作为一个拥有无线
网络的企业,
保护无线网络的安全也是他们的
工作之一,那么如何采取和采取措施来保护企业的无线网络呢这篇文章将给你一个例子,给你一个
详细的
介绍,希望一个朋友谁对此感到困惑,将使你阅读。
金融
服务提供商是由大量的客户信息安全规则的约束。如GLBA Gramm-Leach-Bliley(ACT),它涉及的范围很广,比较抽象,但它需要所有
类型的网络
都是风险
识别和评估,实现安全措施和监控他们,包括其他规定,如无线网络。作为著名的支付卡行业数据安全标准(PCI DSS),显然包括必须在WLAN范围内实施的标准,如
检测异常
操作和加密
传输的无线数据。虽然每个规则的具体
情况不同,金融服务机构可以建立规则库,其次是整个在采用以下最佳做法的无线网络安全产业。
1。了解你的敌人
为确保无线网络的安全,你必须了解你所面临的威胁。例如,PCI DSS要求每一个组织必须评估
处理持卡人数据的未经授权的无线接入点(AP)的威胁,包括那些没有无线
局域网,你需要对无线网络的安全威胁,识别威胁,可能在你的业务发生,并评估通过敏感数据面临的风险,如个人金融信息和持卡人信息。
2。了解自己
许多被用于减少无线网络安全威胁取决于他们是否准确地了解网络的拓扑结构的保障措施,包括有线和无线,并确定该设备的能力。为了
解决无线局域网的安全审计和
执行标准,你必须保持批准接入点客户名单,他们的
用户和他们的
地址,和安全措施,他们有望实现。
三.减少暴露
当无线局域网的使用已授权和数据流量通过一个敏感的网络段,一些规则,如PCI DSS,可以充分保证用户的安全。你可以将流量减少降低风险。具体来说,防火墙是用来
检查数据包,使数据包可以阻止
访问网络段没有获得相应的
权限,并定时
同步日志
功能实现记录允许和阻止无线通信业务。作为一项规则,这些网段需要无线
访问权限需要作为隔离区(DMZ):
默认和否认一切,只允许必要的交通和特殊的目的通行证。
4。堵塞漏洞
传统的无线网络安全的最佳途径是提高所有基础设施的安全,如接入点、
控制器、DNS / DHCP
服务器,这是暴露在无线网络。例如,改变出厂默认值,建立一个非常强大的
管理员
密码,
关闭不使用的服务,应用补丁,并进行渗透测试
系统。在这一步中,你需要解决无线传输特定的漏洞。例如,你需要选择非默认的网络名称(SSID)防止意外的入侵和避免动态
频率选择的动态干扰。同时,你也可以采取防止公共接入点从身体干扰的措施(例如,拆卸电缆,重置为默认
设置)。
5。确保传输的安全性
当前的接入点
支持WPA2(AES-CCMP)空气(空中)加密,你需要尽可能多的使用它。如果传统的客户端请求是WPA(TKIP和MIC)注释,请使用密码时最好小心,它是从其他用户的无线局域网(SSID)分离请避免WEP加密,因为更新的安全规则将不再允许这种冗长而零碎的加密协议的使用。此外,高级别的加密使用(例如,SSLv3 / TLS,IPSec)能选择性地保护敏感的应用和交易,不要忘记提高服务器和
网关安全。
6。限制访问
无线网络打开一个窗口,一个局外人能入侵,为了避免这样的情况除非你能控制它。选择和实施一个强大的无线局域网认证措施,这是最好的选择WPA2企业标准(802.1x)相互认证。如果您的组织是缺乏技能,基础设施或客户支持802.1X,你也可以使用WPA2个人标准(PSK),但请至少使用13个随机密码,定期更换。从不依靠MAC地址过滤作为你唯一的访问控制。如果你的局域网提供客人的互联网访问权限,请限制它的内容和记录一些网络通信,从而降低风险对
公司的业务。
7。无线监控
保护无线网络安全有很多规则。这是强烈建议采用全天候无线入侵检测和防御系统(WIDS和WIPS),但也允许定期扫描这些
网站,过程控制的数据,前者是更有效和更有效的,尤其对于大规模无线局域网。你选择哪种方式,你需要知道你是不是无线接入点监测欺诈行为,包括未经授权的客户端,
配置错误的设备,意义明确的
安全策略、安全调查,攻击流量,和异常的客户互相
连接或连接到外部WLAN。
8。准备
监视只是一种手段,您需要
安装WLAN事件响应
程序。例如,如何临时阻止异常AP你怎么找到它并在物理上移除它You need to review all the scan results, the alerts and traffic logs of wireless intrusion detection or intrusion prevention system, so as to assess potential threats in time.In fact, the use of automated tools (such as wireless intrusion detection or intrusion prevention systems) to track and isolate network connections can stop the intrusion in real time.Please make sure that the monitoring tools can collect sufficient data to make the response and forensic investigation more accurate.
9。保护终端
偷来的销售终端或黑色的
笔记本
电脑可以很容易地被授权和使用加密连接,严格保护入侵无线网络的安全性。在这一点上,您可以使用远程访问安全的最佳做法,使无线终端相互隔离,防止丢失和被盗的移动设备访问未经授权的访问的无线网络。如果您的组织实现网络接入控制(NAC),你可以查看无线连接的设备的完整性,并使用主机入侵检测和防御手段防止终端的异常行为,如连接有线网络向无线网络。
10。评估和改进
不要认为安全措施将如预期的那样,和你的安全审计人员不这么认为,你需要测试网络和无线连接装置,将故意触发WIDS /在制品警报,捕获无线流量和分析它。你可以尝试连接未经授权的设备和用户从不同的
位置,记录将要发生的事情,然后修补
发现的漏洞来提高安全标准。你需要进行安全评估,定期或不定期,从而找到并修复新发现的漏洞,例如,你可以通过接入点
创建一个安全补丁,控制器或客户端防止新的黑客攻击。
综上所述,如果金融公司愿意花时间评估无线安全威胁、安全管理、访问无线数据传输安全、安全加密等重要措施,其自身的安全性甚至可以超过预期的审计人员。