这种情况大家都见过:刚入职一家新公司,或者去办公室拜访客户时,发现共享的无线密码写满了每一块白板。即使没有把它写得到处都是,可能也很容易猜到——试试公司名称后面加上 123,或者把 E 替换成 3。
即使是那些使用了难以猜测的无线网络密码的公司,也很少会在有人离职时轮换密码。毕竟,这会严重影响工作效率。
这显然不是良好的密码安全习惯;共享的(而且可能很容易被猜到的)密码如果很少更换,根本谈不上安全。
但这真的重要吗?
答案和几乎所有事情一样,都是“视情况而定”。在某些场景下,遭到入侵的无线网络确实会对生产系统构成威胁;而在另一些场景下,(通过精心设计)办公网络甚至根本不需要密码。
不过,对大多数企业来说,网络安全至关重要,而不安全的密码可能会造成严重漏洞。
共享无线网络密码有什么问题?
共享无线网络密码会带来几项主要风险。共享密码会增加攻击者发现密码并访问企业局域网的可能性。
虽然在企业局域网中保存机密资源的公司越来越少,但办公室仍然是员工集中的场所,而员工可能已经放宽了自己笔记本电脑上的文件共享或防火墙服务设置。一些公司会保留本地网络附加存储(NAS)用于备份。即使黑客无法访问机密资源,攻击者仍然可以在办公室打印机上不断打印“pwn3d��”,直到纸张耗尽。
在最常见的情况下,攻击者可以利用通过您办公室的公共 IP 地址发送流量而获得的更高级别访问权限。许多公司会根据办公室的 IP 地址将对生产服务器和资源的访问加入白名单,或对来自办公室 IP 地址的流量免除 多重身份验证。在这些情况下,攻击者甚至可以从您的停车场找到路径来攻击敏感数据,而您很可能不会察觉。
从办公室到服务器的 SSH 白名单访问风险相对较低,但最严重的漏洞之一,是将生产服务的“admin”Web 界面对白名单开放给办公室。管理后台网页界面通常在安全补丁的优先级列表中排得很靠后,因为它们“仅供内部使用”。但一个运行着存在已知漏洞代码的管理界面,很容易成为攻击目标,进而危及整个生产数据库。
心怀怨恨的前员工也可能带来另一种风险。企业在这方面尤其脆弱,因为这类员工会对贵公司的情况和架构有具体了解。他们甚至无需进入大楼,就能访问您的网络,并利用这些信息攻击已知的薄弱环节。
什么时候可以使用共享密码或不设密码?
无密码的无线网络可用于访客网络。访客网络不应使用与员工网络相同的公网 IP 地址,而且这些网络最好设置严格的带宽限制。数据不会被加密,但由于如今大量流量都通过 SSL 传输,这已不像过去那样令人担忧。
对于办公室场景,如果在员工离职时及时更换密码,共享密码也是可以的。作为预防措施,建议您不要保留任何本地设备,也不要在任何地方将该 IP 加入白名单。任何访问生产资源的人员都应使用其员工凭证(别忘了启用多因素身份验证!)和/或通过 VPN 进行访问。
如何摆脱共享无线密码?
无线安全的下一步,是转向一种要求输入用户名和密码的登录系统。
每个主流操作系统都内置了对此的支持。这意味着,当计算机尝试使用 WPA2-Enterprise 登录网络时,它不会要求输入网络的共享密码(也就是现在已经很常见的那种),而是会弹出一个对话框,要求输入员工唯一的用户名和密码。在后端,接入点会将该名称和密码发送给 RADIUS 服务器;如果名称和密码有效,服务器会返回“yes”,否则返回“no”。
因此,组织既能保障网络安全、阻止未经授权的用户访问,又能让员工以前所未有的便捷方式登录并建立连接。
这需要一个 RADIUS 服务器。如果没有,也可以使用云提供的 RADIUS 服务(例如 Foxpass),根据内部数据库或外部来源(如 Google Apps 账户)验证用户名和密码。
当您需要安全的网络访问与防护时,Foxpass 就是理想之选,为各种规模的企业提供云 RADIUS 和访问控制。Foxpass 提供 30 天免费试用,而且设置过程非常简单,因此没有理由不在今天就启用这项保护。对于少于 10 名用户的组织,我们也免费提供!
Wi-Fi 是 Wi-Fi Alliance® 的商标
