一、前言
或许你认为自己的 Wi-Fi 非常安全,因为有足够的安全意识。看过各种新闻。已经实施了强制性安全培训。采用了多种流程和工具来保护学校安全,包括反恶意软件软件和各种反钓鱼措施。这些都非常重要。
然而,网络本省以及网络中的数据安全与否取决于是否了解网络的访问方式和访问者,以及能否禁止不想要的网络访问。一些被广泛采用的安全方法还远远不够。
Wi-Fi 访问可能成为网络中的安全漏洞。
二、Wi-Fi可能存在的安全危险
1.PSK 威胁 Wi-Fi 安全
如果使用或允许共享 Wi-Fi 密码(即预共享密钥 PSK),并且每季度或学期都要轮换 Wi-Fi 密码,那么 Wi-Fi 访问的安全性就很薄弱。共享密码再复杂也是公开的,可以发送给任何人。
共享的 Wi-Fi 密码也可能被禁止访问网络的用户保存,包括那些因被拦截而心存怨恨的人。2022年,Beyond Identity 发现,因前雇员而造成的威胁增长了83%。原因很简单:员工从组织离职后也能轻松获得对共享 Wi-Fi 密码的访问权限。
根据 Beyond Identity 的数据,密码被破解、被盗或使用弱密码是犯罪分子入侵网络的首要手段,占比超过80%。共享 Wi-Fi 密码使网络置于风险之中。
2.使用 MAC 地址进行身份验证也同样糟糕,甚至更糟。
使用 MAC 地址进行身份验证看似比共享密码好一些,因为 MAC 地址对每台设备都是唯一的。但在某些方面,使用 MAC 地址要更糟糕。
美国网络安全公司(U.S. Cybersecurity)是一家为企业提供全方位网络安全服务的公司,该公司表示,企业在 MAC 地址方面犯的首要错误就是依赖 MAC 地址进行身份验证。在基于 MAC 地址的网络身份验证机制中,每个 MAC 地址都以纯文本的形式在网络上发送,导致网络很容易被攻破。
由于 MAC 地址是纯文本,黑客很容易就能获取。一旦获取了设备的 MAC 地址,黑客就能使用 MAC Changer 等简易工具更改自己设备上的 MAC 地址,使其与网络信任的设备的 MAC 地址一致。犯罪分子伪装成授权用户,通过这种 MAC 欺骗手段渗透到网络中,从而获取更多凭证,还能访问存储组织敏感数据的服务器。
基于 MAC 地址的身份验证无法保证 Wi-Fi 安全。
3.无论使用什么方法,都有风险。
使用 PSK 的 Wi-Fi 验证和使用 MAC 地址的验证都存在重大缺陷。这两种身份验证方法都无法将每台设备与用户关联,也无法评估设备的安全状况。
如果组织使用 PSK 或 MAC 地址来验证 Wi-Fi 网络,网络犯罪分子就可以对其进行攻击。网络攻击对与企业或学校相关的社区的方方面面都有影响。学校网络安全漏洞危及人群包括学生、教职员工、家长等。
网络攻击的代价很大。组织可能会损失数百万美元,还会破坏与组织有往来的整个社区的信心和信任。
三、如何防范?
立即停止使用共享 Wi-Fi 密码或 MAC 地址作为身份验证方法。
至少需要为使用网络的每个用户设置安全且唯一的 Wi-Fi 用户名和密码。这些凭证必须安全存储在身份管理系统中,如 Microsoft Azure AD(Entra ID)。这样做可以消除共享 Wi-Fi 凭据和纯文本凭据。
保护网络安全更好的方法是采用无密码认证,即零信任。利用遵循 EAP-TLS 协议的 PKI 为所有设备和用户颁发证书。不需要共享任何内容,也不需要密码。让验证更加快速、简单、安全。
1.RADIUS 是基础
RADIUS 协议是访问控制的行业标准。为用户和设备提供安全、经过验证的 Wi-Fi 和连接网络访问。IT 人员可为不同角色分配不同的访问权限。个人用户只能访问所需的信息。
RADIUS 被视为一种 AAA 协议,因为能为 Wi-Fi 访问实现身份验证、授权和记账。AAA 协议意味着要对凭证进行验证,只有有效用户才有权使用网络。这样就能保证网络访问的安全性。AAA 协议还意味着会准确记录每个用户和设备访问和离开网络的时间。
不仅需要对 IT 人员进行清晰的会计核算,还需要明确说明是否符合企业和教育机构负责的监管机构所制定的准则。AAA 协议可以解决 Wi-Fi 安全和跟踪 Wi-Fi 访问在认证、授权和访问三个方面的所有问题。
2.相关的Radius产品
市面上有不少的的Radius服务器产品,可以根据自己的需要进行选择,譬如说公司是否使用Google, Okta, Microsoft Entra ID等等云端IdP。
- Foxpass Cloud RADIUS: 简单又安全的解决方案
- Splashtop 的 Foxpass Cloud RADIUS 是一种 RADIUS 解决方案,可确保对 Wi-Fi 的访问安全,不会给 IT、用户或在预算方面造成任何负担。
- Foxpass Cloud RADIUS 可直接插入移动设备管理基础设施,如 Intune 或 Jamf,以实现高效的证书设置。此外,Foxpass Cloud RADIUS 可轻松同步 Google、Okta 和 Microsoft Entra ID,方便用户开始使用,在用户离开组织时也可以自动退出系统。
- FreeRADIUS:
- 开源且广泛使用的Radius服务器,适用于多种平台。
- 支持多种身份验证协议和数据库,适用于各种规模的企业。
- Microsoft Network Policy Server (NPS):
- 作为Windows Server的一部分,NPS提供强大的Radius认证和代理功能。
- 与Active Directory无缝集成,适合使用Windows环境的企业。
- ClearBox Enterprise RADIUS Server:
- 提供图形化用户界面,便于配置和管理。
- 支持多种身份验证方法和设备,适合中小型企业。
- TekRADIUS:
- 支持Windows操作系统,适合小型企业和家庭网络。
- 提供基本的Radius认证功能,易于配置和使用。
- Radiator RADIUS Server:
- 高度可配置和扩展,支持多种协议和数据库。
- 适合需要灵活性和定制化解决方案的大型企业。
- JumpCloud:
- 提供云端Radius服务,简化了基础设施的管理。
- 支持多种身份验证协议,适合希望将认证服务迁移到云端的企业。
参考
1)Foxpass: Cloud Radius Server & Cloud LDAP Server Authentication
