1. 常見(jiàn)無(wú)線網(wǎng)絡(luò)安全隱患匯總
在部署無(wú)線網(wǎng)絡(luò)時(shí)應(yīng)避免出現(xiàn)以下會(huì)導(dǎo)致安全隱患的明顯錯(cuò)誤:
*內(nèi)部無(wú)線接入點(diǎn)被部署在開(kāi)放位置;
*AP使用默認(rèn)的SSID;
*廣播SSID;
*只采用128位WEP加密技術(shù);
*關(guān)閉MAC地址過(guò)濾;
*AP管理登錄密碼過(guò)于簡(jiǎn)單;
*啟用低加密級(jí)別的PPTP VPN。
2. 無(wú)線安全改進(jìn)建議匯總
以下內(nèi)容可作為制定內(nèi)部安全條例或規(guī)定時(shí)的參照,也可直接用作無(wú)線安全規(guī)范執(zhí)行。
*通過(guò)安裝視頻監(jiān)控、來(lái)訪人員身份限定及登記、線纜定期排查等方式對(duì)機(jī)房進(jìn)行物理防護(hù);
*布置AP的時(shí)候要在公司辦公區(qū)域以外進(jìn)行檢查,防止AP的覆蓋范圍超出辦公區(qū)域(通過(guò)信號(hào)檢測(cè)評(píng)定),同時(shí)要讓保安人員在公司附近進(jìn)行巡查,防止外部人員在公司附近接入網(wǎng)絡(luò);
*禁止員工私自安裝AP,通過(guò)便攜設(shè)備配置無(wú)線網(wǎng)卡和無(wú)線掃描軟件可以隨機(jī)進(jìn)行抽查掃描;
*對(duì)AP和網(wǎng)卡設(shè)置無(wú)規(guī)律的SSID,禁止AP向外廣播其SSID;
*啟用MAC地址過(guò)濾,若需要漫游則根據(jù)具體情況來(lái)確定是否需要MAC綁定。
*修改默認(rèn)的AP密碼,將登錄密碼設(shè)置為10位以上,為保證密碼復(fù)雜度,在密碼里應(yīng)至少包含大寫字母、小寫字母、數(shù)字和特殊符號(hào)中的任意3種;
*啟用WPA或WPA2,徹底摒棄WEP加密,同時(shí)保持連接密碼強(qiáng)度和上條規(guī)定一樣;
*若條件允許,盡可能采用802.1X體系進(jìn)行控制,防止非授權(quán)的非法接入和訪問(wèn);
*對(duì)于涉密等級(jí)高的網(wǎng)絡(luò)采用IPSec VPN進(jìn)行連接;
*配置設(shè)備檢查非法進(jìn)入公司的2.4GHz電磁波發(fā)生器,防止被干擾或遭受DoS攻擊;
*根據(jù)需要部署無(wú)線IDS,及時(shí)發(fā)現(xiàn)并查找攻擊來(lái)源,提前設(shè)定專門的應(yīng)急響應(yīng)機(jī)制;
*跟蹤無(wú)線網(wǎng)絡(luò)技術(shù)的發(fā)展,特別是安全技術(shù),定期對(duì)網(wǎng)絡(luò)管理人員進(jìn)行安全知識(shí)培訓(xùn)。