公司的无线网络分为两种,一种是for visitor,给访客来我们公司时使用,用的是ADSL的10M线路,广播SSID,采用WPA2-PSK较强的加密方式,AP开通DHCP,网络与内网分离。AP间是peer-to-peer的关系,这是一种比较简单也是比较常见的方式,在移动过程中会自动切换,实现漫游,图:
这种方式内部员工要使用的话,也可以,就是必须连接×××,公司的×××的连接使用RSA Token验证,所以是比较安全的。
另一种是for staff的,采用ARUBA的无线解决方案,由无线控制器统一管理,给内部员工提供便捷的无线移动工作方式。这是一整套独立的设备,有AP跟AM,(AP take data, AM do monitor, it can monitor rogue AP and disable as needed),DHCP服务建于windows server 2008,集成域验证,设立独立的VLAN,图:
在设计无线网络的过程中,需要考虑的一些因素:
- 是否要支持无线漫游? 我想这个基本上都是要的,方便工作嘛
- 如何对用户进行身份验证? 一种是通过AP自带的加密功能,更安全的做法是用验证服务器
- 是否要为访客提供开放的访问点? 公开SSID
- 要想无线用户提供哪些网络服务和应用程序?
- 可使用哪种加密技术? 随着现在蹭网的越来越多,这是个需要加强的问题
- 要覆盖多大的区域?
- 支持的用户数?
- 确立最佳的AP放置位置?
有关无线访问的其他最佳实践:
- 不广播SSID,虽然这只是雕虫小技
- 使用强加密,如WPA2-PSK,可到这个网站得到复杂的密码:https://www.grc.com/passwords.htm
- 对用户进行身份验证
- 使用×××隧道传输敏感数据
- 部署防火墙和入侵防范系统
- 只有少数设备允许访问无线网络的时候,可以采取MAC地址过滤的方式
安全的最佳实践:
- 修改默认的SSID,除非必要,否则不广播SSID
- 使用强加密
- 使用预共享密钥或可扩展的身份验证方式(EAP)让客户端和网络相互验证身份
- 结合使用×××或WPA和MAC地址控制列表来保护企业专用设备
- 使用VLAN来限制对网络资源的访问
- 确保管理端口的安全
- 部署轻量级接入点?,因为他们不在本地存储安全信息
- 在物理上隐藏或保护接入点
- 监控外部建筑和站点的可疑活动
参考资料:《思科网络技术学院教程-计算机网络设计和支持》