网络安全一直是网络信息化建设的重中之重,同理,无线网络安全也一直是无线网络建设的重中之重,无线网络建设越安全越好。
但不幸的是,无线网络中频繁出现网络安全问题:Wi-Fi秘钥被共享精灵共享出去、误连上钓鱼Wi-Fi导致银行钱财丢失、个人信息被盗骚扰电话不断、员工私接无线路由器导致黑客轻松入侵、被访问内网企业资料,机密数据岌岌可危……
(图片来源于网络)
信锐技术在这里呼吁广大用户群体重点关注Wi-Fi网络安全,特别是企业类客户,看看你的Wi-Fi到底安不安全。同时,我们也给大家一些网络安全建议:
1、 无线办公网络千万不要使用PSK密码的认证方式
不管你是多复杂的Wi-Fi密码都会被“Wi-Fi共享软件”共享出去。
2、 不要采用低端的无线设备承载办公应用
低端的无线设备往往只支持一种PSK密码认证方式,不支持更安全、更安全的企业认证。
3、 建议采用802.1X、Portal等企业安全认证方式
802.1X、Portal采用的是账号加密码的认证方式,不会被“Wi-Fi共享软件”共享出去,而且很难破解,这里特别推荐大家采用802.1X认证方式,认证过程和上网过程都会加密,保证安全传输。
4、 建议在网络中部署网络安全设备,比如上网行为管理、安全审计等设备
网络设备可以根据不同账号、接入位置、时间段进行不同网络权限分配,同时对所有上网用户的网络访问行为进行记录留存,保护网络内网安全。
信锐技术一直致力于打造更安全的无线连接,全方位的安全保障措施,帮助客户实现端到端的安全连接,为客户提供更多的价值交付。
第一步:解决谁能接,谁不能接的问题
1、根据不同场景选择合适的认证方式
信锐无线AC提供10多种认证方式,适用各种使用场景,建议:
1) 无线办公网络采用802.1X、Portal、WAPI等安全认证方式;
2) 外来访客网络采用短信、微信等实名认证,满足公安部实名上网要求;
3) 对于一些生产网络,比如手持PDA终端、物联网终端等设备接入,可以采用智能PSK认证方式,每个终端MAC都对应一个专属的密码;
2、选择合适的安全准入及加固方案
1) 针对无线办公网络,提供更多额外的安全准入,比如账号密码+短信验证码或者APP审核放行,防止账号密码被泄露却浑然不知。
2) 同时可以对账号与终端硬件码自动绑定,该账号只能在特定的终端上才能认证成功,其他终端即使账号密码正确也无法接入(一个账号最多可以绑定5台终端,超过1台后需要管理员审核绑定信息)。
3) 针对政府、金融等客户,还可以采用智能安全无线网卡接入。管理员将CA证书导入到网卡中,实现与无线AC/AP双向认证,同时可以限制该网卡只能连接指定的SSID,或者办公网络只允许安全网卡终端接入。
第二步:解决接进来之后能干什么,不能干什么?
1、准确识别用户的上网行为
通过持续更新的应用识别系统(无线AC内置),可以准确识别出用户使用的应用程序、APP程序、访问的网站类别、具体网站等等,管控更精准。
2、上网权限精细控制
基于精准识别,然后实现丰富的权限控制策略,包括不同账号、接入位置、时间段、终端类型以及特殊属性等等,进行不同上网权限的分配。比如某账号只能在办公区域才能访问公司内网系统,在休息区无法访问。
3、内网、外网流量安全管控
无线AC内置丰富的安全特性,可以有效解决无线网络内部存在的攻击和风险。信锐无线AC内置行为管理和审计,不仅可以实现访问互联网的流量的管控,也可以实现无线网络内部的流量安全。
提示:虽然网络中通常会部署出口安全设备,比如防火墙、入侵防御系统,它们可以很好的防住外来攻击或者访问互联网的流量,但是无法监管到无线网络内部流量。
4、本地转发即能实现应用控制(业界首创)
信锐还将推出基于本地转发的应用识别、控制、审计,可以大大的降低了AC设备性能的消耗,节省用户建设成本。
第三步:解决知道他们都干了什么?
1、全面审计用户网络行为
通过上网行为审计或上网内容审计(无线AC内置),可以记录他们在网络中都干了些什么事情,比如某人在什么时间访问了什么网站、使用了什么应用程序、发送了什么邮件、发布了什么论坛言论等等。
2、审计数据安全存储
审计到的数据可以存储在内置数据中心也可以在外置数据中心,满足《新网络安全法》(满足至少6个月以上存储要求)。
3、对接各地网监平台
无线AC获得了国家公安部销售许可证,满足公安部对公共Wi-Fi建设的审计要求,可以直接对接各地网监平台。
信锐无线控制器还提供更多的安全防御措施
比如非法Wi-Fi检测、防钓鱼Wi-Fi、防私接Wi-Fi、防扫描攻击、防DDOS攻击、防ARP欺骗攻击等等,全面保障网络的安全性。