无线网络安全的最佳做法(下)(通用5篇)由网友“玥见”投稿提供,下面小编给大家整理过的无线网络安全的最佳做法(下),供大家阅读参考。
篇1:无线网络安全的最佳做法(下)
金融服务提供商受到为数众多的客户资料安全保障规则的制约,像GLBA法案(Gramm-Leach-Bliley Act),涉及面广而且比较抽象,但它要求对所有类型的网络必须进行风险鉴定和评估,实现安全措施并对其进行监控,这其中就包括无线网。其他一些规定如著名的支付卡行业数据安全标准(PCI DSS),明确包含了在WLAN范围内必须执行的标准,例如检测异常操作,对无线传输的数据进行安全加密。
虽然每种规则的具体情况不同,但金融服务机构通过采取以下的无线网安全最佳做法可以建立一个被全行业遵守的规则基础,继无线网络安全的最佳做法(上)之后,本文介绍了后五种最佳做法:
6.限制访问
无线网打开了一个外人可以入侵的窗口,要想避免出现这种情况除非你能对其进行控制。选择并实施一个强有力的WLAN身份验证措施,最好选择有相互身份验证的WPA2企业标准 (802.1X)。如果你所在的组织缺乏这方面的技能、基础设施或对802.1X的客户端支持,你还可以使用WPA2个人标准(PSK),但请至少使用含有13个字符长度并定期更改的随机密码。永远不要依靠MAC地址过滤器作为你唯一的访问控制措施。如果你的WLAN提供guest级的互联网访问权限,请限制它所能访问的内容,并对那部分网络通信做日志,从而减少对公司业务造成的风险。
7.无线监测
虽然许多规则强烈建议采用全天候分布式无线入侵检测或防御系统(WIDS/WIPS),但也允许在那些处理受控数据的站点上进行周期性的扫描。前者效率更高,效果也更加明显,特别适用于大规模的无线局域网。无论选择哪种方式,你都需要知道你监测的对象不仅仅是无线接入点欺诈,还包括未经授权的客户、配置错误的设备、意义不明确的安全策略、安全侦查、攻击通信流量,以及彼此相连或连到外部WLAN的异常客户端,
8.做好准备
监测只是某种手段,你需要安装一个WLAN事件响应程序。例如,你如何暂时屏蔽掉异常的AP?您如何找它,并从物理上移除它?你需要审查所有的扫描结果、无线入侵检测或入侵防御系统的警报和流量日志,从而及时评估潜在的威胁。实际上,利用自动化的工具(如无线入侵检测或入侵防御系统)对网络连接进行跟踪和隔离,可以实时地制止入侵。请确保监测工具能够收集充足数据,使得事件响应和取证调查更加精确。
9.保护终端
一台被盗的销售点终端或一台被黑了的笔记本电脑可以轻易获得授权并使用加密的连接,由此侵入具有严密保护措施的无线网络。这时,你可以采用远程访问安全的最佳做法,使得无线终端相互隔绝,阻止丢失和被盗的移动设备对无线网络进行未授权的访问。如果您的组织实施了网络访问控制(NAC),那么你可以对无线连接设备的完整性进行检查,并使用主机入侵检测或防御手段阻止终端的异常行为(如,同时对有线网络和无线网络进行连接)。
10.评估和改进
永远不要认为安全措施会像预期那样,你的安全审计人员就不会这么认为。你需要对无线连接的网络和设备进行渗透测试,它会有意触发WIDS/WIPS警报,捕获通无线信流量并对其进行分析。你可以尝试着从不同的位置去连接未经授权的设备和用户,记录下会发生的情况,然后通过对已发现的漏洞打上补丁来提高安全标准。你需要定时或不定时进行安全评估,以找到并修复新发现的漏洞,比如你可以通过对接入点、控制器或客户端打上安全补丁,阻止新型的 攻击。
综上所述,如果金融企业肯花时间评估无线安全威胁、管理访问权限、保障传输安全、对无线数据进行强有力的安全加密以及采取其他一些重要措施,其自身的安全性甚至可以超过审计人员的预期。
篇2:无线网络安全的最佳做法
金融服务提供商受到为数众多的客户资料安全保障规则的制约,像GLBA法案(Gramm-Leach-Bliley Act),涉及面广而且比较抽象,但它要求对所有类型的网络必须进行风险鉴定和评估,实现安全措施并对其进行监控,这其中就包括无线网。其他一些规定如著名的支付卡行业数据安全标准(PCI DSS),明确包含了在WLAN范围内必须执行的标准,例如检测异常操作,对无线传输的数据进行安全加密。虽然每种规则的具体情况不同,但金融服务机构通过采取以下的无线网安全最佳做法可以建立一个被全行业遵守的规则基础:
1.了解你的敌人
要可靠保障无线网络的安全,你必须了解你所面临的威胁。例如,PCI DSS要求每一个处理持卡人数据的组织必须对未授权的无线接入点(AP)所造成的威胁进行评估,包括那些没有WLAN的公司。你需要从审核无线网络安全威胁着手,找出你业务中可能会遇到的威胁,并且评估敏感数据(比如个人财务信息,持卡人信息)所面临的风险。
2.了解你自己
许多用于减少无线网络安全威胁的保障措施是否有成效,取决于是否准确理解了网络的拓扑结构(包括有线和无线),和识别已验证设备的能力。为了制定WLAN安全审核和执行的标准,你必须维护那些已被认可的接入点和客户的清单、它们的用户及其地址,以及各自预期实施的安全措施。
3.减少暴露
当WLAN的使用已被授权且数据流量通过一个敏感的网段时,一些规则如PCI DSS将会全力保证用户的安全。你可以通过对流量进行分割以减少暴露来降低风险。具体来说,就是使用防火墙对数据包进行检查,以防止数据包进入到不需相应权限即可访问的网段中,并实现时序同步的日志功能以记录那些被允许和被阻止的无线通信流量。作为一项规则,那些需要无线访问权限的网段需被看作是“隔离区”(DMZ) :默认和否认一切,只允许必要的服务和特殊目的的流量通过。
4. 堵住漏洞
使用传统的网络安全最佳做法,可以对所有暴露在无线网络中的基础设施(如接入点、控制器、DNS / DHCP服务器)的安全性进行强化。例如,更改出厂默认值、设置强度很高的管理员密码、关闭不使用的服务、应用补丁和对系统进行渗透测试。在这一步中,你需要解决无线传输特有的漏洞问题,比如说你需要选择非默认的网络名称(SSID)以防止意外的入侵,并通过动态频率选择(dynamic frequency selection)来规避射频干扰。同时,你还可以采取措施,防止公众场合的接入点受到物理干扰(例如,移除电缆,重置为默认设置)。
5.确保传输安全
目前的接入点都支持WPA2 (AES-CCMP)空中(over-the-air)加密,你需要尽可能多地使用它,
如果传统的客户端要求的是WPA(TKIP/MIC)标注,请谨慎使用该密码,最好是在同其他用户隔离开的无线局域网(SSID)条件下使用。请避免WEP加密,因为更新的安全规定将不再允许使用这一冗长零碎的加密协议。此外,使用高层加密(例如,SSLv3/TLS,IPSec)可以有选择地对敏感应用程序流和交易进行保护,同时也请不要忘了对所包含的服务器和网关的安全性进行加强。
6.限制访问
无线网打开了一个外人可以入侵的窗口,要想避免出现这种情况除非你能对其进行控制。选择并实施一个强有力的WLAN身份验证措施,最好选择有相互身份验证的WPA2企业标准 (802.1X)。如果你所在的组织缺乏这方面的技能、基础设施或对802.1X的客户端支持,你还可以使用WPA2个人标准(PSK),但请至少使用含有13个字符长度并定期更改的随机密码。永远不要依靠MAC地址过滤器作为你唯一的访问控制措施。如果你的WLAN提供guest级的互联网访问权限,请限制它所能访问的内容,并对那部分网络通信做日志,从而减少对公司业务造成的风险。
7.无线监测
虽然许多规则强烈建议采用全天候分布式无线入侵检测或防御系统(WIDS/WIPS),但也允许在那些处理受控数据的站点上进行周期性的扫描。前者效率更高,效果也更加明显,特别适用于大规模的无线局域网。无论选择哪种方式,你都需要知道你监测的对象不仅仅是无线接入点欺诈,还包括未经授权的客户、配置错误的设备、意义不明确的安全策略、安全侦查、攻击通信流量,以及彼此相连或连到外部WLAN的异常客户端。
8.做好准备
监测只是某种手段,你需要安装一个WLAN事件响应程序。例如,你如何暂时屏蔽掉异常的AP?您如何找它,并从物理上移除它?你需要审查所有的扫描结果、无线入侵检测或入侵防御系统的警报和流量日志,从而及时评估潜在的威胁。实际上,利用自动化的工具(如无线入侵检测或入侵防御系统)对网络连接进行跟踪和隔离,可以实时地制止入侵。请确保监测工具能够收集充足数据,使得事件响应和取证调查更加精确。
9.保护终端
一台被盗的销售点终端或一台被黑了的笔记本电脑可以轻易获得授权并使用加密的连接,由此侵入具有严密保护措施的无线网络。这时,你可以采用远程访问安全的最佳做法,使得无线终端相互隔绝,阻止丢失和被盗的移动设备对无线网络进行未授权的访问。如果您的组织实施了网络访问控制(NAC),那么你可以对无线连接设备的完整性进行检查,并使用主机入侵检测或防御手段阻止终端的异常行为(如,同时对有线网络和无线网络进行连接)。
10.评估和改进
永远不要认为安全措施会像预期那样,你的安全审计人员就不会这么认为。你需要对无线连接的网络和设备进行渗透测试,它会有意触发 WIDS/WIPS警报,捕获通无线信流量并对其进行分析。你可以尝试着从不同的位置去连接未经授权的设备和用户,记录下会发生的情况,然后通过对已发现的漏洞打上补丁来提高安全标准。你需要定时或不定时进行安全评估,以找到并修复新发现的漏洞,比如你可以通过对接入点、控制器或客户端打上安全补丁,阻止新型的 攻击。
篇3:无线网络安全的最佳做法(上)
金融服务提供商受到为数众多的客户资料安全保障规则的制约,像GLBA法案(Gramm-Leach-Bliley Act),涉及面广而且比较抽象,但它要求对所有类型的网络必须进行风险鉴定和评估,实现安全措施并对其进行监控,这其中就包括无线网。其他一些规定如著名的支付卡行业数据安全标准(PCI DSS),明确包含了在WLAN范围内必须执行的标准,例如检测异常操作,对无线传输的数据进行安全加密。虽然每种规则的具体情况不同,但金融服务机构通过采取以下的无线网安全最佳做法可以建立一个被全行业遵守的规则基础:
1.了解你的敌人
要可靠保障无线网络的安全,你必须了解你所面临的威胁。例如,PCI DSS要求每一个处理持卡人数据的组织必须对未授权的无线接入点(AP)所造成的威胁进行评估,包括那些没有WLAN的公司。你需要从审核无线网络安全威胁着手,找出你业务中可能会遇到的威胁,并且评估敏感数据(比如个人财务信息,持卡人信息)所面临的风险。
2.了解你自己
许多用于减少无线网络安全威胁的保障措施是否有成效,取决于是否准确理解了网络的拓扑结构(包括有线和无线),和识别已验证设备的能力。为了制定WLAN安全审核和执行的标准,你必须维护那些已被认可的接入点和客户的清单、它们的用户及其地址,以及各自预期实施的安全措施。
3.减少暴露
当WLAN的使用已被授权且数据流量通过一个敏感的网段时,一些规则如PCI DSS将会全力保证用户的安全,
你可以通过对流量进行分割以减少暴露来降低风险。具体来说,就是使用防火墙对数据包进行检查,以防止数据包进入到不需相应权限即可访问的网段中,并实现时序同步的日志功能以记录那些被允许和被阻止的无线通信流量。作为一项规则,那些需要无线访问权限的网段需被看作是“隔离区”(DMZ) :默认和否认一切,只允许必要的服务和特殊目的的流量通过。
4. 堵住漏洞
使用传统的网络安全最佳做法,可以对所有暴露在无线网络中的基础设施(如接入点、控制器、DNS / DHCP服务器)的安全性进行强化。例如,更改出厂默认值、设置强度很高的管理员密码、关闭不使用的服务、应用补丁和对系统进行渗透测试。在这一步中,你需要解决无线传输特有的漏洞问题,比如说你需要选择非默认的网络名称(SSID)以防止意外的入侵,并通过动态频率选择(dynamic frequency selection)来规避射频干扰。同时,你还可以采取措施,防止公众场合的接入点受到物理干扰(例如,移除电缆,重置为默认设置)。
5.确保传输安全
目前的接入点都支持WPA2 (AES-CCMP)空中(over-the-air)加密,你需要尽可能多地使用它。如果传统的客户端要求的是WPA(TKIP/MIC)标注,请谨慎使用该密码,最好是在同其他用户隔离开的无线局域网(SSID)条件下使用。请避免WEP加密,因为更新的安全规定将不再允许使用这一冗长零碎的加密协议。此外,使用高层加密(例如,SSLv3/TLS,IPSec)可以有选择地对敏感应用程序流和交易进行保护,同时也请不要忘了对所包含的服务器和网关的安全性进行加强。
篇4:无线网络安全
提示:在建造无线网络时,保障企业网络安全比其他任何时候都要重要,以下给出了五种必须避免的情况,由此保证网络安全。保护无线网络安全首先需要采取与保护传统网络相同的安全措施,然后才是其他的一些特别措施。在非无线网络领域中需要考虑的问题,在面对无线网络和设备时同样需要你加以考虑:足够强度的加密,妥善保存证书,以及保证操作安全。
相对于有线网络,无线网络安全并不是另一种网络安全,而是更为全面可靠的网络安全。
以下给出了在安全方面最为常见的疏忽以及如何避免的方法:
1、不要破坏自己的防火墙
几乎可以肯定无论对于有线还是无线网络,你都已经安装了防火墙,这绝对是正确的。然而,如果你没有将无线系统接入点放置在防火墙之外,则防火墙的配置无济于事。应当确保不会出现这样的情况,否则你不仅不能为网络创建一道必要的屏障,相反还从已有的防火墙上打开了一条便利的通道。
2、不要小看介质访问控制
介质访问控制(Media Access Control 即MAC)常常被忽略,原因是它并不能防止欺骗行为。但对于整个保护系统的壁垒来说,它无疑是一块重要的砖。从本质上它是另一种地址过滤器,并且能够阻止潜在的 的入侵行动。它所做的是根据你所确定的基于地址的访问控制列表来限制对特定设备的网络访问。
MAC同样提供了针对潜在入侵者来调整访问控制列表的能力。它的原理和入侵者在被拒之门外之前必须被先敲门一样。
如果已经有了MAC,入侵者一定会在进入系统之前一头撞在上面,然后只能卷土重来试图穿过它。现在你的网络就已经可以知道入侵者的模样了。所以你的MAC列表中包括了三类访问者:首先,存在于访问者列表中的友好访问者;其次,没有在列表中的访问者以及无意中进入的访问者;第三,没有在列表中但是可以确信之前曾经不请自来并试图闯入的访问者。如果他们还将试图闯入,现在就可以立即确定了。
简而言之,如果在你检测无线网络并且发现未在MAC列表上的访问者多次尝试发起访问的时候,你已经受到潜在攻击者的窥视了,并且他不会知道你已经发现了他。
3、不要忽略WEP
有线等效加密(Wired Equivalent Privacy,WEP)是一种符合802.11b标准的无线网络安全协议,
它在无线数据发送时对数据进行加密,加密范围覆盖了你使用的任何数据。一定要使用它。但是必须强调它是基于密钥的,因此不要一直使用默认密钥。对于初次访问系统的个人用户你甚至应当创建单独的WEP密钥。当然也不能认为有了WEP就万事大吉。即使是多重加密也不会保证你万无一失,因此应当把WEP与其他无线安全措施相结合。
4、禁止未经认证的访问接入点
接入点目前已经可以很方便的进行设置,对于一个任务繁重的IT部门来说,或许常常会只是采取简单的访问规则并按照按需访问的策略(as-needed basis)以允许用户设置接入点。但请不要被这种便利所诱惑。接入点是入侵者的头号目标。应当详细研究配置策略和过程,并且严格遵从他们。
这些策略和过程中都应当包括那些内容?首先,你必须仔细制定出关于放置接入点的正确指导方针,并且确保任何人在配置AP时手边有这样一份方针。其次,必须有一份安装说明以指示在无线网络配置中已存在的AP(以便今后进行参考),以及正确发布配置和允许复查配置的具体过程。并且无论是谁设置了AP,都应当立即指定另外一人对安装进行复查。很麻烦么?的确如此。但由于AP欺骗或漏网之鱼造成的安全事故会更加让你头疼。
5、拒绝笔记本ad-hoc方式接入
在任何企业中都应当采取这一严厉的措施。Ad-hoc模式将允许Wi-Fi用户直接连接到另一台相邻的笔记本,这将构成你完全不能想象的恐怖的网络环境。
作为802.11标准的一部分,Ad hoc模式允许你的笔记本网络接口卡运行在独立基础服务集(Independent Basic Service Set,IBSS)模式。这就意味着它可以通过RF与另一台笔记本进行P2P的连接。当你用Ad-hoc模式时,自然会想通过无线网络连接到其他笔记本。从表面价值角度看,这将是很吸引人的把戏,因为没有人能将连接拒之门外。但必须意识到它允许了对笔记本整个硬盘的访问。如果你设置其为允许状态,并且忘了这一点,那么你的一切都将毫无保留的放在整个世界面前。
并且危险并不仅仅限于你不设防的机器。一名入侵者可以将联网的笔记本作为入侵网络的大门。如果将机器置于Ad hoc模式并且有人暗中入侵,你所暴露在危险之中的不仅仅是自己的计算机,而是整个网络。必须避免这样危险的习惯,即从首次使用开始就永远不要尝试允许处于Ad hoc模式。接受这种模式所承担的风险远远大于它所提供的便利。
篇5:如何强化无线网络安全?
方法/步骤
1修改路由器登陆账号和密码。这是最基本的,这样做即使别人暴力解除了你的wifi密码,也不能登陆你路由器修改你的设置。
2设置安全加密方式为WPA-PSK/WPA2-PSK AES加密方法。千万不要使用WEP方式加密,这种方式已经众所周知可以在几分钟之内被解除。而如果要解除WPA-PSK/WPA2-PSK,需要花费的时间需要数天乃至数月。
3隐藏无线网络(关闭SSID广播)。这样别人使用无线设备搜索wifi时,就搜索不到你的无线路由器。而你需要连接的时候,只需要在设备上手动添加网络SSID和密码就可以了。
4启用MAC地址过滤。将自己设备的MAC地址添加到允许的列表中并启用过滤功能,这样即使别人知道你的网络SSID和密码,也是无法连接的。添加MAC地址方法很简单,自己的设备先连上wifi,点“主机状态”,就可以看到自己设备的MAC地址,复制MAC地址过去添加就可以了。
★ 应用方案范文
【无线网络安全的最佳做法(下)(通用5篇)】相关文章:
浅谈我国现代教育技术的发展论文2023-06-03
500台以上大型网吧组网方案2022-09-16
论文评析范文2023-01-10
现代文阅读《荷叶咏》及答案解析2023-03-03
浅谈思想政治工作促进广播电视发展论文2023-10-08
悬念在中学语文教学中的运用论文2022-08-21
公司实习个人总结2022-07-29
破纪录的 100 Gbps 带宽无线网络是怎么搭建的?2023-08-23
别墅wifi解决方案2023-04-04
通信技术课程与国家职业标准的衔接论文2022-12-13