萬盛學電腦網

 萬盛學電腦網 >> 安全資訊防護 >> 中小企業無線網絡的安全講解

中小企業無線網絡的安全講解

問:對於我們中小企業的無線網來說,最佳的無線網絡安全策略是什麼呢?

答:在“中小企業最佳wifi安全”這篇文章中Mike Chappel介紹了中小企業使用的WPA2-Personal (PSK)和WPA2-Enterprise (802.1X)。WPA2-Personal一般采用共享口令的方法來驗證連接到同一WLAN的每一個用戶,而WPA2-Enterprise通常是采用基於證書的驗證方法,包括機器證書、Windows用戶名/密碼、SecurID令牌等。

正如Mike所介紹的那樣,WPA2-Enterprise對中小企業來說有點困難,因為它需要一個RADIUS服務器鏈接到一個包含了用戶證書的賬戶數據庫,每個Wi-Fi客戶端都必須配置用戶證書。為了使WPA2-Enterprise更加適用於中小企業,可以有兩種實施方法,一種是AP或WLAN控制器與一個嵌入式RADIUS服務器,另一種是托管RADIUS服務(或基於雲的RADIUS服務)。這兩種方法對許多中小企業都非常適合,並且值得付出一些相關的努力或費用來得到一個強健的、粒狀的WLAN安全。

然而,這兩種方法都仍然需要配置Wi-Fi客戶端(802.1X客戶端)來識別並接受服務器的證書,以及響應那個RADIUS服務器所期望的可擴展的認證協議(EAP)類型。雖然這個配置並不是很復雜的事,但也不像口令那樣簡單。因為802.1X至少需要一個服務器認證,在那些GUI有限的設備(如智能手機或無線打印機)上進行配置會更難。最後我想說,802.1X問題對故障修復來說都是小問題。

那些認真考慮過但認為他們並不需要WPA2-Enterprise (802.1X)的中小企業應該知道使用WPA2-Personal(PSK)也有許多方法能使企業網絡更好更安全的。對初學者來說,PSK安全主要依賴於你所選擇的口令長度和強度。建議使用一個混合型的口令,至少有20個字符長,避免使用一些字典中能夠找到的單詞,並且用一個不太一樣的SSID。為了測試你WPA2-Personal口令的強度,你可以通過運行一個在線WPA Cracker來試試。

盡管如此,即使是一個強壯的口令也仍然會很容易遭受共享密碼風險,例如,那些不應該得到口令的人得到了口令,或者如果一個員工被解雇了,或筆記本電腦丟了,而不得不去修改口令。為了避免這些問題,可以考慮使用支持動態per-user口令的AP。802.11標准的不需要每個客戶端都使用相同的PSK;一些供應商們已經對這一特點加以利用了,他們為每個用戶分配了唯一的口令。Per-user口令可以阻止內部攻擊(如解密其他用戶的流量)。動態per-user口令是有時限的,所以來賓只是在一個限定的時間段內可以進行訪問。也有一些措施可以幫助訪問者或幫助台來進行注冊以獲取動態口令,這樣就簡化了口令的生成和分配。

 


copyright © 萬盛學電腦網 all rights reserved