提高有線網(wǎng)絡(luò)安全的8個(gè)方法
來(lái)源:網(wǎng)界網(wǎng)
摘要: 當(dāng)涉及安全性時(shí),我們有時(shí)會(huì)更側(cè)重于無(wú)線網(wǎng)絡(luò),因?yàn)閃i-Fi沒(méi)有物理圍欄。畢竟,攻擊者可以在外部,檢測(cè)到你的SSID并發(fā)起攻擊。但面對(duì)內(nèi)部威脅、有針對(duì)性的攻擊,以及利用社交網(wǎng)絡(luò)獲取對(duì)企業(yè)網(wǎng)絡(luò)的物理訪問(wèn),有線網(wǎng)絡(luò)的安全也應(yīng)該...
Abstract:
Key words :
當(dāng)涉及安全性時(shí),我們有時(shí)會(huì)更側(cè)重于無(wú)線網(wǎng)絡(luò),因?yàn)閃i-Fi沒(méi)有物理圍欄。畢竟,攻擊者可以在外部,檢測(cè)到你的SSID并發(fā)起攻擊。
但面對(duì)內(nèi)部威脅、有針對(duì)性的攻擊,以及利用社交網(wǎng)絡(luò)獲取對(duì)企業(yè)網(wǎng)絡(luò)的物理訪問(wèn),有線網(wǎng)絡(luò)的安全也應(yīng)該是重點(diǎn)。
下面是幫助企業(yè)提高有線網(wǎng)絡(luò)安全的8種方法,無(wú)論你是小型企業(yè)還是大型企業(yè)。
1.執(zhí)行審計(jì)和繪圖
如果你還沒(méi)有這樣做,你現(xiàn)在應(yīng)該開(kāi)始對(duì)網(wǎng)絡(luò)進(jìn)行審計(jì)和繪圖。你應(yīng)該始終清晰地了解整個(gè)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施,例如供應(yīng)商/型號(hào)、位置,以及防火墻、路由器、交換機(jī)、以太網(wǎng)布線和端點(diǎn)以及無(wú)線接入點(diǎn)的基本配置。你還需要知道哪些服務(wù)器、計(jì)算機(jī)、打印機(jī)和任何其他設(shè)備連接到網(wǎng)絡(luò)上、何時(shí)被連接,以及其在整個(gè)網(wǎng)絡(luò)的連接路徑。
在審計(jì)和繪圖的過(guò)程中,你可能會(huì)發(fā)現(xiàn)特定的安全漏洞,以及提高安全、性能和可靠性的方法。也許你還會(huì)發(fā)現(xiàn)未正確配置的防火墻或者物理安全威脅。
如果你的網(wǎng)絡(luò)只有幾個(gè)網(wǎng)絡(luò)組件以及十幾個(gè)工作組,你可能只需要手動(dòng)執(zhí)行審計(jì),在紙上繪出視覺(jué)地圖即可。而對(duì)于較大型網(wǎng)絡(luò),你會(huì)發(fā)現(xiàn)審計(jì)和繪圖過(guò)程非常有用。你可以掃描網(wǎng)絡(luò),并生成網(wǎng)絡(luò)視圖或示意圖。
2. 保持網(wǎng)絡(luò)更新
在完成基本的網(wǎng)絡(luò)審計(jì)和繪圖后,應(yīng)該檢查所有網(wǎng)絡(luò)基礎(chǔ)設(shè)施組件的固件或軟件更新。同時(shí),確保這些組件沒(méi)有使用默認(rèn)密碼,檢查任何不安全的配置,并調(diào)查你沒(méi)有使用的其他安全功能或特性。
接下來(lái),看看所有連接到網(wǎng)絡(luò)的計(jì)算機(jī)和設(shè)備。確保基本安全性,例如OS和驅(qū)動(dòng)程序更新、個(gè)人防火墻處于活動(dòng)狀態(tài)、防病毒正在運(yùn)行,并設(shè)置密碼。
3. 物理地保護(hù)網(wǎng)絡(luò)
雖然物理網(wǎng)絡(luò)安全常常被忽視,但這與面向互聯(lián)網(wǎng)的防火墻一樣重要。正如你需要抵御黑客攻擊、僵尸網(wǎng)絡(luò)以及病毒,你也需要抵御本地的威脅。
如果你的網(wǎng)絡(luò)以及所在的建筑物的物理安全沒(méi)有保障,附近的黑客或者甚至是員工都可以利用你的網(wǎng)絡(luò)。例如,他們插入一個(gè)無(wú)線路由器到開(kāi)放以太網(wǎng)端口,便能夠無(wú)線訪問(wèn)到你的網(wǎng)絡(luò)。但如果以太網(wǎng)端口不可見(jiàn)或者斷開(kāi),這種情況就不會(huì)發(fā)生。
確保你部署了一個(gè)建筑物安全計(jì)劃,以阻止和防止外部人員進(jìn)入。然后,確保網(wǎng)絡(luò)基礎(chǔ)設(shè)施組件所在的所有配線柜和/或其他位置的安全性,使用門鎖和機(jī)柜鎖。確保以太網(wǎng)電纜不可見(jiàn),并且不容易接觸;無(wú)線接入點(diǎn)也是如此。斷開(kāi)未使用的以太網(wǎng)端口,特別是在建筑物的公共區(qū)域。
4.考慮MAC地址過(guò)濾
有線網(wǎng)絡(luò)的一個(gè)主要安全問(wèn)題是缺乏快速簡(jiǎn)便的身份驗(yàn)證和/或加密方法;人們可以隨意插入并使用網(wǎng)絡(luò)。而在無(wú)線網(wǎng)絡(luò)方面,你至少需要WPA2-Personal。
雖然MAC地址過(guò)濾可能被攻擊者繞過(guò),但它至少可以作為第一道安全防線。它不能完全阻止攻擊者,但它可以幫助你防止員工制造嚴(yán)重的安全漏洞,例如允許訪客插入到專用網(wǎng)絡(luò)。它還可以讓你更好地控制哪些設(shè)備可以連接到網(wǎng)絡(luò)。但不要讓它給你安全的錯(cuò)覺(jué),并保持MAC地址的更新。
5.部署VLAN來(lái)隔離流量
如果你正在使用尚未被分割成多個(gè)虛擬局域網(wǎng)的小型網(wǎng)絡(luò),可以考慮進(jìn)行改變。你可以利用VLAN來(lái)分組跨多個(gè)虛擬網(wǎng)絡(luò)的以太網(wǎng)端口、無(wú)線接入點(diǎn)以及用戶。
你可以使用VLAN按流量類型(一般接入、VoIP、SAN、DMZ),或者按照性能或設(shè)計(jì)原因和/或用戶類型(員工、管理層和訪客),以及安全原因來(lái)分隔網(wǎng)絡(luò)。當(dāng)配置為動(dòng)態(tài)分配時(shí),VLAN特別有用。例如,你可以在網(wǎng)絡(luò)任何位置或通過(guò)Wi-Fi插入你的筆記本,并自動(dòng)分配VLAN。這可以通過(guò)MAC地址標(biāo)記來(lái)實(shí)現(xiàn),更安全的方法是使用802.1X身份驗(yàn)證。
為了使用VLAN,你的路由器和交換機(jī)必須支持它:在產(chǎn)品規(guī)范中查看是否有IEEE 802.1Q支持。對(duì)于無(wú)線接入點(diǎn),你可能想要同時(shí)支持VLAN標(biāo)簽和多個(gè)SSID的接入點(diǎn)。通過(guò)多個(gè)SSID,你能夠提供多個(gè)虛擬WLAN。
6.使用802.1X進(jìn)行身份驗(yàn)證
有線網(wǎng)絡(luò)方面的身份驗(yàn)證和加密經(jīng)常被忽略,因?yàn)檫@涉及很高的復(fù)雜性。IT通常會(huì)加密無(wú)線連接,但也不要忘記或忽略有線連接。本地攻擊者可能插入到你的網(wǎng)絡(luò),而沒(méi)有什么能夠阻止他們發(fā)送或接受信息。
雖然不熟802.1X身份驗(yàn)證不會(huì)加密以太網(wǎng)流量,至少可以阻止他們?cè)谑褂玫顷憫{證前發(fā)送或訪問(wèn)任何資源。并且,你也可以在無(wú)線網(wǎng)絡(luò)利用這種身份驗(yàn)證,通過(guò)AES加密部署企業(yè)級(jí)WPA2安全,這比使用WPA2的個(gè)人級(jí)加密有更多好處。
802.1X身份驗(yàn)證的另一大好處是動(dòng)態(tài)分配用戶到VLAN的能力。
為了部署802.1X身份驗(yàn)證,你首先需要一個(gè)遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)(RADIUS)服務(wù)器,它基本上是作為用戶數(shù)據(jù)庫(kù),也是授權(quán)/拒絕網(wǎng)絡(luò)接入的組件。如果你有Windows Server,那么你就已經(jīng)有了一個(gè)RADIUS服務(wù)器:網(wǎng)絡(luò)政策服務(wù)器(NPS)角色;或者在舊的Windows Server版本中,就是互聯(lián)網(wǎng)驗(yàn)證服務(wù)(IAS)角色。如果你還沒(méi)有服務(wù)器,你可以考慮獨(dú)立的RADIUS服務(wù)器。
7. 使用VPN來(lái)加密所選電腦或服務(wù)器
如果你真的希望保護(hù)網(wǎng)絡(luò)流量,可以考慮使用加密。請(qǐng)記住,即使你使用了VLAN和802.1X身份驗(yàn)證,仍然有人可以在網(wǎng)絡(luò)( VLAN)上竊聽(tīng)以捕獲未加密的流量,其中可能包括密碼、電子郵件和文件。
雖然您可以加密所有流量,首先請(qǐng)分析你的網(wǎng)絡(luò)。你應(yīng)該加密你認(rèn)為還沒(méi)有加密的最重要的通信,例如通過(guò)SSL/HTTPS。你可以通過(guò)客戶端上的標(biāo)準(zhǔn)VPN來(lái)傳輸敏感流量,這可僅用于敏感通信或用于所有通信。
8.加密整個(gè)網(wǎng)絡(luò)
你還可以加密整個(gè)網(wǎng)絡(luò)。一種選擇是IPsec。Windows Server可以作為IPsec服務(wù)器,Windows還支持客戶端功能。然而,加密過(guò)程可能給網(wǎng)絡(luò)帶來(lái)很大的負(fù)擔(dān);有效的傳輸率可能會(huì)大幅度下降。網(wǎng)絡(luò)供應(yīng)商還提供了專有網(wǎng)絡(luò)加密解決方案,很多采用2層網(wǎng)絡(luò)方法,而不是3層網(wǎng)絡(luò)(例如IPsec)來(lái)幫助減少延遲性和開(kāi)銷。
此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。