我们有时更注重网络的无线侧,当谈到安全性,因为无线网络没有物理围墙。毕竟,战争驱动器可以检测你的SSID,并同时在停车场坐了发动攻击。
但在一个充满内部威胁、来自外部的有针对性攻击、以及利用社会工程获得企业网络物理访问权的黑客的世界里,网络有线部分的安全也应该是最重要的。
因此,无论您是小型企业还是大型企业,对于网络的有线端,以下是一些基本的安全预防措施。
1.执行审计和映射
如果你最近没有,你应该做你的网络的一些审计和映射。总是有整个网络基础设施的一个清晰的认识,比如供应商/型号,位置,以及防火墙,路由器,交换机,以太网电缆和端口,和无线接入点的基本配置。加准确地知道服务器,计算机,打印机和其他设备连接的东西,在那里它们被连接,并在整个网络中的连通路径。
在审计和映射过程中,您可能会发现特定的安全漏洞或提高安全性、性能和可靠性的方法。您可能会遇到配置错误的防火墙或物理安全威胁。
如果您使用的是一个只有几个网络组件和十几个或更少工作站的小型网络,那么您可能只需手动执行审计并在一张纸上创建一个可视化的地图。对于较大的网络,您可能会发现审计和映射程序很有用。他们可以扫描网络并开始生成网络地图或图表。
2.保持网络上的最新
一旦你有了一个基本的网络审计和地图完成,考虑更深的潜水。检查所有网络基础设施组件上的固件或软件更新。登录到组件以确保默认密码已被更改,检查任何不安全配置的设置,并查看当前未使用的任何其他安全特性或功能。
+也在网络世界有个足球雷竞技app8免费Wi-Fi安全工具+
接下来看一下连接到网络的所有计算机和设备。确保基本操作系统和驱动程序更新,个人防火墙激活,杀毒软件运行和更新,密码设置。
3.物理上保护网络
虽然常常被忽视或最小化,网络的物理安全性是一样的说您的Internet防火墙面临的关键。正如你需要,以防止黑客攻击,僵尸网络以及病毒,你需要抵御本地的威胁了。
没有你们的建设和网络,黑客附近,甚至雇员可以利用它的强大的物理安全性。比如,也许他们插上无线路由器成为一个开放的以太网端口,让他们和其他人在附近的无线访问您的网络。但是,如果该以太网端口是不可见的,或者至少断开,那么就不会发生。
确保你有一个好的建筑安全计划,试图阻止外人进入。然后确保所有布线柜和/或其他放置网络基础设施组件的地方都有物理安全保护,不受公众和员工的伤害。使用门锁和柜子锁。验证以太网电缆是跑出视线和不容易访问;无线接入点也是如此。断开未使用的以太网端口,物理上或通过交换机/路由器配置,特别是那些在大楼的公共区域。
4.考虑MAC地址过滤
有线网络的一个主要安全问题是缺乏快速和简单的认证和/或加密方法;人们只需插上电源就可以使用网络。在无线端,您至少拥有易于部署的WPA2-Personal (PSK)。
虽然MAC地址过滤可以通过确定的黑客绕过,它可以作为安全的第一层。它不会完全停止黑客,但它可以帮助您阻止雇员,例如,从造成潜在的严重的安全漏洞,如允许客人插头插入专用网络。它也可以让你更好地控制哪些设备是在网络上。但是不要让它给你安全的假象,并准备批准的MAC地址列表保持最新。
5.实现vlan来隔离流量
如果你与尚未分割成虚拟LAN的小型网络工作,考虑作出改变。您可以利用的VLAN组以太网端口,无线接入点,以及多个虚拟网络中的用户。
也许使用VLAN的流量类型(一般接入,VoIP,SAN,DMZ)的网络性能或设计的原因和/或用户类型(员工,管理层,客人)出于安全原因分开。配置为动态分配的VLAN时是特别有用的。举例来说,你可以插上网络上你的笔记本电脑或任何地方通过Wi-Fi和自动放到你指定的VLAN。这可以通过MAC地址标签来实现或更安全的选择是使用802.1X认证。
要使用vlan,您的路由器和交换机必须支持它:在产品规范中寻找IEEE 802.1Q支持。对于无线访问点,您可能需要同时支持VLAN标记和多个ssid的访问点。通过使用多个ssid,您可以提供多个虚拟wlan,这些虚拟wlan可以分配给某个VLAN。
6.使用802.1X进行身份验证
由于涉及的复杂性,网络的有线端上的身份验证和加密常常被忽略。加密无线连接是常识,但不要忘记或忽略有线连接。本地黑客可以在没有任何东西阻止他们发送或接收信息的情况下插入您的网络。
虽然部署802.1X身份验证不会加密以太网流量,这样做至少可以从网络上发送或访问任何资源,直到他们所提供的登录凭证阻止他们。你可以利用认证无线侧为好,实现与AES加密,这比使用WPA2个人级(PSK)很多好处的企业级WPA2安全。
802.1X身份验证的另一个巨大好处是能够动态地将用户分配给vlan。
要部署802.1X身份验证,首先需要一个远程身份验证拨号用户服务(RADIUS)服务器,它基本上充当用户数据库,是授权/拒绝网络访问的组件。如果你有一个Windows服务器,你已经有一个RADIUS服务器:网络策略服务器(NPS)角色;或者在旧的Windows服务器版本中,它是Internet身份验证服务(IAS)角色。如果您还没有服务器,您可以考虑独立的RADIUS服务器。
欲了解更多有关802.1X认证,检查出我的两个以前的文章:6个秘诀成功部署802.1X和8无成本/低成本工具部署802.1X安全。
7.使用VPN的加密选择PC或服务器
如果你真的希望保护网络流量,可以考虑使用加密。请记住,即使VLAN和802.1X认证,有人可以在网络(VLAN)上窃听捕捉到未加密的流量,其中可能包括口令,电子邮件和文件。
虽然你可以加密所有的交通,首先要分析你的网络。它可能更有意义,你认为这是不是已经加密,如通过SSL / HTTPS最敏感的只是选择加密通讯。您可以通过敏感的流量通过客户端,这可能只是敏感的通信过程中使用或被迫在一个标准的VPN中使用所有的时间。
8.加密整个网络
您也可以加密整个网络。一种选择是IPsec的。一个Windows服务器可以作为IPsec服务器和客户端功能是原生的Windows,以及支持。然而,加密过程可在网络上相当的管理负担;有效的通过率会大大下降。也有从网络供应商,其中很多都使用了2层的办法,而不是3层IPsec等,以帮助减少延迟和开销专有网络的加密解决方案在那里。
埃里克:是一名自由撰稿人——在Facebook或Twitter上关注他的文章。他也是NoWiresSecurity以及基于云的Wi-Fi安全服务现货科技股,一个技术支持的公司。