無線網(wǎng)絡(luò)可以給企業(yè)提供巨大的業(yè)務(wù)優(yōu)勢,例如,它可以確保員工跨多個設(shè)備甚至是建筑物進(jìn)行連接,并可提高員工的工作效率。然而,無線網(wǎng)絡(luò)也可能給企業(yè)隱私帶來很多看得見和看不見的風(fēng)險(xiǎn)。下面列出了9個常見無線網(wǎng)絡(luò)安全隱患,希望企業(yè)可以多加注意。
隨著BYOD在工作場所的不斷發(fā)展,風(fēng)險(xiǎn)也隨之增加。在管理企業(yè)的Wi-Fi網(wǎng)絡(luò)時,管理員不僅需要關(guān)注覆蓋范圍問題和連接中斷問題,還需要關(guān)注安全和隱私性。這些風(fēng)險(xiǎn)似乎非常明顯,但其實(shí)這往往被企業(yè)忽視。無線局域網(wǎng)的小漏洞都可能讓攻擊者乘虛而入。
現(xiàn)在有很多安全技術(shù)可供企業(yè)選擇,在選擇安全技術(shù)時,主要關(guān)注的問題是選擇靈活快速地工作還是嚴(yán)格的安全保護(hù)。如果WiFi平臺支持正確的設(shè)備,并根據(jù)企業(yè)要求進(jìn)行自定義配置,就可以實(shí)現(xiàn)靈活性與安全性。然而,企業(yè)還需要記住的是,攻擊者在不斷變強(qiáng),單靠技術(shù)可能無法提供最高的安全性。只有正確結(jié)合技術(shù)和配套政策才可以確保安全和健康的WiFi環(huán)境。下面是部署和運(yùn)行WLAN時企業(yè)應(yīng)該避免的常見安全錯誤:
▲ 過分依賴防火墻和防病毒軟件
很多企業(yè)過分依靠網(wǎng)絡(luò)防火墻和殺毒軟件,而避免對網(wǎng)絡(luò)安全額外投資的討論,企業(yè)通常都是“我們不需要更多的安全技術(shù)”的態(tài)度,這樣很容易讓企業(yè)受到攻擊。防火墻和防病毒軟件并不能解決企業(yè)WiFi網(wǎng)絡(luò)中的常見漏洞,企業(yè)需要意識到他們的安全投資可能不會有直接作用,但這相當(dāng)于保險(xiǎn)。根據(jù)企業(yè)數(shù)字信息和IT基礎(chǔ)設(shè)施的重要程度,企業(yè)必須進(jìn)行額外的安全投資以確保安全性。
▲不考慮WLAN安全特性
在購買WLAN設(shè)備時,企業(yè)通常會根據(jù)覆蓋范圍、上傳/下載速度、設(shè)備數(shù)量或類型或者甚至墻壁和地板的類型來選擇設(shè)備。然而,WiFi設(shè)備有很多額外的安全功能集,包括QoS控制選項(xiàng)、對WPA/WPA2的支持、WPS、端口過濾、IP包過濾、URL關(guān)鍵字過濾、MAC地址過濾和集成防火墻支持。新一代設(shè)備中的很多安全功能可以讓你不必投資于多個產(chǎn)品,并確保你從WiFI設(shè)備中獲得最大的效益。
▲不合格的設(shè)備配置
在設(shè)置WLAN節(jié)點(diǎn)(路由器、接入點(diǎn)、網(wǎng)橋或客戶端適配器)時,你必須評估設(shè)備加密。加密通信機(jī)制可以確保客戶端系統(tǒng)的有效性,但這可能對網(wǎng)絡(luò)性能產(chǎn)生負(fù)面影響。有線等效保密(WEP)機(jī)制于2003年被廢棄,自那時起,WiFi保護(hù)訪問(WPA)和WPA2開始成為新標(biāo)準(zhǔn)。在不同配置中還有這些加密機(jī)制,包括預(yù)共享密鑰(PSK)、臨時密鑰完整性協(xié)議(TKIP)或高級加密標(biāo)準(zhǔn)(AES),它們都支持不同的密鑰長度(64位、128位或者256位)。大型企業(yè)也可能會選擇WPA或WPA2的企業(yè)模式,這可以防止WLAN用戶竊聽對方的通信。
最先進(jìn)的配置無疑會提供更好的安全性,但這往往是以犧牲性能為代價(jià)。當(dāng)加密密鑰很冗長,設(shè)備需要更多時間和資源來執(zhí)行加密和解密,這會影響網(wǎng)絡(luò)性能。加密配置還需要足夠嚴(yán)格以確保安全性,同時也要允許網(wǎng)絡(luò)可接受的性能水平。
提示:在配置/升級你的設(shè)備時,請記錄和/或備份舊路由器的設(shè)置,例如端口轉(zhuǎn)發(fā)、QoS優(yōu)先級設(shè)置或者其他設(shè)置及密碼。如果沒有這么做,稍后你可能需要花很多時間來配置設(shè)備。
▲訪客無需密碼就能訪問
最糟糕的情況是,允許訪客在沒有任何密碼的情況下就可以連接到WiFi網(wǎng)絡(luò)。所有企業(yè)(包括商場、機(jī)場或連鎖餐廳)應(yīng)該使用某種基于PIN、時間限制或數(shù)據(jù)限制的訪問機(jī)制來跟蹤訪客用戶。對于企業(yè)級WiFi網(wǎng)絡(luò),針對訪客的密碼或PIN身份驗(yàn)證系統(tǒng)通常是最重要的安全部署。
▲無密碼無線網(wǎng)絡(luò)
現(xiàn)在有很多攻擊者在不斷嘗試竊聽企業(yè)網(wǎng)絡(luò)以及盜取數(shù)據(jù),通過現(xiàn)代化的小工具和應(yīng)用程序,他們可以輕松地入侵到大部分WiFi網(wǎng)絡(luò)。即使是采用WPA或WPA2加密標(biāo)準(zhǔn)的無線局域網(wǎng)都可能受到攻擊者的暴力破解,攻擊者可以用來竊取密碼或者劫持網(wǎng)站或服務(wù)賬戶。對關(guān)鍵應(yīng)用程序使用安全套接字層(SSL)和傳輸層安全(TSL)等加密可以保護(hù)你阻止這種竊聽企圖,并限制訪問到共享文件夾和其他關(guān)鍵網(wǎng)絡(luò)資源。
▲缺乏身份驗(yàn)證的額外措施
企業(yè)可以通過額外的身份驗(yàn)證來降低WLAN安全風(fēng)險(xiǎn)。在使用企業(yè)模式的WPA或WPA2時,為了進(jìn)行802.1x身份驗(yàn)證,通常需要安裝獨(dú)立的遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)(RADIUS)服務(wù)器。對于這一點(diǎn),現(xiàn)在有很多選擇。Windows服務(wù)器版本2008和更高版本提供網(wǎng)絡(luò)政策服務(wù)器(NPS),這可以用來配置RADIUS服務(wù)器。而對于其他操作系統(tǒng),則需要第三方RADIUS服務(wù)器。有些WLAN接入點(diǎn)還包括一個內(nèi)置的RADIUS服務(wù)器。
還有AnthenticateMyWiFi等托管服務(wù)可用于提供額外的身份驗(yàn)證安全性。企業(yè)在做出任何投資之前應(yīng)該考慮所有選項(xiàng)。
▲完全依靠MAC地址過濾
MAC地址過濾是很多WLAN設(shè)備中的集成安全機(jī)制,它讓管理員可以根據(jù)獨(dú)特的MAC地址,定制允許或不允許連接的計(jì)算機(jī)和客戶端設(shè)備清單。這種機(jī)制提供基本的安全性,但不能作為獨(dú)當(dāng)一面的安全機(jī)制,因?yàn)镸AC地址很容易被模擬。很多設(shè)備提供更改MAC地址的功能。如果攻擊者知道你企業(yè)授權(quán)MAC地址的清單或者采購你網(wǎng)絡(luò)授權(quán)的設(shè)備,他們就可以進(jìn)入你的網(wǎng)絡(luò)竊取帶寬或執(zhí)行惡意活動。
為了避免這種情況,使用加密與MAC過濾。加密可防止攻擊者竊聽企業(yè)網(wǎng)絡(luò),提供比只使用MAC過濾更強(qiáng)大的安全性。
▲不正確的SSID設(shè)置
正確設(shè)置服務(wù)集標(biāo)識符(SSID)可幫助減少風(fēng)險(xiǎn)因素。例如,很多WLAN設(shè)備允許管理員關(guān)閉SSID名稱的廣播,這可以將SSID從可見可用網(wǎng)絡(luò)連接清單中移除。這可幫助保護(hù)網(wǎng)絡(luò)免受未經(jīng)授權(quán)用戶的訪問。然而,精明的攻擊者可能會找出隱藏的網(wǎng)絡(luò);需要采用上面討論的組合方法。
另一個重要的SSID設(shè)置與SSID客戶端數(shù)量有關(guān)。在Windows 7和更高版本的Windows操作系統(tǒng)中,你可以限制可連接的SSID客戶端設(shè)備數(shù)量。這可以幫助防止客戶端連接到不安全的公共WiFi網(wǎng)絡(luò),從而避免暴露設(shè)備和登錄憑證到外部網(wǎng)絡(luò)。
▲缺少密碼政策
除了安全部署和管理設(shè)備外,企業(yè)還需要確保部署適當(dāng)?shù)恼邅磉\(yùn)行WIFi環(huán)境。例如,當(dāng)創(chuàng)建WiFi網(wǎng)絡(luò)用戶賬戶時,很多管理員喜歡為所有WiFi計(jì)算機(jī)和設(shè)備使用相同的密碼,這種方法往往會導(dǎo)致訪問問題。為了限制特定用戶或特定組訪問網(wǎng)絡(luò),管理員可能需要更改所有接入點(diǎn)和設(shè)備的密碼。為此,企業(yè)可利用用戶的個人賬戶或數(shù)字證書來允許他們連接到WiFi網(wǎng)絡(luò)。同時,管理單個賬戶的權(quán)限通常可讓企業(yè)更好地追蹤用戶。
企業(yè)在制定強(qiáng)大的安全政策時,應(yīng)該考慮讓用戶使用高強(qiáng)度密碼,包括字母、數(shù)字和特殊字符的組合,并在指定時間期限內(nèi)密碼或過期。
京公網(wǎng)安備 11010502049343號