电脑疯子技术论坛|电脑极客社区

微信扫一扫 分享朋友圈

已有 2986 人浏览分享

保护企业免受使用公司WiFi进行未经授权访问的最佳做法

[复制链接]
2986 0
前言

如果你想保护企业的关键数据,那么企业环境下的WiFi网络安全绝对是你不能忽略的威胁因素。

1545049809_5c1796d125e06.png


其实很多企业根本就不在意这个方面,但我们认为这是最基本的风险评估,因为如果你的威胁模型里出
现了一名意愿和技术均足够强大的攻击者,那么你公司的WiFi网络将“毫无”安全可言。

为了保护企业WiFi,你要做的事情有很多。再加上新型的KRACK攻击正在肆虐,这些威胁严重
程度就变得更加恐怖了。因此,我们认为保护企业WiFi安全势在必行,接下来让我们一起看一
看到底该如何去做。

最大程度的控制

毫无疑问,保护企业WiFi安全的最佳方法就是对整个无线网络系统进行拆分和隔离。

1、 在企业WiFi网络内的任何设备在使用之前都应该更新到最新版本的固件。
2、 要完全对企业环境下员工使用WiFi设备的网络区域进行完全性的物理和逻辑分隔使用不同
的ISP不同网络之间不要相互连接。
3、 除了上述两点之外,还要结合移动设备的VPN策略。
4、 修复访问点安全缺陷,针对类似KRACK这样的威胁部署防御策略。
5、 使用安全性最高的密码套件,确保只使用TLS 1.2。

其他优秀的控制策略

除了上述几点必要的控制措施之外,我们在这里还给大家推荐了下面一些可以参考使用的控制策略
可能大家无法完全实现这里列举出的所有方案,但是我们建议大家尽可能地去实现它们。

1545049824_5c1796e076072.png


1、 MAC地址白名单。
2、 WiFi和其他网络环境下的VLAN隔离,限制WiFi Vlan的可访问资源。
3、 移除或禁用无线接入点的WPS功能,购买和使用企业级无线网络设备。
4、 使用支持企业级WPA2(802.1x)的设备对WiFi网络进行VLAN隔离为每一个隔离
网络设置防火墙规则以及其他的控制策略。

5、 对于不同的Vlan,确保屏蔽了点到点的通信,这样一来所有接入了访问点的设备都需要
通过AP来进行通信,这样便于实现网络的监控。
6、 隐藏SSID,通过不可见性实现安全保护。
7、 保护接入点的物理访问状态,不要将WPA2密码贴在墙上。
8、 确保WiFi信号不会离开受保护区域,测试并控制WiFi信号强度。
9、 为临时访客设置不同的WiFi SSID和访问权限;
10、修改/禁用无线接入点的管理员默认凭证;
11、定期进行流氓WiFi接入点扫描;
12、部署入侵防护系统以及入侵检测系统,实时监控WLAN系统。识别企业WiFi所有使用到的内部接口并部署访问控制策略。
13、使用企业级WiFi网关以及外部防火墙;

相关安全协议及服务

1、 IPSec(Internet ProtocalSecurity)和VPN(Virtual Private Network)都可以用来保护WiFi网络的安全;
2、 使用TLS(Transport Layer Security)
3、 在WiFi认证系统上实现远程用户拨号认证服务(RADIUS):
4、 扩展认证协议(EAP)结合TLS(EAP-TLS);
5、 关闭所有的无线管理功能;

1545049858_5c1797024d473.png


其它

1、 定期分析和审计所有的无线控制日志;
2、 防火墙配置:对于企业网络环境来说,这是非常重要的一点在防火墙的保护下安全性会显著提升。

隐私保护控制

1、 在所有设备上使用MAC地址随机化即可实现隐私保护控制。

您需要登录后才可以回帖 登录 | 注册

本版积分规则

1

关注

0

粉丝

9021

主题
精彩推荐
热门资讯
网友晒图
图文推荐

Powered by Pcgho! X3.4

© 2008-2022 Pcgho Inc.