了解威胁以及如何保护您的网络免受威胁
便利的价格
无线网络的便利性虽然有价格。 有线网络访问可以控制,因为数据包含在将计算机连接到交换机的电缆中。 通过无线网络,计算机和交换机之间的“电缆”称为“空气”,范围内的任何设备都可以访问。 如果用户可以在距离300英尺远的地方连接无线接入点,那么从理论上讲,无线接入点300英尺范围内的其他任何人都可以。
无线网络安全威胁
- 流氓无线局域网 - 无论您的企业是否有官方认可的无线网络,无线路由器相对便宜,而且雄心勃勃的用户可能会将未经授权的设备插入网络。 这些流氓无线网络可能不安全或不适当的保护,并且对整个网络构成风险。
- 欺骗内部通信 - 通常可以识别来自网络外部的攻击。 如果攻击者可以与WLAN连接,他们可以欺骗似乎来自内部域的通信。 用户更可能信任和欺骗内部通信。
- 网络资源的窃取 - 即使入侵者不会攻击您的计算机或损害您的数据,它们也可能会连接到WLAN并劫持您的网络带宽以浏览网页。 他们可以利用大多数企业网络上的更高带宽来下载音乐和视频剪辑,使用宝贵的网络资源并影响合法用户的网络性能。
从WLAN中保护您的网络
改进的安全性是将WLAN设置在自己的VLAN上的绝佳理由。 您可以允许所有无线设备连接到WLAN,但屏蔽内部网络的其他部分,使其免受无线网络上可能出现的任何问题或攻击。
使用防火墙或路由器ACL(访问控制列表),可以限制WLAN和网络其余部分之间的通信。 如果通过网络代理或VPN将WLAN连接到内部网络,甚至可以限制无线设备的访问,以便他们只能浏览网页,或者只允许访问某些文件夹或应用程序。
安全的WLAN访问
无线加密
确保未经授权的用户不会窃听您的无线网络的方法之一就是加密您的无线数据。 原始加密方法WEP(有线等效隐私)被发现存在根本性缺陷。 WEP依靠共享密钥或密码来限制访问。 任何知道WEP密钥的人都可以加入无线网络。 WEP没有内置任何机制来自动更改密钥,并且有几种工具可以在几分钟内破解WEP密钥,因此攻击者不需要很长时间就可以访问WEP加密的无线网络。
虽然使用WEP可能比完全不使用加密略好,但它不足以保护企业网络。 下一代加密WPA(Wi-Fi Protect Access)旨在利用符合802.1X标准的认证服务器,但它也可以在PSK(预共享密钥)模式下运行,类似于WEP。 从WEP到WPA的主要改进是使用TKIP(临时密钥完整性协议),该协议动态改变密钥以防止用于破解WEP加密的破解技术。
尽管WPA也是一种创可贴的方法。 WPA是无线硬件和软件供应商在等待官方802.11i标准时实施充分保护的一次尝试。 最新的加密形式是WPA2。 WPA2加密提供更加复杂和安全的机制,包括基于AES加密算法的CCMP。
为了防止无线数据被拦截并防止未经授权访问您的无线网络,您的WLAN应至少设置WPA加密,最好是WPA2加密。
无线认证
除了仅对无线数据进行加密之外,WPA还可以与802.1X或RADIUS身份验证服务器连接,以提供更安全的方法来控制对WLAN的访问。 在PSK模式下,WEP或WPA允许对具有正确密钥或密码的任何人进行虚拟匿名访问,但802.1X或RADIUS身份验证要求用户拥有有效的用户名和密码凭证或有效证书才能登录无线网络。
要求对WLAN进行身份验证通过限制访问提供了更高的安全性,但它还提供日志记录和取证跟踪来调查是否有任何可疑行为发生。 虽然基于共享密钥的无线网络可能记录MAC或IP地址,但在确定问题的根本原因时,该信息并不是非常有用。 对于许多安全合规性要求,如果不需要,也建议提供更高的机密性和完整性。
使用WPA / WPA2和802.1X或RADIUS身份验证服务器,组织可以利用各种身份验证协议,例如Kerberos,MS-CHAP(Microsoft质询握手身份验证协议)或TLS(传输层安全性),并使用数组凭证认证方法,如用户名/密码,证书,生物认证或一次性密码。
无线网络可以提高效率,提高生产力并使网络更具成本效益,但如果它们没有正确实施,它们也可能成为网络安全的致命弱点,并使整个组织面临危机。 花点时间了解风险以及如何保护您的无线网络,以便您的组织可以利用无线连接的便利性,同时避免造成安全漏洞的机会。