保護你的無線局域網：解決方案

2019-11-05 02:38:33

字體：大中小

來源：轉載

供稿：網友

　　創新的解決方案
　　
　　對于那些不需要不同廠商設備戶操作性的環境，Gartner建議企業采購和布署單一廠商的方案，實施更強的加密和密匙治理協議從而獲得更好的安全性。廠商應當能夠在需要時提供低成本的方法以便升級到新的標準。
　　
　　WLAN實施過程中那些安全問題是最常見的？對于所有的WLAN實施過程，我們都建議遵循下面這些方針：
　　
　　· 啟用缺省的WLAN內建的安全措施。
　　· 更改內建的設置，不要使用缺省設置、空SSID以及預設的口令。
　　· 在交換網絡的端口實施無線接入點。
　　· 為部門的WLAN制定和頒布安全標準和政策。
　　· 假如你必須要依靠于WEP，可能的話要堅持使用128bit的密匙。
　　· 對報文簽名碼址進行跟蹤，以便控制網絡安全。
　　· 檢查訪問日志或者使用網絡入侵檢測工具來檢測未經授權的訪問或攻擊。
　　
　　假如打算使用WLAN應當遵循那些安全常規
　　
　　典型的WLAN使用可以分為以下四種情況：
　　
　　訪客級，假如打算提供非正式或者無監管的Internet接入可能會使用不受控制的訪問，AP直接連接到Internet。這類WLAN可能不需要實施WEP鏈路安全措施或者訪問加密/簽名，并且答應所有不同廠商的WLAN卡能夠互操作。使用這種服務的公司會使來賓非常愉快，但要承擔雇員對它進行濫用、使企業暴露在Internet上的風險。
　　
　　訪客級，進行訪問登記，這是為Internet接入提供基本服務的一個折中。使用WEP安全措施和簡單的口令認證。這樣就可以為Internet接入有選擇地使用AP，并且可以防止未經許可的訪客偶然進入，當然對蓄意闖入的黑客起不了作用。
　　
　　對于傳統的局域網服務來說私有的intranet訪問是一種保守的解決方法。AP使用RADIUS進行比較強的鏈路加密和簽名。采用這種方法安全性和保密性不錯，但由于缺少強鏈路加密的標準采用這種方法不能實現互操作。到2002年，它將成為單一廠商的解決方案，企業必須要鎖定一個廠商，以確保能夠受到保護。
　　
　　私有VPN接入是對創建私有接入合乎情理的折中。AP通過企業的VPN網關連接到WAN的入口，并且只有擁有合法的企業簽名，運行適當的VPN的用戶才能被答應通過AP接入。鏈路加密雖然很重要，但任何人沒有合法的VPN會話就不能進出AP，這一點也減少了窺探和攻擊的危險。由于在AP上有對等攻擊（peer attacks）的危險，采用這種方法的企業必須確保用戶的PC裝有同級別的抗病毒程序和個人防火墻，同時還要求用戶都使用VPN。不能答應Split tunneling，因為以前已經證實這對VPN用戶是一個嚴重的威脅，AP上的所有用戶都有可能成為黑客的俘虜。
　　
　　假如一個企業的用戶能夠訪問別人的公共WLAN服務會有什么危險？那些為移動用戶提供無線網卡的企業和自己購買網卡的用戶最終會發現他們能夠獲得公共的WLAN服務，同時也將有使自己公司的系統暴露的危險。任何答應移動用戶使用無線網卡的企業必須確保用戶安裝了防病毒軟件和個人防火墻。由于大多數公司都有合適的防病毒軟件，個人防火墻也可以和無線網卡打包發給用戶。
　　
　　結論
　　
　　無線局域網以其無可比擬的方便性吸引著用戶，但它們也會把企業暴露給不斷增長的訪問威脅。好消息是那些遵循我們建議的企業可以避免大多數WLAN產品的安全漏洞，壞消息是許多公司缺乏實用、全面的安全策略。那些不能治理好AP外貌的企業必然會使自己的局域網暴露在外；那些不能防衛移動WLAN用戶的企業是在乞求黑客從客戶端進行攻擊。我們建議客戶們立即制定一個WLAN安全計劃，即使短期內還用不上它們。

上一篇：無線局域網考慮三個基本的安全服務：審計、認證和機密性

下一篇：無線局域網發展趨勢與應用情況介紹