無論您所在的企業(yè)規(guī)模如何����,運用WPA2安全機制都將成為保護Wi-Fi網(wǎng)絡安全的良好第一步�����。同時���,千萬不要使用該標準中安全性較低的PSK模式——這會帶來嚴重的潛在風險����。
時至今日����,利用Wi-Fi Protected Access II(簡稱WPA2)保護無線網(wǎng)絡安全已經(jīng)成為一種主流趨勢�,但許多小型甚至中型企業(yè)仍然在默認使用WPA2標準中的個人或預共享密鑰(即PSK)模式,而非其提供的企業(yè)模式。雖然看名字有點唬人�,但企業(yè)模式并非僅僅適用于大型網(wǎng)絡體系; 它同時也能夠融入各類不同規(guī)模的業(yè)務環(huán)境當中。大家可能認為純粹的個人模式更易于管理�,不過考慮到企業(yè)網(wǎng)絡保障所提出的諸多要求,貪圖一時省事卻往往給未來的安全故事種下了禍根���。
WPA2的企業(yè)模式采用802.1X驗證機制�,其會給網(wǎng)絡提供一套額外的安全層����,且在設(shè)計思路方面更適合業(yè)務網(wǎng)絡而非個人使用模式。雖然在初期配置方面��,企業(yè)模式要求使用者投入更多資源與精力——舉例來說�,大家需要為遠程認證撥號用戶服務(簡稱RADIUS)提供服務器或服務支持——但整個過程不一定像各位預想的那樣復雜或者昂貴,無論是對單一企業(yè)還是需要面向多個組織的IT/托管服務供應商而言皆是如此��。
首先來談談我自己的情況:我所管理的企業(yè)負責提供基于云的RADIUS服務���。不過平心而論���,作為一名擁有一定經(jīng)驗的網(wǎng)絡專業(yè)人士,企業(yè)級Wi-Fi安全方案才是各類業(yè)務網(wǎng)絡的最佳選擇����,具體理由我們將在下文中一同探討����。而且需要強調(diào)的是�����,大家甚至根本沒有必要使用托管RADIUS服務���。本文將提供多種其它RADIUS服務器選項����,而且其中一部分完全無需任何資金投入����。接下來就讓我們一同展開這場關(guān)于Wi-Fi安全網(wǎng)絡的探索與求證之旅。
企業(yè)模式的優(yōu)勢體現(xiàn)在哪些方面
誠然���,每種模式都擁有自己獨特的優(yōu)勢��。PSK模式的初始設(shè)置非常簡單。大家只需要為接入點上設(shè)置一條密碼��,而用戶在輸入這條正確的全局密碼后即可連接到Wi-Fi網(wǎng)絡當中?����?雌饋砗敛毁M力�����,但這種方法卻也存在著幾個問題��。
▲在個人或者預共享密鑰(即PSK)模式下���,我們只需要設(shè)置一條全局Wi-Fi密碼�����。
首先����,由于網(wǎng)絡當中的每位用戶都使用同樣的Wi-Fi登錄密碼���,因此任何一位離職員工都能夠繼續(xù)使用這一無線接入點——除非我們修改密碼內(nèi)容��。很明顯��,修改密碼內(nèi)容意味著我們需要調(diào)整接入點設(shè)備的設(shè)置����,并把新密碼內(nèi)容向全部用戶公開——而在下一次登錄時,他們需要至少正確輸入一次����,才能將其保存為默認選項以備今后連接時使用。
而在企業(yè)模式下�,每一位用戶或者設(shè)備都擁有獨立的登錄憑證,大家可以在必要時對其進行變更或者調(diào)用——而其他用戶或者設(shè)備完全不會受到影響���。
▲在企業(yè)模式下��,用戶在嘗試接入時需輸入自己獨一無二的登錄憑證���。
接下來是使用PSK模式的另一個問題:Wi-Fi密碼通常會被保存在客戶設(shè)備當中。因此�����,一旦該設(shè)備丟失或者被盜���,密碼也將同時遭到破解�����。這意味著企業(yè)必須及時修改密碼內(nèi)容以避免惡意人士以未授權(quán)方式接入業(yè)務環(huán)境��。相比之下�����,如果我們使用企業(yè)模式�����,那么只需要在設(shè)備丟失或者被盜時修改對應密碼即可解決難題�����。
▲任何人都能輕松在Windows Vista或者后續(xù)Windows版本當中查看已保存的PSK Wi-Fi密碼內(nèi)容�,這樣一旦設(shè)備丟失或者被盜����,后果將不堪設(shè)想。
企業(yè)模式的其它優(yōu)勢
使用企業(yè)Wi-Fi安全機制還擁有其它多種優(yōu)勢:
更出色的加密效果:由于企業(yè)模式所使用的加密密鑰針對每位用戶而有所不同����,因此惡意人士很難以PSK最害怕的暴力破壞方式猜出Wi-Fi密鑰內(nèi)容���。
防止用戶間窺探: 由于每一位用戶在個人模式下都會被分配以同樣的加密密鑰內(nèi)容,因此任何擁有該密碼的人都能夠利用Wi-Fi發(fā)送原始數(shù)據(jù)包����,其中密碼內(nèi)容很可能被包含在非安全站點及郵件服務當中。而在企業(yè)模式方面��,用戶無法解密對方的無線接入方式��。
動態(tài)VLAN:如果大家利用虛擬LAN來隔離網(wǎng)絡流量但又未采用802.1X驗證機制����,正如處于PSK模式下的情況,那么我們可能需要以手動方式為靜態(tài)VLAN分配以太網(wǎng)端口及無線SSID��。不過在企業(yè)模式方面��,大家可以利用802.1X驗證機制實現(xiàn)動態(tài)VLAN����,其能夠自動通過RADIUS服務器或者用戶數(shù)據(jù)庫將用戶自動劃撥至此前分配的VLAN當中。
