您的位置: 网界网 > 新闻 > 正文

如何在中小企业中确保Wi-Fi安全

2015年07月10日 14:13:03 | 作者:范范编译 | 来源:网界网

摘要:尽管应该使用Wi-Fi Protected Access II(WPA2)来保护无线网络安全,但是仍有许多小型甚至中型企业在使用WPA2标准中的默认模式,也就是个人或预共享密钥(PSK)模式,而非企业模式。后一种模式虽然叫企业模式,但它并非仅适用于大...

标签
安全
中小企业
Wi-Fi

管理数字化证书

每一套RADIUS服务器,无论其是否使用PEAP,都应当安装有数字化SSL证书。这将允许用户设备在初始化授权之前对RADIUS服务器进行验证。如果使用TLS,我们还需要为用户创建并安装客户端证书。在使用PEAP的情况下,如果没有安装,我们可能还必须为每台客户端设备分发该根证书认证凭证。

大家可以利用由RADIUS服务器提供的程序自行创建数字化证书,即自签名,或是从赛门铁克SSL(其前身名为VeriSign)或GoDaddy那里购买公共认证证书。

在TLS设置当中,我们最好是创建属于自己的公共密钥基础设施(PKI)与自签名证书。这种作法比较适合那些大部分Wi-Fi客户端都归属于单一网络域的情况,这样我们就能轻松完成证书的分发与安装工作。用户设备不在域内通常必须以手动方式安装该证书。

我们还可以使用一些第三方产品,简化非主域网络环境中的服务器根证书及客户端证书的分发流程,如针对Windows设备的SU1X工具(+本站微信networkworldweixin),以及针对Windows、OS X、Ubuntu Linux、iOS和Android设备的XpressConnect。

在PEAP安装方面,如果大部分用户的Wi-Fi设备都未被加入到域内,我们可以直接从公共证书颁发机构处购买服务器端证书来简化大量工作。如果希望客户端设备能够实现服务器验证,那么这些设备还需要由服务器证书生成的根认证证书。Windows、Mac OS X以及Linux设备通常已预安装由主流证书颁发机构提供的根认证证书。

连接支持企业模式的设备

一旦安装了RADIUS服务器或服务,配置了可使用RADIUS进行认证的接入点,分发了设备所需的证书,那么我们就已经做好了将这些用户设备接入到企业安全Wi-Fi中的准备。

当通过Windows、Mac OS X或者iOS设备进行接入时,整个连接过程非常简单:从网络列表当中选定要接入的网络,输入用户名与密码(在使用PEAP的情况下。如安装了TLS,可通过数字化证书或智能卡将设备接入网络)。Android设备的连接过程存在稍许不同。

连接非企业设备

目前几乎所有采用主流操作系统的计算机、平板电脑和智能手机都可以支持企业模式的WPA2。不过还有部分Wi-Fi设备只支持个人PSK模式。这些产品通常属于老旧Wi-Fi设备或者主要针对家庭及消费级使用所设计,如游戏主机、无线网络摄像机或者智能温控装置等。我们可能也会发现少部分商用设备不支持企业模式,如无线信用卡终端。

惠普501无线桥接装置可与企业安全网络连接

除了直接更换设备之外,这可能并不算一种选项,我们还可以通过多种方式帮助非企业型设备进行连接。很多RADIUS服务器都支持MAC(媒体访问控制)认证回避机制,允许用户将特定设备的MAC地址排除在验证流程之外,并允许实现网络接入。不过由于伪造MAC地址非常容易,因此这并不是一种非常安全的解决办法。另一种选择是创建采取个人PSK安全机制的独立SSID,不过这会降低网络的安全性。

如果非企业设备有以太网端口,那么一种选项是将其接入有线网络。如果没有可供接入的LAN端口,那么另一种选项是使用企业级无线桥接装置。我们可以禁用该设备的内部Wi-Fi,并将无线桥接装置连入该设备的以太网端口。桥接装置将以无线方式接入主要的企业安全Wi-Fi网络。

抵御中间人攻击

尽管企业Wi-Fi安全机制能够提供出色的保护,但也存在漏洞,其中一个漏洞就是中间人攻击。在这种状况下,黑客通常会设置伪造的无线网络或流氓接入点,并且通常与目标网络拥有同样的名称,因此Wi-Fi设备会自动进行连接。伪造的网络也会拥有自己的RADIUS服务器。

黑客的目的是让设备接入伪造的网络,然后捕捉其验证请求,这很可能会导致黑客获取至登录凭证。伪造网络甚至也能让用户接入互联网,让用户根本意识不到自己的连接过程出了问题。

这也是在RADIUS服务器上安装数字SSL证书如此重要的原因。正如之前所提到的那样,大多数无线设备在连接Wi-Fi网络后会进行服务器验证,以确保它们在提交登录凭证之前是在与真正的服务器进行对话。

在Windows、Mac OS X和iOS设备上,服务器验证选项通常默认处于启用状态。当首次接入企业Wi-Fi网络时,系统会提示用户验证RADIUS服务器数字证书的详细信息。默认情况下,如果服务器端的数字证书或证书签发者产生变化,系统会进行再次提示。

当有新的或变化的RADIUS服务器证书时,Windows会有上述提示信息。

但如果是Android手机或者平板电脑,我们必须以手动方式启用服务器验证选项,安装该服务器的根认证证书。

用于配置服务器验证及启用自动拒绝功能的Windows系统设置选项。

服务器验证机制能够帮助识别可能存在的中间人攻击,不过多数用户往往会直接选择接受新证书。为了阻止用户接受新的或变化的服务器证书,我们可以使用设备或操作系统中所提供的自动拒绝证书变更功能。

如Windows提供了在计算机或其它设备中设置EAP属性的选项,用户能够手动在每台设备上启用或直接将设置结果推送到主域网络中的计算机上。

1 2
[责任编辑:孙可 sun_ke@cnw.com.cn]

我也说几句