部署企业级Wi-Fi安全的七大理由
移动设备正成为企业黑客攻击的主要渠道,而安全漏洞不断的WiFi网络无疑是企业移动安全的最大隐患。更糟糕的是,很多中小企业,甚至一些规模更大的企业的部分WiFi网络都使用WiFi个人安全模式。
随着WiFi网络安全问题的日益严峻,中小企业应当尽快切换到WiFi企业级安全模式,也就是启用WPA2(802.11i),虽然这意味着需要启用专门的RADIUS服务器进行802.1X认证,设置起来比较麻烦,但是能大大提升企业WiFi网络的安全性,相比WiFi网络安全事故给企业带来的巨大损失,这种付出绝对物超所值(安全牛建议拥有WiFi网络的酒店网吧和酒吧也将WiFi网络升级到企业级安全模式)。
以下是安全牛总结的部署企业级WiFi网络安全模式的七大理由:
一、彻底消灭共享密码带来的安全隐患。
WiFi个人安全模式下,所有用户共享一个WiFi网络接入密码,也就是所谓的与共享秘钥PSK,任何一个用户的设备丢失或者离职都有可能导致WiFi密码的泄露,从而威胁到企业WiFi网络内的数据,管理员能做的只能是要求所有用户都统一更换新密码,非常麻烦。
虽然很多企业在安全策略中要求员工严格保护WiFi密码,但是只有升级到企业级WiFi安全模式才能彻底杜绝这种安全隐患。
企业级的WPA或WPA2安全模式下,管理员可以为每个用户分配不同的密码和用户名(PEAP),如果有员工丢失设备或者离职,管理员只需要注销对应的账户和密码就行,不会影响到其他用户。
二、防范WiFi网络监听。
在WiFi个人安全模式下,任何接入网络的用户都可以扫描网络内的流量,使用firesheep之类的插件或者黑客工具查看其他人的网络浏览记录、邮件、社交账户甚至截获网银账号。
在企业级WiFi安全模式下,秘钥的分配和交换在后台完成,用户之间无法互相解密流量,而且这不会影响文件和打印共享等网络服务。
三、支持部署其他高级网络安全功能。
除了通过802.1X的PEAP管理一对一的账户密码外,企业级WiFi安全还支持通过EAP-TLS模式部署客户端的SSL(X.509)安全证书。虽然安全证书的分发和安装会比密码麻烦,但显然是个更加安全的方式。如果还觉得不够安全,你还可以通过智能卡中储存的私钥来部署用户证书,这就要求用户需要有物理U盘插入客户端才能完成802.1X认证。
四、认证模式可以无缝扩展到有线网络。
WiFi企业级安全模式使用的802.1X认证配备RADIUS服务器,同时也可以提供有线网络的访问认证服务。
五、可以动态划分VLAN
使用802.1X认证也意味着你将可以为客户端动态分配VLAN。例如你可以将多个用户分配到不同的SSID上的同一个VLAN上。
六、可以有更多的网络控制选项
在WiFi个人安全模式下,所有人都使用相同的密码登入网络,而管理员无法管理具体的接入客户端。在企业级模式下,RADIUS服务器可以对特定的用户或者群组进行管理,例如登录时间限制,为特定用户划定所能访问的AP,以及指定终端接入设备。
七、支持网络访问保护NAP
除了RADIUS服务器支持的各种基本访问控制服务外,你还可以与802.1X认证配合使用NAP;例如Windows Server2008或者更新的版本可以配置网络策略服务器(NPS)同时支持NAP功能和802.1X认证。
NAP是微软开发的网络访问控制协议,可以根据客户端的安全健康状况(例如操作系统补丁和杀毒软件更新情况、个人防火墙和安全设置情况)来决定是否允许其访问网络。
补充建议:
虽然商用RADIUS服务器价格不菲,但是对于中小企业来说有很多低成本的解决方案,例如Windows Server 2003之后的版本中的IAS(互联网认证服务)模块,或者Windows2008之后版本中的NPS(网络策略服务器)模块都可以用来部署RADIUS服务器。
如果你不愿部署上述的RADIUS服务器,你还可以考虑一些云端或免费的802.1X认证服务,例如Elektron(750美元/月)、ClearBox()或FreeRADIUS(基于Linux的开源软件)。
Via:安全牛
第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom
除非注明,本站文章均为原创或编译,未经许可严禁转载。
相关文章: