无线安全：必需远离的9个Wi-Fi过错设置

无线收集能够给企业供给巨大的业务优势，比方，它能够确保员工跨多个装备甚至是建筑物停止衔接，并可提高员工的任务效率。但是，无线收集也可能给企业隐私带来良多看得见和看不见的危险。下面列出了9个常见无线收集安全隐患，希望企业能够多加注意。

随着BYOD在任务场所的一直发展，危险也随之增加。在管理企业的Wi-Fi收集时，管理员不仅须要存眷覆盖范围成绩和衔接中断成绩，还须要存眷安全和隐私性。这些危险似乎非常明显，但其实这往往被企业忽视。无线局域网的小漏洞都可能让攻打者乘虚而入。

现在有良多安全技巧可供企业抉择，在抉择安全技巧时，主要存眷的成绩是抉择灵活快速地任务还是严格的安全掩护。假如WiFi平台支撑准确的装备，并依据企业要求停止自定义设置，就能够实现灵活性与安全性。但是，企业还须要记住的是，攻打者在一直变强，单靠技巧可能无法供给最高的安全性。只有准确结合技巧和配套政策才能够确保安全和健康的WiFi环境。下面是安排和运行WLAN时企业应当防止的常见安全错误：

▲　过分依赖防火墙和防病毒软件

良多企业过分依靠收集防火墙和杀毒软件，而防止对收集安全额定投资的讨论，企业平日都是“我们不须要更多的安全技巧”的态度，这样很容易让企业受到攻打。防火墙和防病毒软件并不能解决企业WiFi收集中的常见漏洞，企业须要意识到他们的安全投资可能不会有直接作用，但这相当于保险。依据企业数字信息和IT基础设施的重要程度，企业必须停止额定的安全投资以确保安全性。

▲不斟酌WLAN安全特性

在购买WLAN装备时，企业平日会依据覆盖范围、上传/下载速度、装备数量或类型或许甚至墙壁和地板的类型来抉择装备。但是，WiFi装备有良多额定的安全功效集，包含QoS控制选项、对WPA/WPA2的支撑、WPS、端口过滤、IP包过滤、URL关键字过滤、MAC地点过滤和集成防火墙支撑。新一代装备中的良多安全功效能够让你不必投资于多个产品，并确保你从WiFI装备中获得最大的效益。

▲不合格的装备设置

在设置WLAN节点(路由器、接入点、网桥或客户端适配器)时，你必须评估装备加密。加密通信机制能够确保客户端系统的有效性，但这可能对收集机能产生负面影响。有线等效保密(WEP)机制于2003年被废弃，自那时起，WiFi掩护拜访(WPA)和WPA2开始成为新尺度。在不同设置中还有这些加密机制，包含预共享密钥(PSK)、临时密钥完整性协议(TKIP)或高级加密尺度(AES)，它们都支撑不同的密钥长度(64位、128位或许256位)。大型企业也可能会抉择WPA或WPA2的企业模式，这能够防止WLAN用户窃听对方的通信。

最先进的设置无疑会供给更好的安全性，但这往往是以牺牲机能为代价。当加密密钥很冗长，装备须要更多时光和资源来执行加密和解密，这会影响收集机能。加密设置还须要足够严格以确保安全性，同时也要容许收集可接受的机能水平。

提示：在设置/升级你的装备时，请记录和/或备份旧路由器的设置，比方端口转发、QoS优先级设置或许其他设置及暗码。假如没有这么做，稍后你可能须要花良多时光来设置装备。

▲访客无需暗码就能拜访

最糟糕的情形是，容许访客在没有任何暗码的情形下就能够衔接到WiFi收集。全部企业(包含商场、机场或连锁餐厅)应当应用某种基于PIN、时光限度或数据限度的拜访机制来跟踪访客用户。对于企业级WiFi收集，针对访客的暗码或PIN身份验证系统平日是最重要的安全安排。

▲无暗码无线收集

现在有良多攻打者在一直尝试窃听企业收集以及盗取数据，通过现代化的小工具和应用程序，他们能够轻松地入侵到大部分WiFi收集。即使是采用WPA或WPA2加密尺度的无线局域网都可能受到攻打者的暴力破解，攻打者能够用来窃取暗码或许劫持网站或效劳账户。对关键应用程序应用安全套接字层(SSL)和传输层安全(TSL)等加密能够掩护你阻止这种窃听企图，并限度拜访到共享文件夹和其他关键收集资源。

▲缺乏身份验证的额定措施

企业能够通过额定的身份验证来降低WLAN安全危险。在应用企业模式的WPA或WPA2时，为了停止802.1x身份验证，平日须要安装独立的远程身份验证拨入用户效劳(RADIUS)效劳器。对于这一点，现在有良多抉择。windows效劳器版本2008和更高版本供给收集政策效劳器(NPS)，这能够用来设置RADIUS效劳器。而对于其他操作系统，则须要第三方RADIUS效劳器。有些WLAN接入点还包含一个内置的RADIUS效劳器。

还有AnthenticateMyWiFi等托管效劳可用于供给额定的身份验证安全性。企业在做出任何投资之前应当斟酌全部选项。

▲完全依靠MAC地点过滤

MAC地点过滤是良多WLAN装备中的集成安全机制，它让管理员能够依据独特的MAC地点，定制容许或不容许衔接的计算机和客户端装备清单。这种机制供给基本的安全性，但不能作为独当一面的安全机制，因为MAC地点很容易被模拟。良多装备供给更改MAC地点的功效。假如攻打者知道你企业受权MAC地点的清单或许采购你收集受权的装备，他们就能够进入你的收集窃取带宽或执行恶意活动。

为了防止这种情形，应用加密与MAC过滤。加密可防止攻打者窃听企业收集，供给比只应用MAC过滤更强大的安全性。

▲不准确的SSID设置

准确设置效劳集标识符(SSID)可帮助减少危险因素。比方，良多WLAN装备容许管理员关闭SSID名称的广播，这能够将SSID从可见可用收集衔接清单中移除。这可帮助掩护收集免受未经受权用户的拜访。但是，精明的攻打者可能会找出隐藏的收集;须要采用上面讨论的组合方法。

另一个重要的SSID设置与SSID客户端数量有关。在windows 7和更高版本的windows操作系统中，你能够限度可衔接的SSID客户端装备数量。这能够帮助防止客户端衔接到不安全的公共WiFi收集，从而防止暴露装备和登录凭证到外部收集。

▲缺少暗码政策

除了安全安排和管理装备外，企业还须要确保安排适当的政策来运行WIFi环境。比方，当创建WiFi收集用户账户时，良多管理员喜欢为全部WiFi计算机和装备应用相同的暗码，这种方法往往会导致拜访成绩。为了限度特定用户或特定组拜访收集，管理员可能须要更改全部接入点和装备的暗码。为此，企业可利用用户的个人账户或数字证书来容许他们衔接到WiFi收集。同时，管理单个账户的权限平日可让企业更好地追踪用户。

企业在制定强大的安全政策时，应当斟酌让用户应用高强度暗码，包含字母、数字和特殊字符的组合，并在指定时光期限内暗码或过期。

【编辑推荐】

转载自:https://netsecurity.51cto.com/art/201509/490572.htm

声明: 除非转自他站（如有侵权，请联系处理）外，本文采用 BY-NC-SA 协议进行授权 | 智乐兔
转载请注明：转自《无线安全：必需远离的9个Wi-Fi过错设置》
本文地址：https://www.zhiletu.com/archives-4710.html
关注公众号：