無(wú)論您所在的企業(yè)規(guī)模如何��,運(yùn)用WPA2安全機(jī)制都將成為保護(hù)Wi-Fi網(wǎng)絡(luò)安全的良好第一步����。同時(shí)��,千萬(wàn)不要使用該標(biāo)準(zhǔn)中安全性較低的PSK模式——這會(huì)帶來(lái)嚴(yán)重的潛在風(fēng)險(xiǎn)�����。
時(shí)至今日�,利用Wi-Fi Protected Access II(簡(jiǎn)稱(chēng)WPA2)保護(hù)無(wú)線網(wǎng)絡(luò)安全已經(jīng)成為一種主流趨勢(shì),但許多小型甚至中型企業(yè)仍然在默認(rèn)使用WPA2標(biāo)準(zhǔn)中的個(gè)人或預(yù)共享密鑰(即PSK)模式���,而非其提供的企業(yè)模式��。雖然看名字有點(diǎn)唬人���,但企業(yè)模式并非僅僅適用于大型網(wǎng)絡(luò)體系; 它同時(shí)也能夠融入各類(lèi)不同規(guī)模的業(yè)務(wù)環(huán)境當(dāng)中。大家可能認(rèn)為純粹的個(gè)人模式更易于管理����,不過(guò)考慮到企業(yè)網(wǎng)絡(luò)保障所提出的諸多要求�����,貪圖一時(shí)省事卻往往給未來(lái)的安全故事種下了禍根�����。
WPA2的企業(yè)模式采用802.1X驗(yàn)證機(jī)制�����,其會(huì)給網(wǎng)絡(luò)提供一套額外的安全層����,且在設(shè)計(jì)思路方面更適合業(yè)務(wù)網(wǎng)絡(luò)而非個(gè)人使用模式����。雖然在初期配置方面,企業(yè)模式要求使用者投入更多資源與精力——舉例來(lái)說(shuō)�,大家需要為遠(yuǎn)程認(rèn)證撥號(hào)用戶(hù)服務(wù)(簡(jiǎn)稱(chēng)RADIUS)提供服務(wù)器或服務(wù)支持——但整個(gè)過(guò)程不一定像各位預(yù)想的那樣復(fù)雜或者昂貴,無(wú)論是對(duì)單一企業(yè)還是需要面向多個(gè)組織的IT/托管服務(wù)供應(yīng)商而言皆是如此��。
首先來(lái)談?wù)勎易约旱那闆r:我所管理的企業(yè)負(fù)責(zé)提供基于云的RADIUS服務(wù)�。不過(guò)平心而論,作為一名擁有一定經(jīng)驗(yàn)的網(wǎng)絡(luò)專(zhuān)業(yè)人士,企業(yè)級(jí)Wi-Fi安全方案才是各類(lèi)業(yè)務(wù)網(wǎng)絡(luò)的最佳選擇��,具體理由我們將在下文中一同探討����。而且需要強(qiáng)調(diào)的是��,大家甚至根本沒(méi)有必要使用托管RADIUS服務(wù)�。本文將提供多種其它RADIUS服務(wù)器選項(xiàng),而且其中一部分完全無(wú)需任何資金投入�。接下來(lái)就讓我們一同展開(kāi)這場(chǎng)關(guān)于Wi-Fi安全網(wǎng)絡(luò)的探索與求證之旅。
企業(yè)模式的優(yōu)勢(shì)體現(xiàn)在哪些方面
誠(chéng)然�����,每種模式都擁有自己獨(dú)特的優(yōu)勢(shì)�。PSK模式的初始設(shè)置非常簡(jiǎn)單。大家只需要為接入點(diǎn)上設(shè)置一條密碼�����,而用戶(hù)在輸入這條正確的全局密碼后即可連接到Wi-Fi網(wǎng)絡(luò)當(dāng)中�����。看起來(lái)毫不費(fèi)力����,但這種方法卻也存在著幾個(gè)問(wèn)題。
▲在個(gè)人或者預(yù)共享密鑰(即PSK)模式下�,我們只需要設(shè)置一條全局Wi-Fi密碼。
首先�,由于網(wǎng)絡(luò)當(dāng)中的每位用戶(hù)都使用同樣的Wi-Fi登錄密碼,因此任何一位離職員工都能夠繼續(xù)使用這一無(wú)線接入點(diǎn)——除非我們修改密碼內(nèi)容���。很明顯�,修改密碼內(nèi)容意味著我們需要調(diào)整接入點(diǎn)設(shè)備的設(shè)置����,并把新密碼內(nèi)容向全部用戶(hù)公開(kāi)——而在下一次登錄時(shí),他們需要至少正確輸入一次����,才能將其保存為默認(rèn)選項(xiàng)以備今后連接時(shí)使用。
而在企業(yè)模式下��,每一位用戶(hù)或者設(shè)備都擁有獨(dú)立的登錄憑證��,大家可以在必要時(shí)對(duì)其進(jìn)行變更或者調(diào)用——而其他用戶(hù)或者設(shè)備完全不會(huì)受到影響����。
▲在企業(yè)模式下����,用戶(hù)在嘗試接入時(shí)需輸入自己獨(dú)一無(wú)二的登錄憑證���。
接下來(lái)是使用PSK模式的另一個(gè)問(wèn)題:Wi-Fi密碼通常會(huì)被保存在客戶(hù)設(shè)備當(dāng)中。因此����,一旦該設(shè)備丟失或者被盜,密碼也將同時(shí)遭到破解���。這意味著企業(yè)必須及時(shí)修改密碼內(nèi)容以避免惡意人士以未授權(quán)方式接入業(yè)務(wù)環(huán)境����。相比之下����,如果我們使用企業(yè)模式,那么只需要在設(shè)備丟失或者被盜時(shí)修改對(duì)應(yīng)密碼即可解決難題��。
▲任何人都能輕松在Windows Vista或者后續(xù)Windows版本當(dāng)中查看已保存的PSK Wi-Fi密碼內(nèi)容���,這樣一旦設(shè)備丟失或者被盜�,后果將不堪設(shè)想。
企業(yè)模式的其它優(yōu)勢(shì)
使用企業(yè)Wi-Fi安全機(jī)制還擁有其它多種優(yōu)勢(shì):
更出色的加密效果:由于企業(yè)模式所使用的加密密鑰針對(duì)每位用戶(hù)而有所不同����,因此惡意人士很難以PSK最害怕的暴力破壞方式猜出Wi-Fi密鑰內(nèi)容。
防止用戶(hù)間窺探: 由于每一位用戶(hù)在個(gè)人模式下都會(huì)被分配以同樣的加密密鑰內(nèi)容�����,因此任何擁有該密碼的人都能夠利用Wi-Fi發(fā)送原始數(shù)據(jù)包�����,其中密碼內(nèi)容很可能被包含在非安全站點(diǎn)及郵件服務(wù)當(dāng)中���。而在企業(yè)模式方面�,用戶(hù)無(wú)法解密對(duì)方的無(wú)線接入方式�。
動(dòng)態(tài)VLAN:如果大家利用虛擬LAN來(lái)隔離網(wǎng)絡(luò)流量但又未采用802.1X驗(yàn)證機(jī)制,正如處于PSK模式下的情況���,那么我們可能需要以手動(dòng)方式為靜態(tài)VLAN分配以太網(wǎng)端口及無(wú)線SSID����。不過(guò)在企業(yè)模式方面,大家可以利用802.1X驗(yàn)證機(jī)制實(shí)現(xiàn)動(dòng)態(tài)VLAN��,其能夠自動(dòng)通過(guò)RADIUS服務(wù)器或者用戶(hù)數(shù)據(jù)庫(kù)將用戶(hù)自動(dòng)劃撥至此前分配的VLAN當(dāng)中���。
