当然,现在VPN还在无线局域网中使用。但是,VPN的花费比较高。绝大多数的企业在办公室之内使用WPA2协议,办公室之外的数据传输使用VPN。
第三步,控制企业网络的使用
为了防止网络漏洞,无线网络中的各个部分,从AP(网络接入点 access point)到发送连接的开关,到使用无线的企业网络,这些都必须防止未经授权的滥用。
始于传统的安全防御影响了无线网络的安全防护。譬如,升级补丁加强AP和网络开关的安全,关闭不用的网络关口,使用安全管理操作界面。在无线网络中,基于SSID或是用户身份使用防火墙和虚拟局域网(VLAN)。
这是一个良好的开端,简单却不够安全。插入到有线网络中的模糊AP会绕开防火墙,提供长时间的访问内部服务器的网络连接。如果不采取进一步的限制,临近网络,客户和入侵者都会使用你的无线局域网盗取网络服务,发送网络钓鱼邮件和垃圾邮件,甚至是攻击你的无线网络。
在设置AP的时候使用非默认的SSID可以减少意外的无线网络连接。但是不能仅仅满足于此,部署无线网络连接控制阻断来自于未经授权的客户的访问:
1.由于地址糊弄的出现,不能仅仅依靠MAC地址过滤无线网络安全
2.如果你提供客户访问,使用可获取端口跟踪使用,实行时间和带宽限制
3.在小型的无线局域网中,使用带有PSK的WPA或是WPA2保证连接仅限于授权客户。这是为绝大多数家庭无线局域网用户提供的服务。
在企业级的无线局域网中,仅仅依靠密码对用户进行限制显然是不够的,使用802.1X授权和审计连接到企业网络中的连接。如果与服务器认证一起使用的话,802.1X还可以防止用户误入假冒的蜜罐AP。
最后,执行无线网络数据保护和访问控制选项是必须的。中央无线局域网管理人员可以帮助减少AP的误配置,加快遭攻击之后的系统恢复速度。
第四步,审计无线网络活动
不管你的网络,客户机,空中安全措施部署的多么仔细,百密一疏,出现意外情况的可能性还是很大的。要想达到内外安全审计标准,你需要监控所有的无线网络设备上的活动情况。
传统的安全审计资源防火墙日志和有线网络入侵检测系统(IDS)在面临无线网络流量往往显得捉襟见肘。这些系统只能监控有线网络内部的流量。如果无线网络连接违规访问邻近网络或是蜜罐的时候,它们是无动于衷的。面临针对无线局域网本身的攻击,譬如说,802.1/802.1XDoS洪水攻击和无线网络密码破解,它们也难以应对。还有一个缺陷就是,它们不能记录定义的无线网络安全政策的兼容或评估由于无线滥用带来的泄密事件。
每一家公司,即使没有使用授权的无线局域网,也应该发现和记录先无线网络设备和他们的地址,行为,违反政策的情况和攻击行为。通过使用全天候监控的无线网络IPS(WIPS无线入侵防御系统)可以实现上述目标。WIPS使用分布式网络监控器扫描无线广播通道,分析流量找出异常的网络连接,找出错误配置和恶意行为。WIPS会对潜在的威胁发出警报,将无线网络行为实时可视化。由WIPS管理的数据会让管理报告的提交更加简便。
第五步,执行无线网络安全政策
被动的监测当然是不够的。如果等到对WIPS作出人为响应的时候,可能损失已经造成了,而作祸者已逃之夭夭。预先的主动防范是保证企业网络安全必须的。
部署的WIPS要能够迅速地执行定义规则,断开未经授权的流氓AP,禁止客户机的不良行为,阻止违反政策的通信,隔离DoS攻击。要实现上诉目标,选择和配置WIPS的时候要慎之又慎。譬如,
1.感应器的设置要预防盲点——确保完全覆盖
2.配置的WIPS要能够自动准确地区分新发现的设备,确保它们的行为符合规定,不入侵邻近的无线局域网。
3.检查WIPS针对流氓AP,行为不端的客户机和其它无线网络威胁响应的速度和准确性。
已被阅读: 次
重庆电脑维修上门电脑维护电脑外包
公司包月维护
【讯闪科技 pc3721电脑维修中心】 正规公司运营
技术实力优秀 服务有保障!
热线电话:
023-62607382 66399947
|
