-
聊聊企业无线网络安全
不知不觉无线网络已经成为了办公网主流。最早接触无线网络的时候是2001年,那时候笔记本电脑还比较少见,标配也不支持无线网络,要使用无线网络需要另外加一块PCMIA接口的无线网卡。第一次体验无线网络的时候,抱着笔记本插着无线网卡从会议室走到楼道一致PING,看到延时和信号的强弱变化,感觉移动办公很神奇。现在不仅笔记本,台式机主板上面都有无线模块。 这些年见证了办公网无线办公不断进化,从有线为主无线为辅,到有线和无线并重,到现在无线为主。背后是无线网络标准不断进步,速度也越来越快。 无线网标准演化
图来源:https://www.zhihu.com/question/29977752
随着无线网络的普及,逐步碰到一些挑战,比如对稳定性、覆盖率的要求,对视频会议体验的要求等等,但是对无线网络安全更容易被忽视。比如有些企业使用家用的路由器,有些WiFi密码常年不变,有些只要接入无线网络任何内部系统就都可以访问。 无线网络的基本安全涉及到三个方面:产品;认证;网络隔离
在产品安全方面,建议使用企业级的无线产品,企业级的产品在性能上支持高并发,更稳定可靠。在功能上支持统一管理,整合了流量监控、常见认证、可以细粒度的权限配置等。另外,要关注产品的漏洞和版本升级,及时升级产品固件版本减少风险。 在认证安全协议方面,WiFi安全协议主要为WEP、WPA、WPA2、WPA3,建议如果支持配置成WPA3。 
图来源:https://community.fs.com/blog/wep-vs-wpa-vs-wpa2-vs-wpa3.html
在认证口令方面,建议设置复杂密码并定期更换。有些企业无线网络产品支持和域控、钉钉、企业微信等认证服务器打通,这种认证方式更好。可以设置密码复杂度规则,随着人员离职账号也会禁用,并且可以做到每个人都有自己的口令。 大部分企业无线网络产品支持802.1X协议,可以支持MAC地址、证书等认证方式,可以进一步识别接入终端,从认证上提升安全性。 在网络隔离方面,建议针对不同办公需要配置不同SSID网络,比如访客、普通办公、技术需要访问的系统不一样,配置不同的无线网络。登入以后对权限也做响应的限制,只允许连接互联网和访问必须的系统,通过无线网络的隔离提高安全性。 最后,再聊聊无线网络安全的个人使用习惯: · 不要泄露自己企业的WiFi密码 · 外出笔记本电脑要使用无线网络,尽量使用自己的热点,尽量不使用公共场所的WiFi · 不要使用WiFi密码共享APP · 自己家里的WiFi认证设置为WPA3,不支持WPA3,设置成WPA2 · 自己家里的SSID设置成中文,一些WiFi嗅探工具不支持中文SSID · 自己家里的设置复杂密码,定期更换
云和安全管理服务专家
