问:对于我们中小企业的无线网络来说,最佳的无线网络安全策略是什么呢?
答:在“中小企业最佳WiFi安全”这篇文章中Mike Chappel介绍了中小企业使用的WPA2-Personal (PSK)和WPA2-Enterprise (802.1X)。WPA2-Personal一般采用共享口令的方法来验证连接到同一WLAN的每一个用户,而WPA2-Enterprise通常是采用基于证书的验证方法,包括机器证书、Windows用户名/密码、SecurID令牌等。
正如Mike所介绍的那样,WPA2-Enterprise对中小企业来说有点困难,因为它需要一个RADIUS服务器链接到一个包含了用户证书的账户数据库,每个Wi-Fi客户端都必须配置用户证书。为了使WPA2-Enterprise更加适用于中小企业,可以有两种实施方法,一种是AP或WLAN控制器与一个嵌入式RADIUS服务器,另一种是托管RADIUS服务(或基于云的RADIUS服务)。这两种方法对许多中小企业都非常适合,并且值得付出一些相关的努力或费用来得到一个强健的、粒状的WLAN安全。
然而,这两种方法都仍然需要配置Wi-Fi客户端(802.1X客户端)来识别并接受服务器的证书,以及响应那个RADIUS服务器所期望的可扩展的认证协议(EAP)类型。虽然这个配置并不是很复杂的事,但也不像口令那样简单。因为802.1X至少需要一个服务器认证,在那些GUI有限的设备(如智能手机或无线打印机)上进行配置会更难。最后我想说,802.1X问题对故障修复来说都是小问题。
那些认真考虑过但认为他们并不需要WPA2-Enterprise (802.1X)的中小企业应该知道使用WPA2-Personal(PSK)也有许多方法能使企业网络更好更安全的。对初学者来说,PSK安全主要依赖于你所选择的口令长度和强度。建议使用一个混合型的口令,至少有20个字符长,避免使用一些字典中能够找到的单词,并且用一个不太一样的SSID。为了测试你WPA2-Personal口令的强度,你可以通过运行一个在线WPA Cracker来试试。
尽管如此,即使是一个强壮的口令也仍然会很容易遭受共享密码风险,例如,那些不应该得到口令的人得到了口令,或者如果一个员工被解雇了,或笔记本电脑丢了,而不得不去修改口令。为了避免这些问题,可以考虑使用支持动态per-user口令的AP。802.11标准的不需要每个客户端都使用相同的PSK;一些供应商们已经对这一特点加以利用了,他们为每个用户分配了唯一的口令。Per-user口令可以阻止内部攻击(如解密其他用户的流量)。动态per-user口令是有时限的,所以来宾只是在一个限定的时间段内可以进行访问。也有一些措施可以帮助访问者或帮助台来进行注册以获取动态口令,这样就简化了口令的生成和分配。