BYOD时代来临,在互联互通的世界里,企业WLAN(无线局域网)面临着员工终端设备接入的不确定性,让企业信息安全在无线网络中时刻有被侵袭的威胁。而伴随首届国家网络安全宣传周的到来,企业WLAN的安全问题再次引发网络运维人员的广泛关注。那么,在部署了一些网络安全设备之后,企业的WLAN就会受到保护,变得更加安全了吗?在无线安全方面,是否存在认识误区呢?下面一起来了解下。
强大的认证与加密能全面防护?
通过了解不难发现,单单依靠网络安全设备,并不能完全解决企业的WLAN安全问题。而凭借强大的认证与加密,虽然在大部分情况下,能够为WLAN的安全性进行升级。但如果无线管理员过度依赖加密,则有可能陷入麻烦之中。
其中,使用WPA2与PEAP(受保护的EAP)加密与认证是一个明显的例子。使用WPA2-PEAP时,可基于802.1x(活动目录或Radius)协议进行认证,安全性按理说是较高的。可是,如果管理员配置了无线设备,例如员工笔记本电脑、平板电脑或者智能手机,但并未验证证书的话,这时就会造成明显的安全漏洞了。
因为,黑客可以使用被称为FreeRadius-WPE的工具,或者更新版的Hostapd-WPE,来创建无线蜜罐,散播与公司WPA2-PEAP设置相同的SSID。随后,攻击者对该信息进行离线破解。而如果使用了MSCHAPv2,黑客则更可能会获得用户名与密码。此外,EAP-TTLS与EAP-FAST还容易受到此类伪装攻击的影响。所以,虽然强大的加密与认证是无线安全的关键部分,但对于WLAN安全还需采取分层防护的措施,同时提高员工的防范意识。
有MAC地址过滤能万无一失?
有人会认为,使用MAC(介质访问控制)地址过滤呢?任何一种可用的无线解决方案都会提供MAC地址过滤功能。那么开启这个功能,只有经过许可的MAC地址才能连接到企业WLAN,是不是就能保证无线网络的安全了呢?
(企业级无线路由器)MAC地址过滤界面
虽然这听起来可能是一种有效的安全方法,但实际上却并非如此。对于黑客而言,在几乎任意一种操作系统中欺骗MAC地址都出人意料地简单。黑客可将欺骗的MAC地址用于多类攻击,包括WEP (有线等效保密) 回放、解除认证、解除关联以及伪装攻击(设备可搭载通过客户认证的访客网络进行攻击)。
