Skip to main content
开放网络的先行者与推动者—星融元
加入我们技术支持(Support)  TEL:(+86)4000989811

企业网络如何做好无线网接入安全控制?


2023-09-12

对于许多企业来说,Wi-Fi 已成为用户和终端的首选网络接入技术。与有线局域网相比,无线局域网具有许多优势,比如可靠灵活,还能降低拥有成本。无线局域网安装简单,可以移动,不受物理位置的限制,而且具有可扩展性。然而,这些优点也带来了一个非常明显的缺点:安全性。

Wi-Fi 的无边界特性,再加上一系列令人困惑的传统和现代身份验证、访问控制和加密技术,使 WLAN 的安全性问题成为企业网络运维团队普遍面临的重要挑战。

什么是 WLAN 安全?

WLAN 网络安全威胁可能导致数据被盗。为了防范这种风险,安全团队要建立机制,阻止通过无线介质读取传输或接收通信以及收集敏感信息(如个人信息、登录凭证或业务数据)的企图。

企业的IT团队可以使用多种方法保护 Wi-Fi 的安全通信。其中一些方法是在管理有线和无线通信的通用方法,比如企业级身份验证机制、通过MAC地址允许列表限制企业网络访问、基于网络和设备的防病毒和恶意软件服务,以及使用第三方 VPN。

什么是 WLAN 安全?

WLAN 网络安全威胁可能导致数据被盗。为了防范这种风险,安全团队要建立机制,阻止通过无线介质读取传输或接收通信以及收集敏感信息(如个人信息、登录凭证或业务数据)的企图。

企业的IT团队可以使用多种方法保护 Wi-Fi 的安全通信。其中一些方法是在管理有线和无线通信的通用方法,比如企业级身份验证机制、通过MAC地址允许列表限制企业网络访问、基于网络和设备的防病毒和恶意软件服务,以及使用第三方 VPN。

常见的WLAN威胁和漏洞

IP 和 MAC 欺骗

如果坏人成功连接到企业 WLAN,他们可以使用工具通过更改数据包头中的源 IP 地址或篡改允许列表设备的 MAC 地址来冒充或欺骗受信任的设备。反过来,接收设备可能会在不知情的情况下接受欺骗通信。DDoS 僵尸网络和中间人攻击是最常见的欺骗手段。

DNS 缓存欺骗/中毒

DNS 欺骗是指在 WLAN 上放置未经授权的设备,欺骗其他已连接客户端使用的 DNS 服务器。反过来,被欺骗的 DNS 服务器会将试图访问可信远程资源(如网站)的用户和设备重定向到恶意资源。

恶意接入点(AP)

当坏人部署了使用相同或外观相似的服务集标识符(SSID)的无线接入点时,就会出现这种情况。毫无戒备的用户连接到恶意设备,然后流量就会被捕获和监控,甚至被重定向到恶意目的地。这些非法接入点往往模仿公司 SSID,试图让公司设备连接到它,而不是合法接入点。

外部非法接入

当 WLAN 信号传播到公司围墙外的公共空间时,某些程序会自动搜索开放的或可利用的 WLAN,用于免费上网 不法分子可以利用这些来查找和窃取敏感的企业数据。

无线局域网安全最佳实践

企业应认真规划和执行统一的策略,以保护其 WLAN 免受数据丢失和未经授权的访问。虽然最终的安全选项取决于所需的保护级别和预算,但IT团队可以遵循一些重要的提示和技巧,比如明确谁需要访问什么以及何时访问?这里的对象包括集中办公人员以及远程办公人员。

按 SSID 区分 Wi-Fi 用户和设备

各部门和设备使用 WLAN 的方式各不相同。因此,团队不能使用相同的标准保护每台设备。例如,保护支持 WPA-Enterprise 的设备和只支持 WPA-Personal 的设备的一种方法是将传统设备逻辑地划分为单独的 SSID。分段后,团队就可以对安全性较低的端点实施访问策略。

访客 Wi-Fi。为只需要访问互联网的用户和设备设置一个单独的访客 Wi-Fi SSID。访问策略可以阻止这些设备与企业网络上的任何用户或设备通信,同时还能在网络边缘之外安全地传输互联网流量。

避免信号强度泄漏到不安全区域

安装在外墙附近的接入点应仔细设置其功率级别,以减少信号泄漏到附近的停车场或公共广场。这样做有助于防止外部无线干扰,减少未经授权的用户成功连接网络的机会。

恶意 AP 检测

大多数企业级 WLAN 平台都包含监控 802.11 无线频率范围的工具,以识别恶意 AP 或可能欺骗企业 SSID 的 AP。
802.1x 身份验证与 PSK。尽可能要求用户和设备使用 802.1x 而不是 PSK 进行身份验证。这减少了每年多次手动更改 PSK 的需要。它还能防止共享 PSK,因为共享 PSK 有可能导致黑客利用 Wi-Fi 未经授权访问企业网络。

网络局域网交换端口配置

在配置将无线接入点连接到企业局域网的交换端口时要考虑到安全性。将 AP 管理 IP 地址放在分段虚拟局域网上,只允许特定 VLAN 中继到 AP。使用静态或固定MAC 地址端口安全技术,防止有人拔下 AP 插头并将未经授权的设备连接到局域网。

新一代云化园区网络架构中的内生安全

结合新一代云化园区架构的内生安全特性,星融元云化园区网络可以提供多种接入终端安全管理能力,智能保障园区网络的安全性,为IT运维团队大大减少了花费在终端安全控制上的时间和人力成本。例如:交换机将主动跟踪任何接入终端与DHCP服务器之间的交互过程,并自动学习设备信息,非法终端产生的网络流量将在接入端口被直接丢弃,不再依赖手动配置安全策略。

云化园区网络可以提供多种接入终端安全管理能力

此外,星融元云化园区网络支持与多种主流安全认证系统的对接。

AAA(Authentication Authorization Accounting,认证/授权/计费)是目前主流的认证框架体系,由接入用户、接入设备、认证服务器三部分组成,接入用户是需要获取网络访问权限的实体,接入设备一般是交换机,负责验证用户身份和管理用户接入,认证服务器负责管理用户信息。AAA可以通过多种协议来实现。

在与接入用户交互阶段:星融元云化园区网络支持802.1x(有线终端)、MAC(哑终端)、Portal(无线终端)三种认证方式。

在与认证服务器交互阶段:星融元云化园区网络支持主流的RADIUS、TACACS+两种认证协议,支持认证/授权/计费功能。

实践应用中,星融元云化园区网络和知名的开源软件FreeRADIUS进行了全方位适配开发,也和ForeScout、ClearPass、ISE等主流商用认证系统成功对接。

也和主流商用认证系统成功对接。

更多有关企业园区网络的产品和方案信息,请参考:云化园区网络解决方案

星融元无线产品一览

对星融元产品感兴趣?

立即联系!

返回顶部

© 星融元数据技术(苏州)有限公司 苏ICP备17070048号-2