在今天,大多数计算机网络都是无线网络,更易管理,移动性更强,而且成本也更低。而另一方面,无线网络也更容易受到攻击,因为企业无法将网络的物理范围控制在办公楼内,大街或停车场上的任何人都有可能伺机获取企业无线网络的访问权限,攻击者的位置也无从查明。
1. 无线网络安全的短板
实际上,完全安全的无线网络几乎不存在。负责 IT 安全的管理员一般会在无线接入点中设置一个 SSID 密码和一个相对复杂可靠的 WEP 或 WPA 密钥,然后就算大功告成。这些用于访问无线网络的凭证有时会在企业内部分享,甚至发给访客。任何用户只要拥有这些凭证就可以进入企业的无线网络。一旦联网成功,还可以访问很多其他的 IT 资源,具体取决于企业本地和云上部署了哪些资源。
WPA 和 WEP 的安全标准被认为是最低标准。另一个威胁安全的常见错误是忽略对无线网络的分段,导致网络无法直接连接到企业的关键基础架构。
这么看来,企业的无线内网安全似乎岌岌可危。所幸,现在有更好的方法来保护无线网络。
2. RADIUS 认证保障无线网络安全
保护企业网络非常重要的一步是验证无线网络上的每个用户。为此,企业可以将目录服务和无线网络设施集成。最简单方法是通过 RADIUS 协议,RADIUS 是网络认证和授权的通用标准。
RADIUS 认证过程如下:企业用户首先登录笔记本或台式机上的客户端,将身份凭证传递到 RADIUS 服务器,再传递到企业的目录服务器决定授予或拒绝用户的访问权限。
RADIUS 认证的安全级别非常高,实施起来却非常复杂。企业不仅要将无线网络对接到目录服务,还需要负责 RADIUS 服务器的运维。
3. LDAP 让 RADIUS 认证更简单
很多现代化企业已经找到了两全其美的方案,那就是结合 RADIUS 和 LDAP 两种协议保障无线网络的访问安全。
这种方案最大的优势在于企业无需管理运维任何服务器。这一方案称为身份目录即服务(Directory as a Service, DaaS),采用了基于 SaaS 的 RADIUS 和 LDAP 认证服务,可有效加强无线网络的身份验证和授权环节,实现无线安全。
DaaS 解决方案由第三方厂商提供,大幅减轻了企业管理员的安装部署和运维负担。管理员只需配置无线接入点和 RADIUS 云服务器进行通信,RADIUS 云服务器可自动与云目录服务器通信,轻松提升企业无线网络安全。
(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制。如欲了解无线网络安全更多内容,可前往宁盾官网博客解锁更多干货)
