《无线网络安全的最佳做法(下)电脑资料》由会员分享,可在线阅读,更多相关《无线网络安全的最佳做法(下)电脑资料(3页珍藏版)》请在金锄头文库上搜索。
1、无线网络平安的最正确做法(下) 电脑资料 金融效劳提供商受到为数众多的客户资料平安保障规那么的制约, 虽然每种规那么的详细情况不同,但金融效劳机构通过采取以下的无线网平安最正确做法可以建立一个被全行业遵守的规那么根底,继无线网络平安的最正确做法(上)之后,本文介绍了后五种最正确做法: 6.限制访问 无线网翻开了一个外人可以入侵的窗口,要想防止出现这种情况除非你能对其进展控制。选择并施行一个强有力的WLAN身份验证措施,最好选择有互相身份验证的WPA2企业标准 (802.1X)。假如你所在的组织缺乏这方面的技能、根底设施或对802.1X的客户端支持,你还可以使用WPA2个人标准(PSK),但请至
2、少使用含有13个字符长度并定期更改的随机密码。永远不要依靠MAC地址过滤器作为你唯一的访问控制措施。假如你的WLAN提供guest级的互联网访问权限,请限制它所能访问的内容,并对那局部网络通信做日志,从而减少对公司业务造成的风险。 7.无线监测 虽然许多规那么强烈建议采用全天候分布式无线入侵检测或防御系统(WIDS/WIPS),但也允许在那些处理受控数据的站点上进展周期性的扫描。前者效率更高,效果也更加明显,特别适用于大规模的无线局域网。无论选择哪种方式,你都需要知道你监测的对象不仅仅是无线接入点欺诈,还包括未经受权的客户、配置错误的设备、意义不明确的平安策略、平安侦查、攻击通信流量,以及彼此
3、相连或连到外部WLAN的异常客户端, 8.做好准备 监测只是某种手段,你需要安装一个WLAN事件响应程序。例如,你如何暂时屏蔽掉异常的AP?您如何找它,并从物理上移除它?你需要审查所有的扫描结果、无线入侵检测或入侵防御系统的警报和流量日志,从而及时评估潜在的威胁。实际上,利用自动化的工具(如无线入侵检测或入侵防御系统)对网络连接进展跟踪和隔离,可以实时地制止入侵。请确保监测工具可以搜集充足数据,使得事件响应和取证调查更加准确。 9.保护终端 一台被盗的销售点终端或一台被黑了的笔记本电脑可以轻易获得受权并使用加密的连接,由此侵入具有严密保护措施的无线网络。这时,你可以采用远程访问平安的最正确做法
4、,使得无线终端互相隔绝,阻止丧失和被盗的挪动设备对无线网络进展未受权的访问。假如您的组织施行了网络访问控制(NAC),那么你可以对无线连接设备的完好性进展检查,并使用主机入侵检测或防御手段阻止终端的异常行为(如,同时对有线网络和无线网络进展连接)。 10.评估和改良 永远不要认为平安措施会像预期那样,你的平安审计人员就不会这么认为。你需要对无线连接的网络和设备进展浸透测试,它会有意触发WIDS/WIPS警报,捕获通无线信流量并对其进展分析。你可以尝试着从不同的位置去连接未经受权的设备和用户,记录下会发生的情况,然后通过对已发现的破绽打上补丁来进步平安标准。你需要定时或不定时进展平安评估,以找到并修复新发现的破绽,比方你可以通过对接入点、控制器或客户端打上平安补丁,阻止新型的 攻击。 综上所述,假如金融企业肯花时间评估无线平安威胁、访问权限、保障传输平安、对无线数据进展强有力的平安加密以及采取其他一些重要措施,其自身的平安性甚至可以超过审计人员的预期。 模板,内容仅供参考
