前言

如果你想保護企業(yè)的關鍵數(shù)據(jù)，那么企業(yè)環(huán)境下的WiFi網絡安全絕對是你不能忽略的威脅因素。

[[255264]]

其實很多企業(yè)根本就不在意這個方面，但我們認為這是最基本的風險評估，因為如果你的威脅模型里出現(xiàn)了一名意愿和技術均足夠強大的攻擊者，那么你公司的WiFi網絡將“毫無”安全可言。

為了保護企業(yè)WiFi，你要做的事情有很多。再加上新型的KRACK攻擊正在肆虐，這些威脅嚴重程度就變得更加恐怖了。因此，我們認為保護企業(yè)WiFi安全勢在必行，接下來讓我們一起看一看到底該如何去做。

最大程度的控制

毫無疑問，保護企業(yè)WiFi安全的最佳方法就是對整個無線網絡系統(tǒng)進行拆分和隔離。

• 在企業(yè)WiFi網絡內的任何設備在使用之前都應該更新到最新版本的固件。
• 要完全對企業(yè)環(huán)境下員工使用WiFi設備的網絡區(qū)域進行完全性的物理和邏輯分隔，使用不同的ISP，不同網絡之間不要相互連接。
• 除了上述兩點之外，還要結合移動設備的VPN策略。
• 修復訪問點安全缺陷，針對類似KRACK這樣的威脅部署防御策略。
• 使用安全性最高的密碼套件，確保只使用TLS 1.2。

其他優(yōu)秀的控制策略

除了上述幾點必要的控制措施之外，我們在這里還給大家推薦了下面一些可以參考使用的控制策略。可能大家無法完全實現(xiàn)這里列舉出的所有方案，但是我們建議大家盡可能地去實現(xiàn)它們。

[[255265]]

• MAC地址白名單。
• WiFi和其他網絡環(huán)境下的VLAN隔離，限制WiFi Vlan的可訪問資源。
• 移除或禁用無線接入點的WPS功能，購買和使用企業(yè)級無線網絡設備。
• 使用支持企業(yè)級WPA2(802.1x)的設備，對WiFi網絡進行VLAN隔離，為每一個隔離網絡設置防火墻規(guī)則以及其他的控制策略。
• 對于不同的Vlan，確保屏蔽了點到點的通信，這樣一來所有接入了訪問點的設備都需要通過AP來進行通信，這樣便于實現(xiàn)網絡的監(jiān)控。
• 隱藏SSID，通過不可見性實現(xiàn)安全保護。
• 保護接入點的物理訪問狀態(tài)，不要將WPA2密碼貼在墻上。
• 確保WiFi信號不會離開受保護區(qū)域，測試并控制WiFi信號強度。
• 為臨時訪客設置不同的WiFi SSID和訪問權限;
• 修改/禁用無線接入點的管理員默認憑證;
• 定期進行流氓WiFi接入點掃描;
• 部署入侵防護系統(tǒng)以及入侵檢測系統(tǒng)，實時監(jiān)控WLAN系統(tǒng)。識別企業(yè)WiFi所有使用到的內部接口，并部署訪問控制策略。
• 使用企業(yè)級WiFi網關以及外部防火墻;

1. 相關安全協(xié)議及服務

• IPSec(Internet ProtocalSecurity)和VPN(Virtual Private Network)都可以用來保護WiFi網絡的安全;
• 使用TLS(Transport Layer Security)
• 在WiFi認證系統(tǒng)上實現(xiàn)遠程用戶撥號認證服務(RADIUS)：
• 擴展認證協(xié)議(EAP)結合TLS(EAP-TLS);
• 關閉所有的無線管理功能;

2. 其它

• 定期分析和審計所有的無線控制日志;
• 防火墻配置：對于企業(yè)網絡環(huán)境來說，這是非常重要的一點。在防火墻的保護下，安全性會顯著提升。

3. 隱私保護控制

• 在所有設備上使用MAC地址隨機化即可實現(xiàn)隱私保護控制。