问:对于我们中小企业的无线网络来说,最佳的无线网络安全策略是什么呢? 答:在“中小企业最佳WiFi安全”这篇文章中Mike Chappel介绍了中小企业使用的WPA2-Personal (PSK)和WPA2-Enterprise (802.1X)。WPA2-Personal一般采用共享口令的方法来验证连接到同一WLAN的每一个用户,而WPA2-Enterprise通常是采用基于证书的验证方法,包括机器证书、Windows用户名/密码、SecurID令牌等。 正如Mike所介绍的那样,WPA2-Enterprise对中小企业来说有点困难,因为它需要一个RADIUS服务器链接到一个包含了用……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:对于我们中小企业的无线网络来说,最佳的无线网络安全策略是什么呢?
答:在“中小企业最佳WiFi安全”这篇文章中Mike Chappel介绍了中小企业使用的WPA2-Personal (PSK)和WPA2-Enterprise (802.1X)。WPA2-Personal一般采用共享口令的方法来验证连接到同一WLAN的每一个用户,而WPA2-Enterprise通常是采用基于证书的验证方法,包括机器证书、Windows用户名/密码、SecurID令牌等。
正如Mike所介绍的那样,WPA2-Enterprise对中小企业来说有点困难,因为它需要一个RADIUS服务器链接到一个包含了用户证书的账户数据库,每个Wi-Fi客户端都必须配置用户证书。为了使WPA2-Enterprise更加适用于中小企业,可以有两种实施方法,一种是AP或WLAN控制器与一个嵌入式RADIUS服务器,另一种是托管RADIUS服务(或基于云的RADIUS服务)。这两种方法对许多中小企业都非常适合,并且值得付出一些相关的努力或费用来得到一个强健的、粒状的WLAN安全。
然而,这两种方法都仍然需要配置Wi-Fi客户端(802.1X客户端)来识别并接受服务器的证书,以及响应那个RADIUS服务器所期望的可扩展的认证协议(EAP)类型。虽然这个配置并不是很复杂的事,但也不像口令那样简单。因为802.1X至少需要一个服务器认证,在那些GUI有限的设备(如智能手机或无线打印机)上进行配置会更难。最后我想说,802.1X问题对故障修复来说都是小问题。
那些认真考虑过但认为他们并不需要WPA2-Enterprise (802.1X)的中小企业应该知道使用WPA2-Personal(PSK)也有许多方法能使企业网络更好更安全的。对初学者来说,PSK安全主要依赖于你所选择的口令长度和强度。建议使用一个混合型的口令,至少有20个字符长,避免使用一些字典中能够找到的单词,并且用一个不太一样的SSID。为了测试你WPA2-Personal口令的强度,你可以通过运行一个在线WPA Cracker来试试。
尽管如此,即使是一个强壮的口令也仍然会很容易遭受共享密码风险,例如,那些不应该得到口令的人得到了口令,或者如果一个员工被解雇了,或笔记本电脑丢了,而不得不去修改口令。为了避免这些问题,可以考虑使用支持动态per-user口令的AP。802.11标准的不需要每个客户端都使用相同的PSK;一些供应商们已经对这一特点加以利用了,他们为每个用户分配了唯一的口令。Per-user口令可以阻止内部攻击(如解密其他用户的流量)。动态per-user口令是有时限的,所以来宾只是在一个限定的时间段内可以进行访问。也有一些措施可以帮助访问者或帮助台来进行注册以获取动态口令,这样就简化了口令的生成和分配。
作者
Lisa Phifer owns Core Competence Inc., a consultancy specializing in safe business use of emerging Internet technologies.
相关推荐
-
成功部署802.1X的六个诀窍
在网络中部署和支持802.1X认证协议是一个不小的挑战,本文有六个技巧可以帮助你节省一些时间和成本。
-
无线LAN访问控制:管理用户及其设备(下)
通过设备识别我们可以使得公司笔记本电脑和个人iPad连接到网络中所获得的访问权限不同,但是iPad如何配置才能访问公司的SSID?
-
Wi-Fi安全性(三):802.1x认证
802.1x提供了基于端口的访问控制机制。当用在EAP的结合部位时,它可以作为一个认证试图连接到特定LAN端口的设备的手段。
-
WEP和MAC地址过滤能否保护WLAN不受黑客攻击?
我们采用WEP加密技术和MAC地址过滤技术来保护网络安全。这样做能有效保护网络免受黑客攻击吗?我们还需要做哪些工作?TechTarget专家为您介绍详细安全方案。