安全意識專題 | 無線網路安全管理建議
保持網路安全至關重要。網路負責使用者、各部門、分支機構以及客戶之間的資料傳輸,可謂公司的命脈。若公司的網路處於不安全,也就無法保證公司的安全,置公司於危險境地。值得注意的是,如今幾乎每個公司都有某種型別的無線網路,部署和採用無線網路已是一種趨勢,而且這種趨勢在全球範圍內日益突出。
因此,很有必要將Wi-Fi 納入公司的IT 戰略,在公司的IT 政策檔案中作重點闡述。組織的IT 政策檔案有助於確保組織使用者知曉任何潛在安全風險以及如何保護自身和網路的安全。那麼,如何保持無線網路的安全性呢?本文圍繞這一重要問題介紹一些方法,幫助您時刻保持高度安全意識。
如何保持無線網路的安全性?
若未合理配置,無線網路可能會遭遇各種方式的入侵。為此,我們介紹一些常見威脅以及如何最大限度地緩解或預防這些威脅。要了解無線網路會給基礎設施帶來多大風險,關鍵是明確無線網路是如何融入網路的其他部分的。
非法訪問對於任何網路來說都是一個巨大威脅。若無線網路未鎖定,則可能會成為懷有以下惡意企圖之人的切入點。
- 未知無線區域網:有時,使用者或第三方承包商會在您的網路中安裝不安全的無線裝置,然後將其接入您的有線網路接入點。他們可能並無惡意,但在網路中安裝此等裝置無異於為出於好奇想要接入您網路的各方提供免費通行證。在計算機或手機上安裝Wi-Fi 嗅探器經常進行網路掃描是個不錯的辦法,因為這樣您可以檢測出那些在您不知情的情況下執行的無線網路。
- 偽裝和IP 欺騙:一旦入侵者獲取了網路訪問許可權,可能會模擬網路內部通訊,讓客戶和使用者誤認為發起通訊的來源是合法的。資訊及敏感資料失竊發生的可能性非常大,因此定期網路掃描以及細緻的流量檢測應納入每日、每週及每月系統檢查。
- 頻寬盜鏈:頻寬盜鏈可能是公司在毫不知情的情況下面臨的最常見問題之一。若無線客戶端的網際網路接入許可權不基於會話提供而且無線密碼從不更改,可能發生頻寬不當利用問題。若獲得您網站的訪問許可權,無線客戶端可隨時重返您的站點重新連線。若未部署內容過濾或資源管理工具處理此類連線,您的網路可能會在您不知情的情況下向非授權方提供網際網路接入許可權。MAC 過濾和頻寬分配等措施簡單易實現,可防止此類非授權接入為網路帶來安全威脅。
如何提升無線網路防禦?
您可實施以下級別的無線網路防護,降低安全入侵風險:
- 防火牆
- VLAN 隔離
- WLAN 集中管理工具
- 訪客會話許可權
1. 防火牆
網路中部署的防火牆可提供很多交叉功能,是一款可方便使用的關鍵工具。防火牆可限制和過濾線上內容,基於IP 地址和MAC 地址限制特定裝置和客戶端的訪問,或基於資料使用監控限制訪問許可權等。利用防火牆,您可對通過無線網路訪問網際網路和您網路資源的使用者進行有效管理。
2. 基於SSID 的VLAN 隔離
現今,大多數無線產品允許基於無線網路的服務集識別符號(SSID)和管理型交換機為網路的不同路徑分配不同的IP 地址範圍。也就是說,接入網路的無線客戶端可在不同IP地址範圍內隔離(若有必要)。例如,訪客可能需訪問網際網路,但無需訪問檔案共享或印表機等內部網路資源,而員工卻同時需要這兩種訪問許可權。在這種情況下,訪客接入訪客SSID,而員工接入公司SSID。這種基於SSID 的VLAN 隔離方法對於限制公司資源的未授權訪問來說非常有效。
3. WLAN 集中管理工具
組織往往並非總使用同一品牌的硬體。不過,我們通常建議組織採用同一廠商的無線接入點,以便利用一種專有軟體應用進行有效管理,讓網路管理員對無線客戶端、訊號強度以及其他大量資訊一目瞭然,無需對實時監控情況進行推測。因此,WLAN 集中管理工具對系統管理員來說是一種不可或缺的工具。
(1) 訪客會話接入
為確保對無線網路的完全控制,您可能希望向訪客分配動態Wi-Fi 許可權。為此,您可提供每日更新的訪問金鑰或配置配額系統,限制裝置的訪問時間或資料使用情況。這種模式尤其適用於機場或大學等對Wi-Fi 資源的訪問計費的場所。
(2) 評估無線網路的安全
要保障無線網路的安全,首先您要看一下當前部署了哪些安全措施,然後確定還需採取哪些措施,從而提供全方位防護。您可以從稽核無線硬體入手,確定無線接入點的結構、模式和數量,這有助於您規劃網路覆蓋範圍,查明建築物、倉庫或辦公室的哪些區域正在傳輸無線訊號。
接下來,確保您已制定了IT 政策,管理Wi-Fi 使用。該IT 政策應包含以下方面:
- 資產、感知風險和政策目標:明確需防護的網路資源及防護原因。
- 最佳實踐和安全措施:解釋安全戰略制定的理論依據及最佳實現方法。
- 可接受的使用和執行:闡述何謂無線網路的合理使用,說明哪些行為構成入侵,並明確違反政策的後果。
一旦形成檔案,您需確保組織內的每位員工認可檔案內容,將其納入公司入職學習資料,讓新員工一入職就瞭解IT 政策。
4. 保護網路免遭威脅
目前,預防上述威脅的最佳方法是提供使用者培訓,增強威脅意識。提升使用者的威脅防禦能力可使其在使用您的網路資源時做出更明智的決策。
跟大多數教育過程一樣,您需通過提供複訓、在公司範圍內開展安全意識活動、通過郵件、通知和通告等釋出安全提醒等形式持續推動安全意識提升。只有通過持續推動安全意識提升,幫助使用者保護好自己,才能保護您公司的網路和使用者。
IT 政策檔案應為IT 部門解決所有安全相關問題提供指導方針,而且組織與使用者通訊時也應以該檔案為指導準則。網路培訓和安全保障對於組織培養健康的安全意識文化起關鍵作用,可使組織長期受益。
【本文是51CTO專欄作者“綠盟科技部落格”的原創稿件,轉載請通過51CTO聯絡原作者獲取授權】
ofollow,noindex" target="_blank">戳這裡,看該作者更多好文