網絡安全知識之保護企業無線網絡

什么是企業網絡安全?

企業網絡安全是對連接企業內系統、大型機和設備(如智能手機和平板電腦)的網絡的保護。公司、大學、政府和其他實體使用企業網絡將其用戶與信息和人員聯系起來。隨著網絡規模和復雜性的增長，安全問題也隨之增加。

企業無線網絡面臨哪些安全威脅?

無線網絡(也稱為 Wi-Fi)缺乏有線網絡常見的強大安全工具，例如防火墻、入侵防御系統、內容過濾器以及防病毒和反惡意軟件檢測程序;Wi-Fi 網絡還提供無線接入點，這些接入點很容易被滲透。由于它們可能缺乏與有線網絡相同的保護，無線網絡和設備容易受到旨在訪問企業網絡的各種攻擊。

攻擊者可以通過無線接入點訪問組織的網絡以進行惡意活動，包括數據包嗅探、創建惡意接入點、密碼竊取和中間人攻擊。這些攻擊可能會阻礙網絡連接、減慢進程，甚至會導致組織系統崩潰。

如何將企業 Wi-Fi 網絡的風險降至最低?

網絡安全協議已經發展到可以抵消不斷演變的攻擊。Wi-Fi 保護訪問3 (WPA3) 包含 128 位高級加密標準 (AES)。2018 年 6 月，Wi-Fi 聯盟開始認證支持 Wi-Fi Protected Access 3 (WPA3) 的設備，WPA3 取代了 WPA2。當 WPA3 設備可用時，用戶應采用新標準。信息技術 (IT) 安全專業人員和網絡管理員還應考慮這些額外的最佳實踐，以幫助保護他們的企業Wi-Fi 網絡：在每個網絡上部署無線入侵檢測系統 (WIDS) 和無線入侵防御系統 (WIPS)。通過根據開發人員服務包發布更新所有軟件，確保現有設備沒有已知漏洞。安全地配置設備。確保所有設備符合聯邦信息處理標準 (FIPS) 140-3：加密模塊的安全要求中的加密要求(這點，在國內遵循國密相關要求)。確保符合最新的美國國家標準與技術研究所。建立多因素身份驗證 (MFA) 以訪問網絡。如果難以實現，請考慮除單個共享密碼之外的其他安全身份驗證方法，例如 Active Directory 服務身份驗證或替代方法(例如，令牌)以在網絡中創建 MFA。使用可擴展身份驗證協議-傳輸層安全基于證書的方法(或更好)來保護整個身份驗證事務和通信。使用計數器模式密碼塊鏈接消息身份驗證代碼協議，這是無線應用協議 2 (WAP) 企業網絡謹慎使用的一種 AES 加密形式。如果可能，請在開發和批準時使用符合 FIPS 140-3 (國內，參照國密最新研究成果)的更復雜的加密技術。

實施與主網絡分離的訪客 Wi-Fi 網絡。使用具有多個服務集標識符 (SSID) 的路由器或使用其他無線隔離功能，以確保訪客網絡流量或通過使用其他無線隔離功能無法訪問組織信息。

有哪些額外的保護網絡?

采用主動 WIDS/WIPS 使網絡管理員能夠通過監控、檢測和減輕潛在風險來創建和實施無線安全。WIDS 和 WIPS 都會檢測并自動斷開未經授權的設備。WIDS 能夠自動監控和檢測任何未經授權的惡意接入點的存在，而 WIPS 則針對已識別的威脅部署對策。WIPS 緩解的一些常見威脅是惡意接入點、錯誤配置的接入點、客戶端錯誤關聯、未經授權的關聯、中間人攻擊、ad-hoc 網絡、媒體訪問控制欺騙、蜜罐/邪惡雙胞胎攻擊和拒絕-服務攻擊。

管理員應根據當地的考慮和適用的合規要求定制這些做法。使用惡意檢測流程功能。無論違規設備使用何種身份驗證或加密技術(例如，網絡地址轉換、加密、軟 WAP)，此功能都應檢測通過惡意客戶端或 WAP 的 Wi-Fi 訪問。將 WIDS/WIPS 傳感器設置為檢測連接到有線或無線網絡的 802.11a/b/g/n/ac 設備;通過多個無線通道檢測并阻止來自單個傳感器設備的多個 WAP。在每個子網和跨多個子網實施“無 Wi-Fi”策略。在傳感器和服務器之間提供最低限度的安全通信，并確定特定的最低允許 Kbps——系統應根據企業策略和治理提供客戶端和 WAP 的自動分類。提供可定制的自動化(事件觸發)和計劃報告。基于企業需求的細分報告和管理。通過生成事件日志和實時數據包捕獲，并直接在分析員工作站上顯示。導入場地圖紙以滿足場地規劃和位置跟蹤要求。在應用程序中手動創建具有自動縮放功能的簡單建筑布局。以電子方式將傳感器和 WAP 放置在建筑地圖上，以保持傳感器放置和未來位置的準確記錄。至少有四個不同級別的權限，允許 WIPS 管理員將特定的視圖和管理員權限委派給其他管理員。滿足所有適用標準，如政府相關文件及采購條例等。

來源：夢舞清愁

原文鏈接：https://new.qq.com/omn/20220104/20220104A02EZX00.html