返回顶部

热点聚焦

无线网络安全:无线Wi-Fi设置必须远离的9个常见隐患

日期:2015-09-07 点击:     关键词:无线网络安全

2015-09-07

  随着无线网络的普及,人们的安全防护需求也在不断提升,无线网络的全面覆盖可以给企业提供巨大的业务优势,可以确保员工跨多个设备甚至是建筑物进行连接,并可提高员工的工作效率。但无线网络安全防护操作太简单也可能给企业隐私带来很多隐形风险。下面列出了9个常见无线网络安全隐患,希望企业可以多加注意。

  随着无线网络的普及,人们的安全防护需求也在不断提升,安全防护操作太复杂,不好设置。通过这些简单的设置,防止黑客入侵不敢说,

  随着BYOD在工作场所的不断发展,风险也随之增加。在管理企业的Wi-Fi无线网络时,管理员不仅需要关注无线覆盖范围问题和连接中断问题,还需要关注安全和隐私性。这些风险似乎非常明显,但其实这往往被企业忽视。无线局域网的小漏洞都可能让攻击者乘虚而入。

  现在有很多安全技术可供企业选择,在选择安全技术时,主要关注的问题是选择灵活快速地工作还是严格的安全保护。如果WiFi平台支持正确的设备,并根据企业要求进行自定义配置,就可以实现灵活性与安全性。然而,企业还需要记住的是,攻击者在不断变强,单靠技术可能无法提供最高的安全性。只有正确结合技术和配套政策才可以确保安全和健康的WiFi无线网络环境。下面是部署和运行WLAN时企业应该避免的常见安全错误:

  ▲ 过分依赖防火墙和防病毒软件

  很多企业过分依靠网络防火墙和杀毒软件,而避免对网络安全额外投资的讨论,企业通常都是“我们不需要更多的安全技术”的态度,这样很容易让企业受到攻击。防火墙和防病毒软件并不能解决企业WiFi无线网络中的常见漏洞,企业需要意识到他们的安全投资可能不会有直接作用,但这相当于保险。根据企业数字信息和IT基础设施的重要程度,企业必须进行额外的安全投资以确保安全性。

  ▲不考虑WLAN安全特性

  在购买WLAN设备时,企业通常会根据无线覆盖范围、上传/下载速度、设备数量或类型或者甚至墙壁和地板的类型来选择设备。然而,WiFi无线网络设备有很多额外的安全功能集,包括QoS控制选项、对WPA/WPA2的支持、WPS、端口过滤、IP包过滤、URL关键字过滤、MAC地址过滤和集成防火墙支持。新一代设备中的很多安全功能可以让你不必投资于多个产品,并确保你从WiFI设备中获得最大的效益。

  ▲不合格的设备配置

  在设置WLAN节点(路由器、接入点、网桥或客户端适配器)时,你必须评估设备加密。加密通信机制可以确保客户端系统的有效性,但这可能对网络性能产生负面影响。有线等效保密(WEP)机制于2003年被废弃,自那时起,WiFi保护访问(WPA)和WPA2开始成为新标准。在不同配置中还有这些加密机制,包括预共享密钥(PSK)、临时密钥完整性协议(TKIP)或高级加密标准(AES),它们都支持不同的密钥长度(64位、128位或者256位)。大型企业也可能会选择WPA或WPA2的企业模式,这可以防止WLAN用户窃听对方的通信。

  最先进的配置无疑会提供更好的安全性,但这往往是以牺牲性能为代价。当加密密钥很冗长,设备需要更多时间和资源来执行加密和解密,这会影响网络性能。加密配置还需要足够严格以确保安全性,同时也要允许网络可接受的性能水平。

  提示:在配置/升级你的设备时,请记录和/或备份旧路由器的设置,例如端口转发、QoS优先级设置或者其他设置及密码。如果没有这么做,稍后你可能需要花很多时间来配置设备。

  ▲访客无需密码就能访问

  最糟糕的情况是,允许访客在没有任何密码的情况下就可以连接到WiFi网络。所有企业(包括商场、机场或连锁餐厅)应该使用某种基于PIN、时间限制或数据限制的访问机制来跟踪访客用户。对于企业级WiFi网络,针对访客的密码或PIN身份验证系统通常是最重要的安全部署。

  ▲无密码无线网络

  现在有很多攻击者在不断尝试窃听企业网络以及盗取数据,通过现代化的小工具和应用程序,他们可以轻松地入侵到大部分WiFi网络。即使是采用WPA或WPA2加密标准的无线局域网都可能受到攻击者的暴力破解,攻击者可以用来窃取密码或者劫持网站或服务账户。对关键应用程序使用安全套接字层(SSL)和传输层安全(TSL)等加密可以保护你阻止这种窃听企图,并限制访问到共享文件夹和其他关键网络资源。

  ▲缺乏身份验证的额外措施

  企业可以通过额外的身份验证来降低WLAN安全风险。在使用企业模式的WPA或WPA2时,为了进行802.1x身份验证,通常需要安装独立的远程身份验证拨入用户服务(RADIUS)服务器。对于这一点,现在有很多选择。Windows服务器版本2008和更高版本提供网络政策服务器(NPS),这可以用来配置RADIUS服务器。而对于其他操作系统,则需要第三方RADIUS服务器。有些WLAN接入点还包括一个内置的RADIUS服务器。

  还有AnthenticateMyWiFi等托管服务可用于提供额外的身份验证安全性。企业在做出任何投资之前应该考虑所有选项。

  ▲完全依靠MAC地址过滤

  MAC地址过滤是很多WLAN设备中的集成安全机制,它让管理员可以根据独特的MAC地址,定制允许或不允许连接的计算机和客户端设备清单。这种机制提供基本的安全性,但不能作为独当一面的安全机制,因为MAC地址很容易被模拟。很多设备提供更改MAC地址的功能。如果攻击者知道你企业授权MAC地址的清单或者采购你网络授权的设备,他们就可以进入你的网络窃取带宽或执行恶意活动。

  为了避免这种情况,使用加密与MAC过滤。加密可防止攻击者窃听企业网络,提供比只使用MAC过滤更强大的安全性。

  ▲不正确的SSID设置

  正确设置服务集标识符(SSID)可帮助减少风险因素。例如,很多WLAN设备允许管理员关闭SSID名称的广播,这可以将SSID从可见可用网络连接清单中移除。这可帮助保护网络免受未经授权用户的访问。然而,精明的攻击者可能会找出隐藏的网络;需要采用上面讨论的组合方法。

  另一个重要的SSID设置与SSID客户端数量有关。在Windows 7和更高版本的Windows操作系统中,你可以限制可连接的SSID客户端设备数量。这可以帮助防止客户端连接到不安全的公共WiFi网络,从而避免暴露设备和登录凭证到外部网络。

企业wifi无线网络设置的9个常见安全隐患

  ▲缺少密码政策

  除了安全部署和管理设备外,企业还需要确保部署适当的政策来运行WIFi无线网络环境。例如,当创建WiFi无线网络用户账户时,很多管理员喜欢为所有WiFi计算机和设备使用相同的密码,这种方法往往会导致访问问题。为了限制特定用户或特定组访问网络,管理员可能需要更改所有接入点和设备的密码。为此,企业可利用用户的个人账户或数字证书来允许他们连接到WiFi无线网络。同时,管理单个账户的权限通常可让企业更好地追踪用户。

  企业在制定强大的安全政策时,应该考虑让用户使用高强度密码,包括字母、数字和特殊字符的组合,并在指定时间期限内密码或过期。

400-0806-056