無論您所在的企業(yè)規(guī)模如何�,運(yùn)用WPA2安全機(jī)制都將成為保護(hù)Wi-Fi網(wǎng)絡(luò)安全的良好第一步��。同時(shí)����,千萬不要使用該標(biāo)準(zhǔn)中安全性較低的PSK模式——這會帶來嚴(yán)重的潛在風(fēng)險(xiǎn)。
時(shí)至今日�����,利用Wi-Fi Protected Access II(簡稱WPA2)保護(hù)無線網(wǎng)絡(luò)安全已經(jīng)成為一種主流趨勢��,但許多小型甚至中型企業(yè)仍然在默認(rèn)使用WPA2標(biāo)準(zhǔn)中的個(gè)人或預(yù)共享密鑰(即PSK)模式���,而非其提供的企業(yè)模式。雖然看名字有點(diǎn)唬人�,但企業(yè)模式并非僅僅適用于大型網(wǎng)絡(luò)體系; 它同時(shí)也能夠融入各類不同規(guī)模的業(yè)務(wù)環(huán)境當(dāng)中。大家可能認(rèn)為純粹的個(gè)人模式更易于管理�����,不過考慮到企業(yè)網(wǎng)絡(luò)保障所提出的諸多要求,貪圖一時(shí)省事卻往往給未來的安全故事種下了禍根�����。
WPA2的企業(yè)模式采用802.1X驗(yàn)證機(jī)制���,其會給網(wǎng)絡(luò)提供一套額外的安全層����,且在設(shè)計(jì)思路方面更適合業(yè)務(wù)網(wǎng)絡(luò)而非個(gè)人使用模式�。雖然在初期配置方面,企業(yè)模式要求使用者投入更多資源與精力——舉例來說����,大家需要為遠(yuǎn)程認(rèn)證撥號用戶服務(wù)(簡稱RADIUS)提供服務(wù)器或服務(wù)支持——但整個(gè)過程不一定像各位預(yù)想的那樣復(fù)雜或者昂貴,無論是對單一企業(yè)還是需要面向多個(gè)組織的IT/托管服務(wù)供應(yīng)商而言皆是如此�����。
首先來談?wù)勎易约旱那闆r:我所管理的企業(yè)負(fù)責(zé)提供基于云的RADIUS服務(wù)��。不過平心而論�����,作為一名擁有一定經(jīng)驗(yàn)的網(wǎng)絡(luò)專業(yè)人士,企業(yè)級Wi-Fi安全方案才是各類業(yè)務(wù)網(wǎng)絡(luò)的最佳選擇����,具體理由我們將在下文中一同探討。而且需要強(qiáng)調(diào)的是��,大家甚至根本沒有必要使用托管RADIUS服務(wù)�。本文將提供多種其它RADIUS服務(wù)器選項(xiàng),而且其中一部分完全無需任何資金投入�。接下來就讓我們一同展開這場關(guān)于Wi-Fi安全網(wǎng)絡(luò)的探索與求證之旅。
企業(yè)模式的優(yōu)勢體現(xiàn)在哪些方面
誠然,每種模式都擁有自己獨(dú)特的優(yōu)勢��。PSK模式的初始設(shè)置非常簡單�����。大家只需要為接入點(diǎn)上設(shè)置一條密碼,而用戶在輸入這條正確的全局密碼后即可連接到Wi-Fi網(wǎng)絡(luò)當(dāng)中�����?��?雌饋砗敛毁M(fèi)力�����,但這種方法卻也存在著幾個(gè)問題���。
▲在個(gè)人或者預(yù)共享密鑰(即PSK)模式下,我們只需要設(shè)置一條全局Wi-Fi密碼����。
首先,由于網(wǎng)絡(luò)當(dāng)中的每位用戶都使用同樣的Wi-Fi登錄密碼�,因此任何一位離職員工都能夠繼續(xù)使用這一無線接入點(diǎn)——除非我們修改密碼內(nèi)容。很明顯��,修改密碼內(nèi)容意味著我們需要調(diào)整接入點(diǎn)設(shè)備的設(shè)置����,并把新密碼內(nèi)容向全部用戶公開——而在下一次登錄時(shí)��,他們需要至少正確輸入一次����,才能將其保存為默認(rèn)選項(xiàng)以備今后連接時(shí)使用�����。
而在企業(yè)模式下�����,每一位用戶或者設(shè)備都擁有獨(dú)立的登錄憑證�,大家可以在必要時(shí)對其進(jìn)行變更或者調(diào)用——而其他用戶或者設(shè)備完全不會受到影響。
▲在企業(yè)模式下��,用戶在嘗試接入時(shí)需輸入自己獨(dú)一無二的登錄憑證���。
接下來是使用PSK模式的另一個(gè)問題:Wi-Fi密碼通常會被保存在客戶設(shè)備當(dāng)中��。因此�����,一旦該設(shè)備丟失或者被盜,密碼也將同時(shí)遭到破解����。這意味著企業(yè)必須及時(shí)修改密碼內(nèi)容以避免惡意人士以未授權(quán)方式接入業(yè)務(wù)環(huán)境��。相比之下�,如果我們使用企業(yè)模式,那么只需要在設(shè)備丟失或者被盜時(shí)修改對應(yīng)密碼即可解決難題�����。
▲任何人都能輕松在Windows Vista或者后續(xù)Windows版本當(dāng)中查看已保存的PSK Wi-Fi密碼內(nèi)容�,這樣一旦設(shè)備丟失或者被盜,后果將不堪設(shè)想�。
企業(yè)模式的其它優(yōu)勢
使用企業(yè)Wi-Fi安全機(jī)制還擁有其它多種優(yōu)勢:
更出色的加密效果:由于企業(yè)模式所使用的加密密鑰針對每位用戶而有所不同,因此惡意人士很難以PSK最害怕的暴力破壞方式猜出Wi-Fi密鑰內(nèi)容���。
防止用戶間窺探: 由于每一位用戶在個(gè)人模式下都會被分配以同樣的加密密鑰內(nèi)容����,因此任何擁有該密碼的人都能夠利用Wi-Fi發(fā)送原始數(shù)據(jù)包,其中密碼內(nèi)容很可能被包含在非安全站點(diǎn)及郵件服務(wù)當(dāng)中�。而在企業(yè)模式方面,用戶無法解密對方的無線接入方式�。
動態(tài)VLAN:如果大家利用虛擬LAN來隔離網(wǎng)絡(luò)流量但又未采用802.1X驗(yàn)證機(jī)制,正如處于PSK模式下的情況���,那么我們可能需要以手動方式為靜態(tài)VLAN分配以太網(wǎng)端口及無線SSID�。不過在企業(yè)模式方面����,大家可以利用802.1X驗(yàn)證機(jī)制實(shí)現(xiàn)動態(tài)VLAN,其能夠自動通過RADIUS服務(wù)器或者用戶數(shù)據(jù)庫將用戶自動劃撥至此前分配的VLAN當(dāng)中�。
