创建管理VLAN-The管理VLAN应在接入点的有线接口上创建。它是用来单独的管理流量,如SNMP和SSH,从数据流量。通过限制管理,以特定的VLAN,可以提供更安全的路径,关键流量,以防止其被“窃听风云”。
禁用非安全协议- 特别,禁用以下协议:
远程登录- 虽然远程登录允许远程管理登录到接入点,它不是一个安全协议,因为它发送全包括密码的数据以明文。禁用远程登录的所有VLAN,包括管理VLAN。
HTTP访问——对访问点的HTTP访问为用户和操作人员提供了通过web浏览器配置设备的能力。同样,这通常是一种不安全的特性,应该尽可能禁用。如果您的支持人员绝对必须具有对访问点的HTTP访问权限,那么应该将其仅限于有线管理VLAN。但是,由于使用明文传输的风险,我们强烈建议完全禁用HTTP访问。
其他非必要的管理协议-Nonessential管理协议应禁用。例如,如果你是不是在现有的网络管理框架使用SNMP,RMON,或CDP,禁用接入点的协议。
启用安全协议-Enable以下协议:
安全外壳协议(SSH)- 提供相同的功能的Telnet(远程访问的接入点的命令行界面),但通过一个安全通道提供通信。
TACACS或RADIUS- 使用TACACS或RADIUS来提供设备管理的中央认证框架。这将意味着你不必在每个接入点管理单个管理员帐户,并确保您可以轻松地更新和控制的无线设备的所有管理权限。
SNMP- 简单网络管理协议(SNMP)是一组通常用于管理网络设备的协议。如果你使用SNMP,你应该配置强大和复杂的社区字符串并经常更改它们。此外,你可能要考虑使用SNMP只读如果可能的话,因为它会阻止更改接入点配置SNMP设备;然而,这取决于你如何管理你的网络中,这也许是不可能的。
SNMP的流量应仅限于主机设备(SNMP网络管理工具)或子网的特定列表。IP地址过滤(也称为访问控制列表,或者访问控制列表)是一种常见的安全功能,而在这种情况下,它可以让你限制将发送和接收SNMP流量的设备。
防止第2层MAC地址欺骗
许多接入点和网络设备允许您配置2层MAC地址欺骗的预防。此步骤防止设备从使用自己以外MAC地址。许多攻击都基于欺骗不同的MAC地址,这一步将有助于减少这种风险。
注意 -公开安全包转发(PSPF)是思科的一项特性,它允许您阻止wlan上的客户端间通信。这意味着两个站点不能有意识地,或者更重要的是,无意地与使用同一AP的其他站点共享文件。PSPF允许网络访问客户端设备,而不提供LAN的其他功能,比如对等网络。这一功能对于机场或大学校园安装的公共无线网络尤其有用。
降低发射功率,以只需要覆盖
接入点可以在不同的信号强度发射。较高的信号强度,更大的距离,该距离RF传播,因此,较大的覆盖区域。为了避免连接到你的WLAN未经授权的用户的风险,不要让你的无线信号“出血” uncontrolably到周围区域是很重要的。
通过降低发射功率,可以更仔细地管理您的电池尺寸和设计,控制到你的WLAN的外部延伸的物理建筑或办公空间的程度。
管理的权力和范围内通过降低潜在的威胁到你的WLAN提高了安全性。尽管这种技术减少了占用空间,攻击者可以使用利用该网络,它只防止偶然发现。DoS攻击是仍有可能为攻击者仍可以传输到您的网络造成无线电干扰。
考虑定向天线
定向天线允许你塑造你的WLAN的覆盖区域。虽然不是一个安全设置本身,定向天线可以,像降低发射功率,帮助确保无线覆盖范围不渗入的区域,你不想盖。即使在物理和逻辑安全性紧张,没有理由对你的足迹延伸到不受控制的领域。
注意 -定向天线也可以被用来在有问题的部署空间,如大型工厂车间,走廊和手术室提供更准确的报道。
物理安全的AP
你应该在物理安全的接入点。许多制造商安装支架,使您可以物理方式锁定接入点。这很重要,因为接入点可以包含在你的网络的配置信息。保证了设备的物理安全不仅保护你的资本资产也将删除其中一个攻击者可以针对您的部署更多的潜在区域。
使用AAA
您使用的身份验证,授权和计费(AAA)架构是所有网络安全的重要,和WLAN的并没有什么不同。无线局域网需要一个方法来验证用户和管理加密密钥交换。AAA系统提供支持这一在可伸缩性和弹性的方式所需要的工业实力的认证管理体系。作为骨干的服务,AAA系统需要有对EAP类型的支持广度,并且必须是可扩展的。
AAA和EAP
记住,EAP是确保你的无线局域网的无线传输推荐的方法,你应该确保你的AAA服务可以支持的EAP类型。在EAP协议族是“可扩展”的含义有不同的形式,包括一些专有版本。一些AAA服务器不支持所有EAP机制。如果你已经有了一个现有的AAA服务器在您的基础设施,这是至关重要的,你确保它支持EAP机制您选择适合您的WLAN。或者,你可以安装专门的WLAN使用专用的AAA服务器或服务器。然而,这很可能是成本太高,因为越来越多的设备需要不被收购,但在持续的基础上进行管理。
AAA可伸缩性和可用性
就像网络上的所有集中式服务,重要的是你的AAA基础设施的可扩展性和稳定性。由于AAA服务器是一个安全的网络基础,它们的可用性和可靠性是一个安全的网络至关重要。如果你正在部署大规模或全球网络,它相应的规划您的AAA架构是非常重要的。集中在单个系统上所有的认证是不是好的做法;最好是使用分布式系统与几个AAA服务器,以避免单一故障点。分布式AAA架构不仅具有更好的弹性和灾难恢复能力,而且还提供负载平衡可AAA服务器之间的额外好处。在全球部署,例如,它是常见的有AAA服务器区域分散。这不仅确保你有一个弹性的系统,但它也使认证业务区域。
一些解决方案允许AAA服务驻留在本地,这意味着该认证是对AP进行或交换机服务该WLAN。该解决方案可为大规模部署非常有吸引力的,你可能有本地无线局域网的数百或数千(例如,在小型零售商店或银行分支机构)。
请记住,失去连接到您的AAA服务器意味着用户不能进行身份验证;因此,WLAN-作为传输介质的网络作为一个整体,是不可用的。因此,一个强大的AAA架构是必不可少的。
物理安全的办公空间
任何网络的必要性是确保环境的物理安全性。您的无线网络是没有什么不同,并在某些情况下,可以考虑由入侵者攻击更加敏感,因为接入点通常不放置在安全的布线室,而是在空旷地方。因此,有必要,原因是多方面的,您在您的办公空间和邻近地区具有良好的物理安全性。
注意 -许多大公司都有相当大的停车场或围绕他们的办公楼公共区域。为谨慎起见,让您的安全人员知道,不请自来或“可疑”的访客也许尝试窃听你的无线局域网。教育他们要注意潜在的战争步行者和战争的驱动程序。
与你的用户进行交流
一个强大的无线安全状况,强大的无线安全策略和全面的安全程序都贬值了,如果你的用户群是不知道他们的或无知的不良行为的风险。因此,与你的安全起见,用户的沟通是确保你的无线局域网的一个基本方面。绝大多数用户都将受到欢迎合作伙伴在持续的安全努力,如果他们成功地参与和接受教育怎样的帮助。
考虑使用多种通信方法来提供你的用户社区提供有关无线网络的综合信息来源。包括常见问题解答,用户教育文档,WLAN新闻公告,部署更新,甚至指向软件和外部资源。我们建议,在最起码,你从事与关于以下三个主题的WLAN用户的通信:
WLAN安全策略- 您的无线安全政策应该是明确而当传达给用户简洁。使策略易于理解且无尽可能多的技术术语越好。
无线基础-Educate你的好处和无线网络的基础知识的用户。绝大多数的用户将与您合作,通过负责任的行动,以确保您的网络。例如,当人们了解风险与流氓接入点相关联,大多数会避免安装它们。善待你的用户作为合作伙伴,它们将极大地帮助您保护您的网络。
安全发展的最新信息当他们知道发生的事态发展在无线安全领域,包括目前的风险,常见类型的攻击,以及可能的入侵的努力(黑客) - 您的网络用户提供最好的服务。网络安全是新的攻击和工具正在不断地开发出不断发展的领域。它仍然意识到发展,在这一领域,并传递给用户社区及时的信息是非常重要的。
安全无线在家
如果你的公司给您的用户提供远程访问服务,那么一个家庭无线网络的政策和指南建议。许多大型企业允许他们的用户连接到离家企业网络。在许多情况下,不仅通过标准模拟调制解调器也通过“永远在线”的高速连接,如电缆调制解调器,xDSL的,ISDN,甚至专用的帧中继或广域网链路上提供这些远程访问服务。在所有情况下,它公布在家里接受使用无线设备的严格的准则是非常重要的。考虑到这些服务公司网络有效延长到用户的家中。被安装在家里的WLAN接入点只不过是一个流氓AP不同,因此沿同样的风险带来的。
为减轻这些威胁的不同的策略接下来讨论。请注意,并非所有的解决方案能够充分扩展企业网络的支持WLAN的家。
潘基家庭无线对企业远程接入设备
策略决定可以简单地做出禁止在用户家对企业设备中使用的无线接入点。这在某种程度上是最简单的解决但对用户最不利影响的人。然而,任何这样的禁令需要对这样的位置的优劣教育之前。
提供家庭接入点企业支持
可以创建推荐或支持WLAN设备的列表,以及每个特定配置准则。您的用户则可以配置使用提供的说明自己的接入点与公司的安全要求一致。
提供家庭无线建议措施
可以提供用户的专门针对家庭无线网络的推荐做法的列表。这些最佳实践可能无法提供每一个制造商和接入点的模型的详细配置原则,但他们应该提供建议用户在安全配置他们的设备的“高级别”的概念。
提供一个简单的一步一步的指导如样品呈现here._双重办法由“快速设置”以及更全面的和详细的版本是理想的: