中小企業無線網絡的安全講解

問：對於我們中小企業的無線網絡來說，最佳的無線網絡安全策略是什麼呢?

答：在“中小企業最佳wifi安全”這篇文章中Mike Chappel介紹了中小企業使用的WPA2-Personal (PSK)和WPA2-Enterprise (802.1X)。WPA2-Personal一般采用共享口令的方法來驗證連接到同一WLAN的每一個用戶，而WPA2-Enterprise通常是采用基於證書的驗證方法，包括機器證書、Windows用戶名/密碼、SecurID令牌等。

正如Mike所介紹的那樣，WPA2-Enterprise對中小企業來說有點困難，因為它需要一個RADIUS服務器鏈接到一個包含了用戶證書的賬戶數據庫，每個Wi-Fi客戶端都必須配置用戶證書。為了使WPA2-Enterprise更加適用於中小企業，可以有兩種實施方法，一種是AP或WLAN控制器與一個嵌入式RADIUS服務器，另一種是托管RADIUS服務(或基於雲的RADIUS服務)。這兩種方法對許多中小企業都非常適合，並且值得付出一些相關的努力或費用來得到一個強健的、粒狀的WLAN安全。

然而，這兩種方法都仍然需要配置Wi-Fi客戶端(802.1X客戶端)來識別並接受服務器的證書，以及響應那個RADIUS服務器所期望的可擴展的認證協議(EAP)類型。雖然這個配置並不是很復雜的事，但也不像口令那樣簡單。因為802.1X至少需要一個服務器認證，在那些GUI有限的設備(如智能手機或無線打印機)上進行配置會更難。最後我想說，802.1X問題對故障修復來說都是小問題。

那些認真考慮過但認為他們並不需要WPA2-Enterprise (802.1X)的中小企業應該知道使用WPA2-Personal(PSK)也有許多方法能使企業網絡更好更安全的。對初學者來說，PSK安全主要依賴於你所選擇的口令長度和強度。建議使用一個混合型的口令，至少有20個字符長，避免使用一些字典中能夠找到的單詞，並且用一個不太一樣的SSID。為了測試你WPA2-Personal口令的強度，你可以通過運行一個在線WPA Cracker來試試。

盡管如此，即使是一個強壯的口令也仍然會很容易遭受共享密碼風險，例如，那些不應該得到口令的人得到了口令，或者如果一個員工被解雇了，或筆記本電腦丟了，而不得不去修改口令。為了避免這些問題，可以考慮使用支持動態per-user口令的AP。802.11標准的不需要每個客戶端都使用相同的PSK;一些供應商們已經對這一特點加以利用了，他們為每個用戶分配了唯一的口令。Per-user口令可以阻止內部攻擊(如解密其他用戶的流量)。動態per-user口令是有時限的，所以來賓只是在一個限定的時間段內可以進行訪問。也有一些措施可以幫助訪問者或幫助台來進行注冊以獲取動態口令，這樣就簡化了口令的生成和分配。