网络安全知识之保护企业无线网络

 [[442943]]

什么是企业网络安全?

企业网络安全是对连接企业内系统、大型机和设备(如智能手机和平板电脑)的网络的保护。公司、大学、政府和其他实体使用企业网络将其用户与信息和人员联系起来。随着网络规模和复杂性的增长，安全问题也随之增加。

企业无线网络面临哪些安全威胁?

无线网络(也称为 Wi-Fi)缺乏有线网络常见的强大安全工具，例如防火墙、入侵防御系统、内容过滤器以及防病毒和反恶意软件检测程序;Wi-Fi 网络还提供无线接入点，这些接入点很容易被渗透。由于它们可能缺乏与有线网络相同的保护，无线网络和设备容易受到旨在访问企业网络的各种攻击。

攻击者可以通过无线接入点访问组织的网络以进行恶意活动，包括数据包嗅探、创建恶意接入点、密码窃取和中间人攻击。这些攻击可能会阻碍网络连接、减慢进程，甚至会导致组织系统崩溃。

如何将企业 Wi-Fi 网络的风险降至最低?

网络安全协议已经发展到可以抵消不断演变的攻击。Wi-Fi 保护访问3 (WPA3) 包含 128 位高级加密标准 (AES)。2018 年 6 月，Wi-Fi 联盟开始认证支持 Wi-Fi Protected Access 3 (WPA3) 的设备，WPA3 取代了 WPA2。当 WPA3 设备可用时，用户应采用新标准。信息技术 (IT) 安全专业人员和网络管理员还应考虑这些额外的最佳实践，以帮助保护他们的企业Wi-Fi 网络：

• 在每个网络上部署无线入侵检测系统 (WIDS) 和无线入侵防御系统 (WIPS)。
• 通过根据开发人员服务包发布更新所有软件，确保现有设备没有已知漏洞。
• 安全地配置设备。
• 确保所有设备符合联邦信息处理标准 (FIPS) 140-3：加密模块的安全要求中的加密要求(这点，在国内遵循国密相关要求)。
• 确保符合最新的美国国家标准与技术研究所。
• 建立多因素身份验证 (MFA) 以访问网络。如果难以实现，请考虑除单个共享密码之外的其他安全身份验证方法，例如 Active Directory 服务身份验证或替代方法(例如，令牌)以在网络中创建 MFA。
• 使用可扩展身份验证协议-传输层安全基于证书的方法(或更好)来保护整个身份验证事务和通信。
• 使用计数器模式密码块链接消息身份验证代码协议，这是无线应用协议 2 (WAP) 企业网络谨慎使用的一种 AES 加密形式。如果可能，请在开发和批准时使用符合 FIPS 140-3 (国内，参照国密最新研究成果)的更复杂的加密技术。
• 实施与主网络分离的访客 Wi-Fi 网络。使用具有多个服务集标识符 (SSID) 的路由器或使用其他无线隔离功能，以确保访客网络流量或通过使用其他无线隔离功能无法访问组织信息。

有哪些额外的保护网络?

采用主动 WIDS/WIPS 使网络管理员能够通过监控、检测和减轻潜在风险来创建和实施无线安全。WIDS 和 WIPS 都会检测并自动断开未经授权的设备。WIDS 能够自动监控和检测任何未经授权的恶意接入点的存在，而 WIPS 则针对已识别的威胁部署对策。WIPS 缓解的一些常见威胁是恶意接入点、错误配置的接入点、客户端错误关联、未经授权的关联、中间人攻击、ad-hoc 网络、媒体访问控制欺骗、蜜罐/邪恶双胞胎攻击和拒绝-服务攻击。

以下列表包括保护 WIDS/WIPS 传感器网络的最佳实践。管理员应根据当地的考虑和适用的合规要求定制这些做法。

使用恶意检测流程功能。无论违规设备使用何种身份验证或加密技术(例如，网络地址转换、加密、软 WAP)，此功能都应检测通过恶意客户端或 WAP 的 Wi-Fi 访问。

• 将 WIDS/WIPS 传感器设置为
  • 检测连接到有线或无线网络的 802.11a/b/g/n/ac 设备;
  • 通过多个无线通道检测并阻止来自单个传感器设备的多个 WAP。
• 在每个子网和跨多个子网实施“无 Wi-Fi”策略。
• 在传感器和服务器之间提供最低限度的安全通信，并确定特定的最低允许 Kbps——系统应根据企业策略和治理提供客户端和 WAP 的自动分类。
• 提供可定制的自动化(事件触发)和计划报告。
• 基于企业需求的细分报告和管理。
• 通过生成事件日志和实时数据包捕获，并直接在分析员工作站上显示。
• 导入场地图纸以满足场地规划和位置跟踪要求。
• 在应用程序中手动创建具有自动缩放功能的简单建筑布局。
• 以电子方式将传感器和 WAP 放置在建筑地图上，以保持传感器放置和未来位置的准确记录。
• 至少有四个不同级别的权限，允许 WIPS 管理员将特定的视图和管理员权限委派给其他管理员。
• 满足所有适用标准，如政府相关文件及采购条例等。

参考来源：美国CISA官网