絡,您的WLAN應至少設置WPA加密,最好是WPA2加密。
無線認證
除了僅對無線數據進行加密之外,WPA還可以與802.1X或RADIUS身份驗證服務器連接,以提供更安全的方法來控制對WLAN的訪問。 在PSK模式下,WEP或WPA允許對具有正確密鑰或密碼的任何人進行虛擬匿名訪問,但802.1X或RADIUS身份驗證要求用戶擁有有效的用戶名和密碼憑證或有效證書才能登錄無線網絡。
要求對WLAN進行身份驗證通過限制訪問提供了更高的安全性,但它還提供日誌記錄和取證跟踪來調查是否有任何可疑行為發生。 雖然基於共享密鑰的無線網絡可能記錄MAC或IP地址,但在確定問題的根本原因時,該信息並不是非常有用。 對於許多安全合規性要求,如果不需要,也建議提供更高的機密性和完整性。
使用WPA / WPA2和802.1X或RADIUS身份驗證服務器,組織可以利用各種身份驗證協議,例如Kerberos,MS-CHAP(Microsoft質詢握手身份驗證協議)或TLS(傳輸層安全性),並使用數組憑證認證方法,如用戶名/密碼,證書,生物認證或一次性密碼。
無線網絡可以提高效率,提高生產力並使網絡更具成本效益,但如果它們沒有正確實施,它們也可能成為網絡安全的致命弱點,並使整個組織面臨危機。 花點時間了解風險以及如何保護您的無線網絡,以便您的組織可以利用無線連接的便利性,同時避免造成安全漏洞的機會。