若何保护中小企业无线网络的安全?[网络技术]

问:关于我们中小企业的无线网络来说,最佳的无线网络安全战略是什么呢?

　　答:在“中小企业最佳WiFi安全”这篇文章中Mike Chappel介绍了中小企业利用的WPA2-Personal (PSK)和WPA2-Enterprise (802.1X).WPA2-Personal普通采取同享口令的办法来考证衔接到同一WLAN的每一个用户,而WPA2-Enterprise普通是采取基于证书的考证办法,包含机械证书、Windows用户名/密码、SecurID令牌等.

　　正如Mike所介绍的那样,WPA2-Enterprise对中小企业来说有点艰难,因为它需求一个RADIUS服务器链接到一个包含了用户证书的账户数据库,每个Wi-Fi客户端都必须配置用户证书.为了使WPA2-Enterprise越发实用于中小企业,可以有两种实施办法,一种是AP或WLAN掌握器与一个嵌入式RADIUS服务器,另一种是托管RADIUS服务(或基于云的RADIUS服务).这两种办法对很多中小企业都非常合适,并且值得付出一些相关的勤奋或费用来得到一个健旺的、粒状的WLAN安全.

　　但是,这两种办法都仍旧需求配置Wi-Fi客户端(802.1X客户端)来辨认并承受服务器的证书,以及呼应那个RADIUS服务器所盼望的可扩大的认证协议(EAP)范例.固然这个配置并非很复杂的事,但也不像口令那样简单.因为802.1X至少需求一个服务器认证,在那些GUI有限的设备(如智妙手机或无线打印机)上举行配置会更难.最后我想说,802.1X问题对弊端修复来说都是小问题.

　　那些认真考虑过但认为他们并不需求WPA2-Enterprise (802.1X)的中小企业应当知道利用WPA2-Personal(PSK)也有很多办法能使企业网络更好更安全的.对初学者来说,PSK安全主要依靠于你所挑选的口令长度和强度.倡议利用一个混合型的口令,至少有20个字符长,避免利用一些字典中可以找到的单词,并且用一个不太一样的SSID.为了测试你WPA2-Personal口令的强度,你可以通过运行一个在线WPA Cracker来试试.

　　固然如此,即便是一个强壮的口令也仍旧会很简单蒙受同享密码风险,比方,那些不该该得到口令的人得到了口令,大概假如一个员工被辞退了,或笔记本电脑丢了,而不得不去改正口令.为了避免这些问题,可以考虑利用支持动态per-user口令的AP.802.11尺度的不需求每个客户端都利用相同的PSK;一些供应商们已经对这一特点加以操纵了,他们为每个用户分配了唯一的口令.Per-user口令可以禁止内部攻击(如解密其他用户的流量).动态per-user口令是有时限的,所以宾客只是在一个限定的时间段内可以举行拜候.也有一些办法可以帮忙拜候者或帮忙台来举行注册以获得动态口令,这样就简化了口令的生成和分配.