前言
如果你想保护企业的关键数据,那么企业环境下的WiFi网络安全绝对是你不能忽略的威胁因素。
其实很多企业根本就不在意这个方面,但我们认为这是最基本的风险评估,因为如果你的威胁模型里出现了一名意愿和技术均足够强大的攻击者,那么你公司的WiFi网络将“毫无”安全可言。
为了保护企业WiFi,你要做的事情有很多。再加上新型的KRACK攻击正在肆虐,这些威胁严重程度就变得更加恐怖了。因此,我们认为保护企业WiFi安全势在必行,接下来让我们一起看一看到底该如何去做。
最大程度的控制
毫无疑问,保护企业WiFi安全的最佳方法就是对整个无线网络系统进行拆分和隔离。
- 在企业WiFi网络内的任何设备在使用之前都应该更新到最新版本的固件。
- 要完全对企业环境下员工使用WiFi设备的网络区域进行完全性的物理和逻辑分隔,使用不同的ISP,不同网络之间不要相互连接。
- 除了上述两点之外,还要结合移动设备的VPN策略。
- 修复访问点安全缺陷,针对类似KRACK这样的威胁部署防御策略。
- 使用安全性最高的密码套件,确保只使用TLS 1.2。
其他优秀的控制策略
除了上述几点必要的控制措施之外,我们在这里还给大家推荐了下面一些可以参考使用的控制策略。可能大家无法完全实现这里列举出的所有方案,但是我们建议大家尽可能地去实现它们。
- MAC地址白名单。
- WiFi和其他网络环境下的VLAN隔离,限制WiFi Vlan的可访问资源。
- 移除或禁用无线接入点的WPS功能,购买和使用企业级无线网络设备。
- 使用支持企业级WPA2(802.1x)的设备,对WiFi网络进行VLAN隔离,为每一个隔离网络设置防火墙规则以及其他的控制策略。
- 对于不同的Vlan,确保屏蔽了点到点的通信,这样一来所有接入了访问点的设备都需要通过AP来进行通信,这样便于实现网络的监控。
- 隐藏SSID,通过不可见性实现安全保护。
- 保护接入点的物理访问状态,不要将WPA2密码贴在墙上。
- 确保WiFi信号不会离开受保护区域,测试并控制WiFi信号强度。
- 为临时访客设置不同的WiFi SSID和访问权限;
- 修改/禁用无线接入点的管理员默认凭证;
- 定期进行流氓WiFi接入点扫描;
- 部署入侵防护系统以及入侵检测系统,实时监控WLAN系统。识别企业WiFi所有使用到的内部接口,并部署访问控制策略。
- 使用企业级WiFi网关以及外部防火墙;
1. 相关安全协议及服务
- IPSec(Internet ProtocalSecurity)和VPN(Virtual Private Network)都可以用来保护WiFi网络的安全;
- 使用TLS(Transport Layer Security)
- 在WiFi认证系统上实现远程用户拨号认证服务(RADIUS):
- 扩展认证协议(EAP)结合TLS(EAP-TLS);
- 关闭所有的无线管理功能;
2. 其它
- 定期分析和审计所有的无线控制日志;
- 防火墙配置:对于企业网络环境来说,这是非常重要的一点。在防火墙的保护下,安全性会显著提升。
3. 隐私保护控制
- 在所有设备上使用MAC地址随机化即可实现隐私保护控制。