林濤:無線比有線還安全?
無線網(wǎng)絡(luò)的安全性問題的確刻不容緩,但只要做好相關(guān)配置工作,無線網(wǎng)絡(luò)照樣能使企業(yè)安全無憂,比有線還安全并非不可能。
用戶聲稱無線安全是他們優(yōu)先考慮的因素,但許多企業(yè)在實施無線網(wǎng)絡(luò)的過程中卻并沒有安裝所有的安全選項,這往往給人造成一種無線易于安裝,卻難以確保安全并且不易管理的錯覺。
先亮出身份
在無線網(wǎng)絡(luò)上,每一個接入點都可以根據(jù)不同的用戶要求設(shè)置相應(yīng)的安全級別。這是一種嚴格的基于身份認證的網(wǎng)絡(luò),并且更難被非法利用。無線網(wǎng)絡(luò)希望用戶能夠通過提供密碼、數(shù)字證書或者生物識別(例如拇指指紋)等方式來證明身份。該系統(tǒng)將與AAA(驗證/授權(quán)/計費)服務(wù)器進行比對,確認你就是自己所聲稱的那個人后才準(zhǔn)許進入。
很多人可能會說:哦,但是如果遭遇身份盜竊或者設(shè)備盜竊該如何處理?最近的新聞不是提到俄羅斯ElcomSoft公司采用Nvidia顯卡將無線密碼恢復(fù)的時間提高了100倍嗎?上面這些方式是否還不足以保證網(wǎng)絡(luò)的安全?
當(dāng)然,加密技術(shù)只是保證網(wǎng)絡(luò)安全的一個要素。當(dāng)ElcomSoft提及破解WPA或者WPA2時,它確實意味著通過“暴力”攻擊恢復(fù)WPA-PSK的密碼,這并不是新技術(shù)。不過你需要對比一下8位數(shù)(PSK要求至少8位)密碼,它有208,827,064,576種變化。在這種情況下,需要花至少345天來找出一個沒有任何規(guī)律可循的密碼。如果設(shè)置9位數(shù)密碼的話,你大概要尋找25年,而WPA-PSK最多可以設(shè)置有64個字符的密碼。
而一旦你驗證了該用戶,你如何為該用戶驗證其網(wǎng)絡(luò),以確保該網(wǎng)絡(luò)的真實性?無線系統(tǒng)將向你的設(shè)備出示其證書,以確認你正在登錄的網(wǎng)絡(luò)是真實有效的。
授權(quán)和配置
無線的另一個武器是授權(quán)證書。無線網(wǎng)絡(luò)的資源是被鎖定的,所以當(dāng)你在網(wǎng)絡(luò)上漫游的時候,每當(dāng)你從一個新接入點移動到一個新區(qū)域,它都將檢查確認你的訪問權(quán)限。
接入點還會記錄每一次行動,并實時將信息發(fā)送到服務(wù)器上,以盡量減少違反安全的行為。比如訪客是否獲得了他們不應(yīng)該訪問的內(nèi)容,并對安全規(guī)章的遵從情況進行審核跟蹤。
除了設(shè)備本身的安全以外,有線網(wǎng)絡(luò)關(guān)注所有物理層面的問題。比如筆記本電腦遺失的情況發(fā)生時,大多依賴所提供的證明材料就是說出名字,此外并不需要別的來證明身份。而這種把網(wǎng)絡(luò)安全寄托于辦公室前臺的行為十分危險,人們是可以越過安全防御的。如果使用無線網(wǎng)絡(luò),一旦你沒有相應(yīng)的證明網(wǎng)絡(luò)就會立即阻止你登入。
大多數(shù)解決方案很少或者不能管理訪客連上訪客網(wǎng)絡(luò)(如了解時間、地點以及訪客網(wǎng)絡(luò)是如何使用的),而并非所有的設(shè)備都支持802.11i安全協(xié)議,因此對企業(yè)網(wǎng)絡(luò)資源的訪問必須加以限制。
關(guān)鍵是決定采取什么安全設(shè)置,而不是依賴一個盒子來解決所有的問題。設(shè)計與規(guī)劃一個擁有適當(dāng)安全級別的適當(dāng)?shù)木W(wǎng)絡(luò)至關(guān)重要。堅持行業(yè)標(biāo)準(zhǔn)并且確保你的網(wǎng)絡(luò)能夠顯示審核跟蹤,無線就是最可靠和最安全的。通過正確安全配置無線局域網(wǎng),它比有線網(wǎng)絡(luò)更加安全。
小貼士:一些安全建議
應(yīng)當(dāng)關(guān)注用戶身份而不僅僅是一個密碼
企業(yè)無線局域網(wǎng)不應(yīng)該被配置成使用預(yù)共享密鑰(WPA或者WPA2 PSK)
盡量采用WPA2加密方式的企業(yè)無線網(wǎng)絡(luò),這個版本的產(chǎn)品其采用802.1x認證,AES進行加密以及AAA服務(wù)器來支持RADIUS
通過管理軟件,你將可以全天候?qū)崟r了解網(wǎng)絡(luò)上正在發(fā)生的事情
【編輯推薦】
