您的位置: 网界网 > 新闻 > 正文

如何在中小企业中确保Wi-Fi安全

2015年07月10日 14:13:03 | 作者:范范编译 | 来源:网界网

摘要:尽管应该使用Wi-Fi Protected Access II(WPA2)来保护无线网络安全,但是仍有许多小型甚至中型企业在使用WPA2标准中的默认模式,也就是个人或预共享密钥(PSK)模式,而非企业模式。后一种模式虽然叫企业模式,但它并非仅适用于大...

标签
安全
中小企业
Wi-Fi

【CNW.com.cn独家译稿】尽管应该使用Wi-Fi Protected Access II(WPA2)来保护无线网络安全,但是仍有许多小型甚至中型企业在使用WPA2标准中的默认模式,也就是个人或预共享密钥(PSK)模式,而非企业模式。后一种模式虽然叫企业模式,但它并非仅适用于大型网络,而是可以适用于所有的企业。很多人可能认为简单的个人模式更易于使用,但如果考虑到正确保护企业网络的要求,情况恰恰相反。

WPA2的企业模式采用802.1X验证机制,会给网络提供一套额外的安全层,与个人模式相比,它们在设计思路方面更适合公司网络。虽然在初期配置上,企业模式需要投入更多精力和资源,如需要为远程认证拨号用户服务(RADIUS)提供服务器或服务支持,但整个过程并不复杂,也不昂贵,无论是对于单一企业还是对于需要为多个机构管理网络的IT/托管服务供应商来说都是如此。

在笔者看来,企业级Wi-Fi安全方案才是各类企业网络的最佳选择,具体理由我们将在下文论述。需要强调的是,大家甚至根本没有必要使用托管RADIUS服务。本文将提供多种其他RADIUS服务器选项,而且其中一部分完全无需任何资金投入。接下来就让我们带领大家一同探讨这些选项,建立起更为安全的企业级Wi-Fi网络。

企业模式的优势在哪里

当然,每种模式都拥有自己的优势。PSK模式的初始设置非常简单。大家只需要为接入点设置一个密码,用户在输入这个正确的全局密码后即可连接到Wi-Fi网络。看起来毫不费力,但这种方法却存在着几个问题。

在个人或者预共享密钥(即PSK)模式下,仅有一个全局Wi-Fi密码。

首先,由于网络当中的每位用户都使用同样的Wi-Fi登录密码,因此任何一位离职员工都能够继续使用这一无线接入点——除非我们修改密码内容。很明显,修改密码需要我们调整接入点的设置,并向其他用户告知新密码——而在下一次登录时,他们需要至少正确输入一次,才能将其保存为默认选项以备今后连接时使用。

而在企业模式下,每一位用户或者设备都拥有独立的登录凭证,我们可以在必要时对其进行变更或者调用——而其他用户或者设备完全不会受到影响。

在企业模式下,用户在尝试接入时需输入自己唯一的登录凭证。

在使用PSK模式时我们会遇到另一个问题:Wi-Fi密码通常会被保存在客户设备当中。如果该设备丢失或者被盗,密码也将同时遭到威胁,应当修改密码以防止任何得到该设备的人进行非授权访问。如果我们使用企业模式,那么只需要在设备丢失或者被盗时修改对应密码即可解决难题。

任何人都能轻松在Windows Vista或者后续Windows版本当中查看已保存的PSK Wi-Fi密码内容,如果设备丢失或者被盗将出现安全风险。

企业模式的其他优势

使用企业Wi-Fi安全机制还有其他多种优势:

更出色的加密性:由于企业模式所使用的加密密钥对每位用户都是唯一的,因此与PSK相比,黑客更难以暴力破解方式进行破解或是发动其它的Wi-Fi攻击。

防止用户对其他用户的嗅探: 由于每一位用户在个人模式下都会被分配以同样的加密密钥内容,因此任何拥有该密码的人都能够利用Wi-Fi发送原始数据包,其中密码内容很可能被包含在非安全站点及邮件服务当中。在企业模式下,用户无法解密彼此的无线流量。

动态虚拟局域网(VLAN):如果大家利用虚拟LAN来隔离网络流量但又未采用802.1X验证机制,如处于PSK模式下,那么我们必须以手动方式为静态VLAN分配以太网端口及无线SSID。在企业模式下,我们可以利用802.1X验证机制实现动态VLAN,自动通过RADIUS服务器或者用户数据库将用户自动划拨至此前分配的VLAN中。

额外的访问控制:在企业模式下提供802.1X验证机制的大部分RADIUS服务器也都支持其它访问政策,我们可有选择性的将其应用在用户身上。如大家可设定每次接入后的有效时限,限定哪些设备有权接入,甚至限定他们可通过哪些接入点连接至网络。

有线支持:如果交换机支持,企业Wi-Fi安全方案所使用的802.1X验证机制还能够被用于有线网络部分。在这项功能启用之后,用户在网络中接入以太网端口必须要输入自己的登录凭证后才能访问网络和互联网。

RADIUS服务器选项

正如上面所提到那样,我们必须有RADIUS服务器或者服务才能运用企业Wi-Fi安全机制。它们能够执行802.1X验证,并可作为或者连接至用户数据库,在这里我们可为每位用户定义登录凭证。目前市面上有许多可供选择的RADIUS选项:

Windows Server或OS X Server:如果已拥有一套Windows Server,那么可以考虑使用其RADIUS功能。在旧版本中,我们需要使用微软所谓的互联网验证服务(IAS),在Server 2008及后续版本中,该功能被称为网络政策服务器(NPS)。同样地,苹果公司的OS X Server也内置有RADIUS功能。

其他服务器:检查网络现有服务器的说明文档或者在线说明,如目录服务器或者网络附加存储,了解其是否提供RADIUS服务器功能。

接入点:目前很多企业级接入点设备都拥有内置RADIUS服务器,通常可支持二十或者三十多位用户。强调一下,请查阅说明文档或者在线说明。

云服务:托管RADIUS服务非常适合那些不想设置或者运行自有服务器的用户,以及那些需要同时保护WAN内未绑定在一起的多个位置的用户。此类选项包括Cloudessa、IronWifi以及我公司推出的AuthenticateMyWiFi服务。

开放或免费软件:开源FreeRADIUS是目前最流行的服务器之一。它们能够运行在Mac OS X、Linux、FreeBSD、NetBSD以及Solaris系统平台之上,不过需要用户具备一定的Unix类平台使用经验。对于那些更希望使用GUI平台的用户,不妨考虑运行在Windows之上的TekRADIUS免费版。

商业软件:当然,还有大量基于硬件及软件的商业软件可供选择,如(针对Windows的)ClearBox或 (针对Windows、Linux和Solaris的) Aradial RADIUS服务器。

选择可扩展身份验证协议(EAP)

802.1X标准的验证机制被称为可扩展身份验证协议(EAP)。目前我们拥有多种EAP类型可供选择,最受欢迎的是受保护EAP(PEAP)和EAP传输层安全(TLS)。

大部分传统RADIUS服务器与无线客户端都支持PEAP与TLS,当然也可能包含其它类型。不过部分RADIUS服务器当中,如云服务或者内置在接入点中的方案,仅仅能够支持PEAP。

PEAP为一种较为简单的EAP类型:通过它,用户只需要输入自己的用户名及密码,即可接入Wi-Fi网络。这种连接过程对于大部分设备的用户而言最为简单。

TLS则更加复杂但也更为安全。相较于用户名加密码,数字化证书或者智能卡被作为用户的登录凭证。不利的方面是,需要管理员与用户做更多的工作。如使用智能卡,我需要购买读卡器与卡片,并其分发到每位用户手中。而数字化证书则必须被安装在每一台登录设备之上,这对用户来说很繁琐。不过我们可使用部署工具帮助简化此类证书的分发与安装。

12
[责任编辑:孙可 sun_ke@cnw.com.cn]

我也说几句

热点排行