解决方案 >> 技术博客

添加居易科技中国分公司微信公众账号

获取最新的居易产品更新,功能介绍,促销资讯

拒绝无线万能钥匙-改进无线网络安全

自从有了一些分享无线网络密钥的工具(例如xx钥匙)之后,家庭和企业的无线网络就变得不再安全,家庭网络敏感信息不多,而且内网设备一般都会关机,所以问题还不算很大。企业网络的密码被泄露就很麻烦了,因为内网往往有文件服务器,办公服务器,被人入侵后就会产生巨大的损失。

使用传统的基于WPA2+密钥的验证方式很难解决这种安全问题,因为网管很难管控到每个员工手机上安装了什么APP。

 

Portal认证难以解决内网安全问题

有的企业叠加了网页portal认证,就是在连上无线后,再进行一次网页认证,才能接入上网。但是,其实这并不能解决内网安全的问题,因为在认证的时候,往往连上的设备已经可以无障碍的连接内网任何设备了,portal认证只是阻挡了他访问Internet罢了。对于普通的蹭网者,这是有效的阻止了蹭网,但是对于黑客来说,他更关心的是你的内网。

 

从内网安全的角度考虑,我们建议采用以下措施:

 

一、 采用802.1X认证替代基于无线密钥的认证方式

基于前文所述,使用密钥,一旦泄露,整个网络就暴露给外界,而且,管理员还很难知道什么时间点泄露的,所以基于802.1X的认证,每个用户独立用户名密码,更加安全。

可以参考我们的配置文档《如何让路由器无线使用用户名密码登录接入网络》

 

二、 如果要开放针对来访者的网络,最好独立一个无线网络给访客,独立网络名+独立网段,并且禁止访客网段和公司内网的互通

 

如果使用Vigor路由器内建的无线,例如2922n,2925n,2926n,2926AC等产品内建无线,可以按照如下设定。

1. 先设置一个额外的SSID,如下图,设置一个额外的SSID,禁止该网段访问VPN,并且可以配置对此无线网络限速

2. 然后在VLAN设定里面,将这个SSID独立到另一个网段,如下图,物理端口和无线网络1作为默认的第一子网,而刚刚设置的无线网段2使用第二子网。

 

 

3. 第二网段默认是192.168.2.1,如果需要修改,点击“详情页面”进行修改。注意下方的Inter-LAN不勾,就可以让两个网段互相不通。

 

 

如果使用的是AP来建立无线网络,可以通过端口VLAN或者802.1q VLAN的配置来实现。参考《基于802.1Q的VLAN设定以及互通限制》文章

 

三、如果有必要,还可以进一步叠加防火墙策略,基于对象的网络管理,IP / MAC地址绑定等功能,可以参考本司知识库的其他文章

点击次数: 5381