無線安全:必須遠離的9個Wi-Fi錯誤設置
無線網絡可以給企業提供巨大的業務優勢,例如,它可以確保員工跨多個設備甚至是建筑物進行連接,并可提高員工的工作效率。然而,無線網絡也可能給企業隱私帶來很多看得見和看不見的風險。下面列出了9個常見無線網絡安全隱患,希望企業可以多加注意。
隨著BYOD在工作場所的不斷發展,風險也隨之增加。在管理企業的Wi-Fi網絡時,管理員不僅需要關注覆蓋范圍問題和連接中斷問題,還需要關注安全和隱私性。這些風險似乎非常明顯,但其實這往往被企業忽視。無線局域網的小漏洞都可能讓攻擊者乘虛而入。
現在有很多安全技術可供企業選擇,在選擇安全技術時,主要關注的問題是選擇靈活快速地工作還是嚴格的安全保護。如果WiFi平臺支持正確的設備,并根據企業要求進行自定義配置,就可以實現靈活性與安全性。然而,企業還需要記住的是,攻擊者在不斷變強,單靠技術可能無法提供最高的安全性。只有正確結合技術和配套政策才可以確保安全和健康的WiFi環境。下面是部署和運行WLAN時企業應該避免的常見安全錯誤:
▲ 過分依賴防火墻和防病毒軟件
很多企業過分依靠網絡防火墻和殺毒軟件,而避免對網絡安全額外投資的討論,企業通常都是“我們不需要更多的安全技術”的態度,這樣很容易讓企業受到攻擊。防火墻和防病毒軟件并不能解決企業WiFi網絡中的常見漏洞,企業需要意識到他們的安全投資可能不會有直接作用,但這相當于保險。根據企業數字信息和IT基礎設施的重要程度,企業必須進行額外的安全投資以確保安全性。
▲不考慮WLAN安全特性
在購買WLAN設備時,企業通常會根據覆蓋范圍、上傳/下載速度、設備數量或類型或者甚至墻壁和地板的類型來選擇設備。然而,WiFi設備有很多額外的安全功能集,包括QoS控制選項、對WPA/WPA2的支持、WPS、端口過濾、IP包過濾、URL關鍵字過濾、MAC地址過濾和集成防火墻支持。新一代設備中的很多安全功能可以讓你不必投資于多個產品,并確保你從WiFI設備中獲得最大的效益。
▲不合格的設備配置
在設置WLAN節點(路由器、接入點、網橋或客戶端適配器)時,你必須評估設備加密。加密通信機制可以確保客戶端系統的有效性,但這可能對網絡性能產生負面影響。有線等效保密(WEP)機制于2003年被廢棄,自那時起,WiFi保護訪問(WPA)和WPA2開始成為新標準。在不同配置中還有這些加密機制,包括預共享密鑰(PSK)、臨時密鑰完整性協議(TKIP)或高級加密標準(AES),它們都支持不同的密鑰長度(64位、128位或者256位)。大型企業也可能會選擇WPA或WPA2的企業模式,這可以防止WLAN用戶竊聽對方的通信。
最先進的配置無疑會提供更好的安全性,但這往往是以犧牲性能為代價。當加密密鑰很冗長,設備需要更多時間和資源來執行加密和解密,這會影響網絡性能。加密配置還需要足夠嚴格以確保安全性,同時也要允許網絡可接受的性能水平。
提示:在配置/升級你的設備時,請記錄和/或備份舊路由器的設置,例如端口轉發、QoS優先級設置或者其他設置及密碼。如果沒有這么做,稍后你可能需要花很多時間來配置設備。
▲訪客無需密碼就能訪問
最糟糕的情況是,允許訪客在沒有任何密碼的情況下就可以連接到WiFi網絡。所有企業(包括商場、機場或連鎖餐廳)應該使用某種基于PIN、時間限制或數據限制的訪問機制來跟蹤訪客用戶。對于企業級WiFi網絡,針對訪客的密碼或PIN身份驗證系統通常是最重要的安全部署。
▲無密碼無線網絡
現在有很多攻擊者在不斷嘗試竊聽企業網絡以及盜取數據,通過現代化的小工具和應用程序,他們可以輕松地入侵到大部分WiFi網絡。即使是采用WPA或WPA2加密標準的無線局域網都可能受到攻擊者的暴力破解,攻擊者可以用來竊取密碼或者劫持網站或服務賬戶。對關鍵應用程序使用安全套接字層(SSL)和傳輸層安全(TSL)等加密可以保護你阻止這種竊聽企圖,并限制訪問到共享文件夾和其他關鍵網絡資源。
▲缺乏身份驗證的額外措施
企業可以通過額外的身份驗證來降低WLAN安全風險。在使用企業模式的WPA或WPA2時,為了進行802.1x身份驗證,通常需要安裝獨立的遠程身份驗證撥入用戶服務(RADIUS)服務器。對于這一點,現在有很多選擇。Windows服務器版本2008和更高版本提供網絡政策服務器(NPS),這可以用來配置RADIUS服務器。而對于其他操作系統,則需要第三方RADIUS服務器。有些WLAN接入點還包括一個內置的RADIUS服務器。
還有AnthenticateMyWiFi等托管服務可用于提供額外的身份驗證安全性。企業在做出任何投資之前應該考慮所有選項。
▲完全依靠MAC地址過濾
MAC地址過濾是很多WLAN設備中的集成安全機制,它讓管理員可以根據獨特的MAC地址,定制允許或不允許連接的計算機和客戶端設備清單。這種機制提供基本的安全性,但不能作為獨當一面的安全機制,因為MAC地址很容易被模擬。很多設備提供更改MAC地址的功能。如果攻擊者知道你企業授權MAC地址的清單或者采購你網絡授權的設備,他們就可以進入你的網絡竊取帶寬或執行惡意活動。
為了避免這種情況,使用加密與MAC過濾。加密可防止攻擊者竊聽企業網絡,提供比只使用MAC過濾更強大的安全性。
▲不正確的SSID設置
正確設置服務集標識符(SSID)可幫助減少風險因素。例如,很多WLAN設備允許管理員關閉SSID名稱的廣播,這可以將SSID從可見可用網絡連接清單中移除。這可幫助保護網絡免受未經授權用戶的訪問。然而,精明的攻擊者可能會找出隱藏的網絡;需要采用上面討論的組合方法。
另一個重要的SSID設置與SSID客戶端數量有關。在Windows 7和更高版本的Windows操作系統中,你可以限制可連接的SSID客戶端設備數量。這可以幫助防止客戶端連接到不安全的公共WiFi網絡,從而避免暴露設備和登錄憑證到外部網絡。
▲缺少密碼政策
除了安全部署和管理設備外,企業還需要確保部署適當的政策來運行WIFi環境。例如,當創建WiFi網絡用戶賬戶時,很多管理員喜歡為所有WiFi計算機和設備使用相同的密碼,這種方法往往會導致訪問問題。為了限制特定用戶或特定組訪問網絡,管理員可能需要更改所有接入點和設備的密碼。為此,企業可利用用戶的個人賬戶或數字證書來允許他們連接到WiFi網絡。同時,管理單個賬戶的權限通常可讓企業更好地追蹤用戶。
企業在制定強大的安全政策時,應該考慮讓用戶使用高強度密碼,包括字母、數字和特殊字符的組合,并在指定時間期限內密碼或過期。
