51

保护企业免受使用公司WiFi进行未经授权访问的最佳做法

 6 years ago
source link: https://www.freebuf.com/articles/network/192231.html?amp%3Butm_medium=referral
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

前言

如果你想保护企业的关键数据,那么企业环境下的WiFi网络安全绝对是你不能忽略的威胁因素。

3UBfqiV.jpg!web

其实很多企业根本就不在意这个方面,但我们认为这是最基本的风险评估,因为如果你的威胁模型里出现了一名意愿和技术均足够强大的攻击者,那么你公司的WiFi网络将“毫无”安全可言。

为了保护企业WiFi,你要做的事情有很多。再加上新型的KRACK攻击正在肆虐,这些威胁严重程度就变得更加恐怖了。因此,我们认为保护企业WiFi安全势在必行,接下来让我们一起看一看到底该如何去做。

最大程度的控制

毫无疑问,保护企业WiFi安全的最佳方法就是对整个无线网络系统进行拆分和隔离。

1、 在企业WiFi网络内的任何设备在使用之前都应该更新到最新版本的固件。

2、 要完全对企业环境下员工使用WiFi设备的网络区域进行完全性的物理和逻辑分隔,使用不同的ISP,不同网络之间不要相互连接。

3、 除了上述两点之外,还要结合移动设备的VPN策略。

4、 修复访问点安全缺陷,针对类似KRACK这样的威胁部署防御策略。

5、 使用安全性最高的密码套件,确保只使用TLS 1.2。

其他优秀的控制策略

除了上述几点必要的控制措施之外,我们在这里还给大家推荐了下面一些可以参考使用的控制策略。可能大家无法完全实现这里列举出的所有方案,但是我们建议大家尽可能地去实现它们。

eUZ3iq2.jpg!web

1、 MAC地址白名单。

2、 WiFi和其他网络环境下的VLAN隔离,限制WiFi Vlan的可访问资源。

3、 移除或禁用无线接入点的WPS功能,购买和使用企业级无线网络设备。

4、 使用支持企业级WPA2(802.1x)的设备,对WiFi网络进行VLAN隔离,为每一个隔离网络设置防火墙规则以及其他的控制策略。

5、 对于不同的Vlan,确保屏蔽了点到点的通信,这样一来所有接入了访问点的设备都需要通过AP来进行通信,这样便于实现网络的监控。

6、 隐藏SSID,通过不可见性实现安全保护。

7、 保护接入点的物理访问状态,不要将WPA2密码贴在墙上。

8、 确保WiFi信号不会离开受保护区域,测试并控制WiFi信号强度。

9、 为临时访客设置不同的WiFi SSID和访问权限;

10、修改/禁用无线接入点的管理员默认凭证;

11、定期进行流氓WiFi接入点扫描;

12、部署入侵防护系统以及入侵检测系统,实时监控WLAN系统。识别企业WiFi所有使用到的内部接口,并部署访问控制策略。

13、使用企业级WiFi网关以及外部防火墙;

相关安全协议及服务

1、 IPSec(Internet ProtocalSecurity)和VPN(Virtual Private Network)都可以用来保护WiFi网络的安全;

2、 使用TLS(Transport Layer Security)

3、 在WiFi认证系统上实现远程用户拨号认证服务(RADIUS):

4、 扩展认证协议(EAP)结合TLS(EAP-TLS);

5、 关闭所有的无线管理功能;

nQVrqaq.jpg!web

其它

1、 定期分析和审计所有的无线控制日志;

2、 防火墙配置:对于企业网络环境来说,这是非常重要的一点。在防火墙的保护下,安全性会显著提升。

隐私保护控制

1、 在所有设备上使用MAC地址随机化即可实现隐私保护控制。

* 参考来源: peerlyst ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM


report

Recommend

  • 62
    • developers.googleblog.cn 7 years ago
    • Cache

    保护用户免受扩展程序加密劫持

    发布人:扩展程序平台产品经理 James Wagner 随着扩展程序生态系统的不断发展,我们将继续专注于帮助开发者打造创新型体验,同时尽可能保证用户的安全。在过去几个月中,恶意扩展程序数量大幅增加,这些程序看似提供了有用的功能,但它们实际上嵌入了隐藏的加...

  • 12
    • www.d1net.com 3 years ago
    • Cache

    如何保护远程工作者免受网络攻击?

    如何保护远程工作者免受网络攻击? 责任编辑:cres 作者:HERO编译 |  2021-05-21 14:36:13 原创文章 企业网D1Net 在全球各地发生冠状病毒疫情期间,很多企业的员工在家远程工作,远程工作的生态系统...

  • 4
    • www.d1net.com 3 years ago
    • Cache

    如何保护任务关键型数据中心免受可避免的停机?

    如何保护任务关键型数据中心免受可避免的停机? 责任编辑:cres 作者:Hadi Beik Daraei |  2021-09-01 13:26:55 原创文章 企业网D1Net 雷击事件一直是数据中心行业长期以来关注的问题。为了帮...

  • 5
    • junshi.gmw.cn 3 years ago
    • Cache

    “奥丁”系统如何保护军舰免受无人机威胁?

    “奥丁”系统如何保护军舰免受无人机威胁? 来源:科普中国-军事科技前沿2021-08-30 11:34 ...

  • 1
    • www.d1net.com 3 years ago
    • Cache

    如何保护企业网络免受间谍软件的侵害

    如何保护企业网络免受间谍软件的侵害 责任编辑:cres 作者:Trevor Collins |  2021-10-15 14:28:19 原创文章 企业网D1Net 在过去,网络管理员很容易识别企业的网络边界在哪里,其边界通常是外...

  • 8
    • www.cnblogs.com 3 years ago
    • Cache

    保护ASP.NET 应用免受 CSRF 攻击

    保护ASP.NET 应用免受 CSRF 攻击 CSRF是什么?   CSRF(Cross...

  • 8
    • os.51cto.com 3 years ago
    • Cache

    如何优化 SSH 体验并保护服务器免受未经授权的访问

    SSH(Secure Shell)是一种协议,使您能够创建经过验证的私有连接,使用加密密钥保护通道,以便在另一...

  • 3
    • www.51cto.com 2 years ago
    • Cache

    保护企业免受网络钓鱼攻击的五个关键步骤

    保护企业免受网络钓鱼攻击的五个关键步骤 作者:Chris Watkins 2022-08-23 14:53:53 安全 本文介绍了企业如何使用技术措施以及报告...

  • 5
    • www.51cto.com 2 years ago
    • Cache

    使用 CEPH S3 保护数据免受勒索软件的侵害

    使用 CEPH S3 保护数据免受勒索软件的侵害 作者:祝祥 2022-08-30 08:00:43 勒索软件攻击 会让组织损失数百万美元,需要数百小时来重建设备和复原攻击期间被破坏的数据。通常,组织从 受感染的机器 收到勒索信,...

  • 8
    • www.51cto.com 2 years ago
    • Cache

    首席信息官如何保护企业免受云中断的影响

    首席信息官如何保护企业免受云中断的影响 作者:Prangya Pandab 2022-11-14 13:46:24 云计算 云中断有各种各样的根本原因,它们可能造成严...

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK