保证企业无线网络安全的强化措施有哪些?

这篇具有很好参考价值的文章主要介绍了保证企业无线网络安全的强化措施有哪些?。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

  这文章列出了数据链路层的针对“企业无线局域网可能遭到滥用”的对策。这些对策包括:WEP的安全替代——使用无线安全标准;无线局域网的入侵检测和异常追踪。当然,无线网络的安全性可以(也应该)使用更高层的保障如各种IPSec模式或基于SSL的安全协议等。有兴趣的朋友可以来看一下。

  使用无线安全标准

  2004年,IEEE的“i”课题组开发了一个统一的无线安全标准,其中部分已经被许多无线设备和软件供应商实现以减轻已知的802.11安全问题。原名为802.11i标准,这个标准现在被广泛成为WPA2,它代表了Wi-Fi保护访问版本2。WAP2取代了WPA,WPA是旧的、不安全的向后兼容现有无线基础设施的WEP标准的混合。WPA使用RC4加密,比WPA2中使用的AES加密更弱。WAP2是目前无线网络最好的解决方案,并期望在可预见的未来继续如此。大多数支持WPA2的无线接入点具有的特征被称为Wi-Fi保护设置(WPS),其中有一个允许攻击者获得WPA2密码的安全缺陷,使他或她未经授权而连接到网络。此功能应尽可能关闭以避免攻击。

  有效部署无线入侵检测和预防

  尽管如前所述,对无线网络的入侵检测必须覆盖数据链路层。在这里,我们简要介绍无线入侵检测(IDS)问题。许多应用程序声称是无线入侵检测系统,但仅仅在这些地址没有被ACL允许时才检测局域网中新的MAC地址。这样的功能在一些接入点的固件中也能实现。当然,任何能够绕过基于MAC的ACL的人也能够绕过基于MAC的“IDS”。一个真正的无线入侵检测系统是一个提供攻击签名数据库或知识库和推理机、以及一个适当的报告和报警接口的专业802.11(或802.15)协议分析仪。一些可疑的寻找无线局域网的事件包括:

  探测请求(很好的指示了有人在使用主动扫描方式)

   来自不请自来的访问点或ad hoc无线客户端的信标帧

  洪泛分离/解除认证帧(中间人攻击?)

   关联的未经认证的主机(试图猜测共享密钥?)

  在未启用漫游的网络上的频繁的帧重组,以及频繁的数据包转发(“隐藏节点”、坏链接、或可能的DOS攻击?)

   封闭网络中的多个SSID错误(SSID蛮力夺取?)

   可疑的SSID如“AirJack”(或纯旧式“31337”)

  主动帧与复制的MAC地址

  随机变化的MAC地址(使用Wellenreiter或FakeAP攻击者)

   五信道范围内其他802.11信道的帧传送,或同一信道传输的不同SSID的帧(错误配置和可能不请自来的主机、干扰、DoS?)

  主机不使用实现的加密解决方案(这里应不存在)

   多重EAP认证请求和响应(蛮力抢夺EAP-LEAP?)

   畸形和超大的EAP帧以及各种EAP帧洪泛(802.1x DoS攻击?)

  不匹配所建立的周期序列的802.11帧序列号(中间人攻击、局域网MAC欺诈?)

  ARP欺诈以及其他源于无线局域网的攻击

  组织面临着控制通过无线接入点连接到他们的企业网络中的人和物的挑战。许多企业无线供应商已经增强了自身的接入点和无线控制器产品自然包括防火墙、RADIUS、网络访问控制、以及无线IPS。这种继承提供了对连接到无线基础设施的无线用户更好的控制以及控制这些用户在企业网络上可以去的地方。这是一个急需的深度防护方法,因为有线侧防火墙和IPS不能提供必要的对抗无线攻击的保护。大多数无线攻击发生在第二层以及无线介质之间。传统的有线防火墙不能检测到这些攻击,并且有线IP没有检查这些类型的数据包的能力。这导致了专业无线IPS产品的出现。

  无线IPS和IDS

  无线IPS使用无线传感器识别无线攻击。这些无线传感器通常使用与在接入点发现的相同Wi-Fi波段,这就是很多公司允许接入点的双重用途的原因,既可用于访问又可用于检测攻击。这些根据供应商的不同而不同。有许多混合方法。最常见的方法是,在没有人访问时暂停无线电台,并执行恶意接入点和攻击的无线空域快照。但是这种部分时间的无线入侵检测方法意味着你只能在无线电台处于检测模式时检测到攻击。对于一天中剩下的时间,无线攻击无法被检测到。这个问题促使一些厂商在访问接入点时使用次要的Wi-Fi电台以使一个电台被用于专职访问而另一个用于全职无线IPS。

  Wi-Fi协议允许为信道分配不同的频率,使得一个信道可以分配给每个频率。在严重拥挤的无线环境中,使用不同的信道(或频率)允许管理员减少干扰,这也被成为共信道干扰。因此,对无线攻击的适当检测需要定期检查每个通道的攻击。基本上有两组频率:在2.4-GHz频谱运行的802.11b和802.11g;在5GHz频谱运行的802.11a;802.11n工作在两个频谱,2.4 GHz和5 GHz;802.11ac仅工作在5-GHz谱。

  由于无线传感器从一个信道跳跃到另一个信道收集无线数据包以供分析,它将不会收集有些数据包,因此,那些包将被错过因为传感器在同一时间只能监控一个通道。因此,一些厂商现在允许传感器选择“锁定频道”以只允许一个信道(或频率)被监视。对于只有一个信道被使用的高度敏感环境,这个功能可以帮助管理员减少数据包丢失。现实情况是,由于无线网络是一个物理介质,总会发生数据包的丢失。这是由于许多因素,包括移动无线设备、设备的距离的传感器、传感器的天线强度等等。

  无线入侵检测系统只涉及到接收数据包。因此,它的范围在物理上比一个发送和接收的接入点更广泛。在一个典型的接入点和传感器的部署中,经验法则是每三个接入点一个传感器。无线网络勘测将有助于确定最佳的传感器覆盖和安置。

  大多数人部署无线入侵检测系统来检测恶意接入点,三角测量也是一个好的想法。虽然一个流氓AP可以被一个单一的传感器检测,但其物理位置无法被检测到。需要用到三角测量来确定流氓AP的近似物理位置。三角测量至少涉及到三个传感器,它们中的所有都是被与三个传感器的信息相关的同一个管理系统管理,并且基于复杂的算法确定流氓AP的物理位置。通常AP显示在IDS管理软件的楼层平面图中。

  蓝牙IPS

  由于蓝牙也是一种无线技术,并且工作频率与802.11b和802.11g相同,一些无线IPS产品已经被设计为检测蓝牙。为什么你要检测到蓝牙?由于运行在一个与Wi-Fi共享的频率范围,蓝牙偶尔也会引起干扰问题,但蓝牙的攻击也出现了。最常见和最严重的是蓝牙流氓。

  蓝牙攻击影响了许多组织机构,但最重要的是零售商。攻击者有确定的方式黑掉销售系统点并通过插入蓝牙无线电波的方式注册键区。一个恶意的雇员或者假冒的技术人员打开销售系统点或注册键区并将蓝牙广播电台连接到设备。由于信用卡刷卡,他们被同时广播到邻近的空间。如果一个攻击者在附近,无论是在商店货在停车场,他或她仅仅使用蓝牙设备监听和接收这些信用卡号码。

  所有的蓝牙设备工作在2.4GHz频段并使用79频道从一个信道跳(跳频)到另一个信道,达到1600跳/秒。通常根据其范围可以划分为三类蓝牙设备。3类设备是我们大多数人所熟悉的,通常包括蓝牙耳机。在约1米的范围限制下,他们不会为攻击者提供好的服务。因此,攻击者通常使用2类和3类设备,它们可以很容易在网上以20美元以下的价格买到。

  有些供应商已经将他们的无线IPS产品调整为也可以检测到蓝牙,使管理员可以检测到这些设备的存在,尤其是在秘密地点和交易大厅。由于通信范围的相对强度,位置也是蓝牙检测需要考虑的关键因素。如果无线IPS传感器超出范围,它只可能检测不到蓝牙设备。

  无线网络定位和安全网关

  无线网络加强的最后一点与无线网络在整个网络拓扑设计中的位置相关。由于无线网络的特点,无线网络不应该直接连接到有线局域网。相反,它们必须被视为不安全的公共网络连接,或在最宽松的安全方法中作为DMZ。将一个无线接入点直接插入局域网交换机是自找麻烦(虽然802.1x认证可以缓解这个问题)。一个具有良好状态和代理的防火墙能力的安全无线网关必须将无线网络与有线局域网分开。

  现今最常见的方法是拥有可以在局域网上任何地方连接的AP,但创建一个返回到控制器的加密隧道,并在接触局域网之前通过它传送所有流量。这个控制器将运行防火墙和入侵检测/防御系统(IDS/IPS)的能力在它接触到到内部网络之前检查该流量。如果无线网络在该区域包括多个接入点和漫游用户访问,则“有线侧”的接入点必须被放在同一VLAN中,从剩下的有线网络中安全隔离。高端的专业无线网关集合了接入点、防火墙、VPN集中器、以及用户漫游支持能力。网关的安全对你的无线网络——甚至是接入点自己——的保护能力不应忽视。

  无线网关、接入点、以及网桥的大多数安全问题来源于不安全的设备管理实施,包括使用Telnet、TFTP、默认的SNMP团体字符串和默认的密码,以及允许从网络无线侧进行网关和接入点的远程管理。确保每个设备的安全被适当的审计,并且与更传统的在数据链路层以上工作的入侵检测系统相呼应使用无线专用入侵检测系统。以上就是关于企业无线网络安全的强化措施的全部内容,希望大家能喜欢,谢谢阅读,请继续关注yii666,我们会努力分享更多优秀的文章。文章来源地址https://www.toymoban.com/news/detail-466594.html

到了这里,关于保证企业无线网络安全的强化措施有哪些?的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 防止网络攻击的10大网络安全措施

    网络攻击每天都在发生。事实上,每天有超2000次的攻击是针对连接了互联网且未受保护的系统,大概每39s就会发生一次。网络攻击导致的数据泄露、敏感信息被盗、财务损失、声誉受损都给企业及个人带来威胁。随着各大企业对数字系统的依赖,网络威胁已成为当下面临的主

    2023年04月08日
    浏览(93)
  • 网络安全防护措施:保障信息安全的关键

    随着互联网的普及和信息技术的快速发展,网络安全已成为企业和个人必须重视的重要问题。网络安全不仅涉及到保护个人隐私和机密信息,还关系到企业的声誉和财务安全。在这个信息爆炸的时代,制定有效的网络安全防护措施至关重要。本文将探讨几种网络安全防护措施

    2024年04月26日
    浏览(47)
  • 网络安全防护措施有哪些?

    随着科学技术的快速发展,计算机已经成为了人们日常生活中必不可少的重要工具,身为网络安全从业人员,我们虽然不能100%的阻止攻击的发生,但是可以做好充足的准备应对攻击,以下是详细的内容: 1、防火墙技术 防火墙是一种用来保护内部网络操作环境的网络安全部件

    2024年02月13日
    浏览(46)
  • 网络信息安全的防御措施有哪些?

    网络信息安全是指保护计算机网络中的信息和资产免受未经授权的访问、窃取、破坏、篡改等威胁的一系列技术和措施。以下是网络信息安全的一些防御措施: 防火墙:防火墙是一个网络安全设备,可帮助防止未经授权的网络访问。它可以过滤网络流量并阻止未经授权的访问

    2024年02月06日
    浏览(51)
  • 服务器网络安全防护措施有哪些?

    由于服务器发挥着至关重要的作用,因此存储在服务器上的机密数据和信息非常具有价值。如今有一种流行的说法,“数据就是新的石油”。 如果不确定如何保护服务器安全,或者不确定是否已涵盖所有基础知识,那么可以了解下面提供一些可用于保护服务器的安全提示。

    2024年01月20日
    浏览(40)
  • 网络隔离与安全分区:在工控网络和云环境中实施有效的隔离措施

    近年来,随着工业控制系统的广泛应用和云计算技术的快速发展, 工业控制系统 (ICS) 和企业级应用程序越来越多地暴露在网络中。与此同时,恶意攻击和网络威胁的增加也对这些系统构成了严重的安全隐患。因此,为了保障工控系统和云的运行安全及可靠稳定供应能源等关键

    2024年01月23日
    浏览(58)
  • 深入理解nftables:强化你的网络安全

    什么是nftables? nftables是一个用于管理Linux内核网络堆栈的工具,它的强大之处在于其清晰而强大的配置语言,以及对多种网络协议的全面支持。与之前的iptables相比,nftables提供了更灵活、可读性更强和性能更好的解决方案。 安装nftables 首先,确保你的Linux发行版支持nftable

    2024年02月06日
    浏览(54)
  • 数字化时代,如何保证网络隐私安全?

    目录 一、概述 二、网络隐私的定义和范围 三、网络安全威胁分析 四、如何保护网络隐私 五、网络隐私法律法规 六、结论和展望         数字化时代的普及和互联网的快速发展,使得个人和企业的信息网络化程度不断提高,但同时也引发了网络安全和隐私的重要性问题

    2024年02月10日
    浏览(47)
  • vue代码安全,10项防范措施_vue中的安全(1),架构师花费近一年时间整理出来的网络安全核心知识

    避免在模板中直接渲染用户提供的 HTML 内容,以防止跨站脚本攻击(XSS)。使用v-html时要格外小心。 data() { return { escapedHtml: this.userInput.replace(//?script/g, ‘’), }; } 3,授权和访问控制 根据用户的角色和权限来控制对页面和功能的访问。可以使用路由守卫或自定义权限验证逻辑

    2024年04月26日
    浏览(43)
  • 无线网络安全之隐藏无线路由器提高安全

    无线网络越来越流行,在方便我们的同时,也给我们带来了诸多我安全隐患。为了不让没有使用权限的用户非法接入,隐藏无线路由器无疑是一个好办法。 要在空气中隐藏无线路由器最直接的方法是让它停止SSID广播,SSID广播功能将无线路由器所创建的无线网络让客户端可以

    2024年02月06日
    浏览(70)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包