網(wǎng)絡(luò)安全知識(shí)之保護(hù)企業(yè)無線網(wǎng)絡(luò)
什么是企業(yè)網(wǎng)絡(luò)安全?
企業(yè)網(wǎng)絡(luò)安全是對(duì)連接企業(yè)內(nèi)系統(tǒng)、大型機(jī)和設(shè)備(如智能手機(jī)和平板電腦)的網(wǎng)絡(luò)的保護(hù)。公司、大學(xué)、政府和其他實(shí)體使用企業(yè)網(wǎng)絡(luò)將其用戶與信息和人員聯(lián)系起來。隨著網(wǎng)絡(luò)規(guī)模和復(fù)雜性的增長(zhǎng),安全問題也隨之增加。
企業(yè)無線網(wǎng)絡(luò)面臨哪些安全威脅?
無線網(wǎng)絡(luò)(也稱為 Wi-Fi)缺乏有線網(wǎng)絡(luò)常見的強(qiáng)大安全工具,例如防火墻、入侵防御系統(tǒng)、內(nèi)容過濾器以及防病毒和反惡意軟件檢測(cè)程序;Wi-Fi 網(wǎng)絡(luò)還提供無線接入點(diǎn),這些接入點(diǎn)很容易被滲透。由于它們可能缺乏與有線網(wǎng)絡(luò)相同的保護(hù),無線網(wǎng)絡(luò)和設(shè)備容易受到旨在訪問企業(yè)網(wǎng)絡(luò)的各種攻擊。
攻擊者可以通過無線接入點(diǎn)訪問組織的網(wǎng)絡(luò)以進(jìn)行惡意活動(dòng),包括數(shù)據(jù)包嗅探、創(chuàng)建惡意接入點(diǎn)、密碼竊取和中間人攻擊。這些攻擊可能會(huì)阻礙網(wǎng)絡(luò)連接、減慢進(jìn)程,甚至?xí)?dǎo)致組織系統(tǒng)崩潰。
如何將企業(yè) Wi-Fi 網(wǎng)絡(luò)的風(fēng)險(xiǎn)降至最低?
網(wǎng)絡(luò)安全協(xié)議已經(jīng)發(fā)展到可以抵消不斷演變的攻擊。Wi-Fi 保護(hù)訪問3 (WPA3) 包含 128 位高級(jí)加密標(biāo)準(zhǔn) (AES)。2018 年 6 月,Wi-Fi 聯(lián)盟開始認(rèn)證支持 Wi-Fi Protected Access 3 (WPA3) 的設(shè)備,WPA3 取代了 WPA2。當(dāng) WPA3 設(shè)備可用時(shí),用戶應(yīng)采用新標(biāo)準(zhǔn)。信息技術(shù) (IT) 安全專業(yè)人員和網(wǎng)絡(luò)管理員還應(yīng)考慮這些額外的最佳實(shí)踐,以幫助保護(hù)他們的企業(yè)Wi-Fi 網(wǎng)絡(luò):
- 在每個(gè)網(wǎng)絡(luò)上部署無線入侵檢測(cè)系統(tǒng) (WIDS) 和無線入侵防御系統(tǒng) (WIPS)。
- 通過根據(jù)開發(fā)人員服務(wù)包發(fā)布更新所有軟件,確保現(xiàn)有設(shè)備沒有已知漏洞。
- 安全地配置設(shè)備。
- 確保所有設(shè)備符合聯(lián)邦信息處理標(biāo)準(zhǔn) (FIPS) 140-3:加密模塊的安全要求中的加密要求(這點(diǎn),在國內(nèi)遵循國密相關(guān)要求)。
- 確保符合最新的美國國家標(biāo)準(zhǔn)與技術(shù)研究所。
- 建立多因素身份驗(yàn)證 (MFA) 以訪問網(wǎng)絡(luò)。如果難以實(shí)現(xiàn),請(qǐng)考慮除單個(gè)共享密碼之外的其他安全身份驗(yàn)證方法,例如 Active Directory 服務(wù)身份驗(yàn)證或替代方法(例如,令牌)以在網(wǎng)絡(luò)中創(chuàng)建 MFA。
- 使用可擴(kuò)展身份驗(yàn)證協(xié)議-傳輸層安全基于證書的方法(或更好)來保護(hù)整個(gè)身份驗(yàn)證事務(wù)和通信。
- 使用計(jì)數(shù)器模式密碼塊鏈接消息身份驗(yàn)證代碼協(xié)議,這是無線應(yīng)用協(xié)議 2 (WAP) 企業(yè)網(wǎng)絡(luò)謹(jǐn)慎使用的一種 AES 加密形式。如果可能,請(qǐng)?jiān)陂_發(fā)和批準(zhǔn)時(shí)使用符合 FIPS 140-3 (國內(nèi),參照國密最新研究成果)的更復(fù)雜的加密技術(shù)。
- 實(shí)施與主網(wǎng)絡(luò)分離的訪客 Wi-Fi 網(wǎng)絡(luò)。使用具有多個(gè)服務(wù)集標(biāo)識(shí)符 (SSID) 的路由器或使用其他無線隔離功能,以確保訪客網(wǎng)絡(luò)流量或通過使用其他無線隔離功能無法訪問組織信息。
有哪些額外的保護(hù)網(wǎng)絡(luò)?
采用主動(dòng) WIDS/WIPS 使網(wǎng)絡(luò)管理員能夠通過監(jiān)控、檢測(cè)和減輕潛在風(fēng)險(xiǎn)來創(chuàng)建和實(shí)施無線安全。WIDS 和 WIPS 都會(huì)檢測(cè)并自動(dòng)斷開未經(jīng)授權(quán)的設(shè)備。WIDS 能夠自動(dòng)監(jiān)控和檢測(cè)任何未經(jīng)授權(quán)的惡意接入點(diǎn)的存在,而 WIPS 則針對(duì)已識(shí)別的威脅部署對(duì)策。WIPS 緩解的一些常見威脅是惡意接入點(diǎn)、錯(cuò)誤配置的接入點(diǎn)、客戶端錯(cuò)誤關(guān)聯(lián)、未經(jīng)授權(quán)的關(guān)聯(lián)、中間人攻擊、ad-hoc 網(wǎng)絡(luò)、媒體訪問控制欺騙、蜜罐/邪惡雙胞胎攻擊和拒絕-服務(wù)攻擊。
以下列表包括保護(hù) WIDS/WIPS 傳感器網(wǎng)絡(luò)的最佳實(shí)踐。管理員應(yīng)根據(jù)當(dāng)?shù)氐目紤]和適用的合規(guī)要求定制這些做法。
使用惡意檢測(cè)流程功能。無論違規(guī)設(shè)備使用何種身份驗(yàn)證或加密技術(shù)(例如,網(wǎng)絡(luò)地址轉(zhuǎn)換、加密、軟 WAP),此功能都應(yīng)檢測(cè)通過惡意客戶端或 WAP 的 Wi-Fi 訪問。
- 將 WIDS/WIPS 傳感器設(shè)置為
- 檢測(cè)連接到有線或無線網(wǎng)絡(luò)的 802.11a/b/g/n/ac 設(shè)備;
- 通過多個(gè)無線通道檢測(cè)并阻止來自單個(gè)傳感器設(shè)備的多個(gè) WAP。
- 在每個(gè)子網(wǎng)和跨多個(gè)子網(wǎng)實(shí)施“無 Wi-Fi”策略。
- 在傳感器和服務(wù)器之間提供最低限度的安全通信,并確定特定的最低允許 Kbps——系統(tǒng)應(yīng)根據(jù)企業(yè)策略和治理提供客戶端和 WAP 的自動(dòng)分類。
- 提供可定制的自動(dòng)化(事件觸發(fā))和計(jì)劃報(bào)告。
- 基于企業(yè)需求的細(xì)分報(bào)告和管理。
- 通過生成事件日志和實(shí)時(shí)數(shù)據(jù)包捕獲,并直接在分析員工作站上顯示。
- 導(dǎo)入場(chǎng)地圖紙以滿足場(chǎng)地規(guī)劃和位置跟蹤要求。
- 在應(yīng)用程序中手動(dòng)創(chuàng)建具有自動(dòng)縮放功能的簡(jiǎn)單建筑布局。
- 以電子方式將傳感器和 WAP 放置在建筑地圖上,以保持傳感器放置和未來位置的準(zhǔn)確記錄。
- 至少有四個(gè)不同級(jí)別的權(quán)限,允許 WIPS 管理員將特定的視圖和管理員權(quán)限委派給其他管理員。
- 滿足所有適用標(biāo)準(zhǔn),如政府相關(guān)文件及采購條例等。
參考來源:美國CISA官網(wǎng)
