無線ネットワークは有線ネットワークより盗聴されやすいため、Wifiはハッカーが会社の本社に入らずにネットワークに侵入するために使用できるエントリポイント(エントリポイント)です。これにより、WFISTRICK住宅はWifiネットワークのセキュリティにおいてより慎重になります。
Wi-Fiは盗聴や盗聴に対して脆弱ですが、高度なネットワークセキュリティ対策を理解して適用するために時間をかけていれば、依然として安全です。だから、あなたの家庭の無線ネットワークをより安全にするためにすべきこと、すべきでないことに従うべきです。あなたがエンタープライズ環境で無線LANセキュリティソリューションを探しているなら、この記事はまたその必要性を満たします。
控えめなSSIDを使用して、隠しSSIDを信頼するべきではありません
SSID(サービスセット識別子)は最も基本的なWifiネットワーク設定の1つです。不注意なSSIDを使用すると、Wifiネットワークの安全性を損なう可能性があります。 「ワイヤレス」などの一般的なSSID名またはプロバイダからのデフォルト名を使用すると、攻撃者は個人モードのWPAまたはWPA2セキュリティを簡単にロック解除できます。これは、暗号化アルゴリズムがSSIDと組み合わされ、ハッカーが共通の一般的なSSID名を使用してパスワードを破る辞書を使用するためです。したがって、デフォルトのSSID名またはあまりにも一般的なSSID名を使用すると、ハッカーの作業が容易になります。 (ただし、この脆弱性は、エンタープライズモードの多くの利点の1つである、WPAのエンタープライズモード、WPA2セキュリティを使用しているネットワークでは悪用できません)。
通常SSIDに名前を付けますが、あまりにも一般的ではない、会社を巻き込まないでください
会社名、住所、部屋番号などの覚えやすい基準に従ってSSIDを設定することは可能ですが、特にあなたの会社が他の多くの会社と同じ建物内にある場合、これはお勧めできません。または他の建物やネットワークの近く。ハッカーが建物に近づくと、最も識別しやすいアイデンティティを持つネットワークをすばやくターゲットにし、このネットワークにハッキングしたときに何が起こるのかを推測するのにも役立ちます。
ワイヤレスセキュリティの噂の1つは、アクセスポイントの送信SSIDを無効にすると、ネットワークが隠されるか、少なくとも安全なSSIDが作成され、ハッカーが侵入しにくくなることです。ただし、これはアクセスポイントからSSIDを削除するのに役立ちます。それはまだ802.11要求に含まれていて、場合によってはネットワーク要求と応答パケットにも含まれています。したがって、ハッカーや盗聴者は、合法的なワイヤレスネットワーク分析を使用して、特に混雑しているネットワークで隠れSSIDを簡単かつ迅速に発見できます。
SSIDブロードキャストをシャットダウンしてもネットワークのセキュリティレイヤはさらに向上すると主張する人もいますが、ネットワークの設定やパフォーマンスに悪影響を与える可能性があることに注意してください。手動でSSIDをデバイスに入力し、その後にデバイス設定を入力する必要があります。また、プローブ要求が増えてパケットが返されるため、使用可能な帯域幅が減少する可能性があります。
体の安全を忘れないで
あなたが最善の暗号化方法を手にしていても、それはまだ穴が存在する可能性があります。物理的セキュリティはそのような穴の1つです。ほとんどのアクセスポイント(アクセスポイントまたはAP、以下APと呼びます)には、デフォルト設定を復元し、Wifiセキュリティを削除し、誰でもネットワークに接続できるようにするためのリセットボタンがあります。そのため、会社全体に配布されているAPも詐欺を防ぐために(物理的に、鍵のかかった箱に入れるなど)保護する必要があります。 APのボタンやポートへのアクセスを制限するためにAPベンダーの組み込みロックメカニズムを使用することを考慮して、関係者だけが彼らに触れることができるようにしてください。
Wifi以外のもう1つの物理的なセキュリティ上の問題は、誰かが「不正なAP」とも呼ばれる不正なAPをネットワークに追加した場合です。これは、ワイヤレス通信範囲の拡大や、ネットワークへのアクセスを希望する従業員(または部外者でさえ)の悪い目的のためなど、正しく行うことができます。これらの偽APを防ぐために、すべての未使用のイーサネットポート(壁面取り付けポートまたはスタンバイポート)が無効になっていることを確認してください。ルータ、スイッチのポート、ネットワークケーブル、またはその電源ケーブルやネットワークケーブルへの短い接続を取り外すことができます。セキュリティを強化したい場合は、有線プラグで802.1X認証をオンにして(ルーターまたはスイッチがそれをサポートしている場合)、イーサネットポートに接続されているデバイスがネットワークアクセスへのログイン資格情報を入力する必要があります。
WEP、WPA / WPA2-PSKは使用しないでください
有線の同等のプライバシーは長い間死んでいます。その暗号化機能は、ほとんどのアマチュアハッカーによって簡単かつ迅速に破られる可能性があります。したがって、WEPを使用しないでください。使用している場合は、802.1X認証を使用してすぐにWPA2(Wi-Fi保護アクセス)にアップグレードしてください。無線LANルーターやアクセスポイントの新機能がWPA2をサポートしていない場合は、ファームウェアを更新するか、単に新しいデバイスを変更してみてください。
WPAおよびWPA2の事前共有キー(PSK)モードは、企業環境に対してあまり安全ではありません。このモードを使用するときは、各wifiトランスミッターのPSKキーを入力する必要があります。したがって、このキーは、従業員が退社するたびに、また送信機が紛失または盗難にあったときに変更する必要があります。それでも、ほとんどのビジネス環境に焦点が当てられているわけではありません。
802.11X認証でのエンタープライズWPA2の使用
実装できる最も有益なWifiセキュリティメカニズムの1つは、エンタープライズWi-Fiセキュリティモードです。これは、各ユーザーを認証するためです。ユーザーは、Wifiユーザー名とパスワードを持つことができます。プライベートです。したがって、ラップトップまたはモバイルデバイスを紛失したり、盗まれたり、従業員が退職したりした場合は、それらの特定のデバイス/ユーザーのログインを変更またはキャンセルすることができます。
(これとは対照的に、個人用セキュリティモードでは、すべてのユーザーが同じWifiパスワードを共有するため、デバイスを紛失したり従業員が辞めたりすると、すべてのデバイスのパスワードを変更する必要があります。
エンタープライズモードのもう1つの大きな利点は、各ユーザーに独自の暗号化キーが割り当てられていることです。つまり、ユーザーは自分のデータトラフィックのみを復号化でき、他のユーザーのワイヤレストラフィックを詮索することはできません。
APをEnterpriseモードに設定するには、まずRADIUSサーバーを設定する必要があります。このサーバーを使用すると、ユーザーは全員の名前とパスワードを含むデータベースまたはディレクトリ(Active Directoryなど)に認証して接続(または保存)することができます。
IP、RADIUSサーバー、およびシークレットポートを使用してAPを構成する方法の例
他のサーバー(Windows Serverなど)がこの機能を提供している場合は、スタンドアロンRADIUSサーバーを配置できます。そうでない場合は、クラウド上でのRADIUSサービスの使用を検討するか、サードパーティのサーバーに保存してください。ワイヤレスAPやドライバの中には基本的なRADIUSサーバーを内蔵しているものもありますが、このタイプのサーバーのパフォーマンスと機能は限られているため、小規模ネットワークにのみ適しています。
クライアントのセキュア802.1X設定
他のセキュリティ技術と同様に、エンタープライズモードにはまだセキュリティホールがあります。これらのうちの1つは、熟練したハッカーによる中間者攻撃です。ラップトップやデバイスがこの偽のネットワークに接続すると、偽のRADIUSサーバーが資格情報を記録します。その後、ハッカーはそのログイン認証情報を使用して実際のWifiネットワークに接続することができます。
802.1X認証による攻撃を防ぐ1つの方法は、クライアントでサーバー認証を使用することです。クライアントでサーバー認証が有効になっていると、クライアントは正しい正規のサーバーに接続していることを確認するまで、Wifiログイン認証情報をRADIUSサーバーに転送しません。クライアントに設定できる機能と正確なサーバー認証要件は、クライアントが実行されているデバイスまたはオペレーティングシステムによって異なります。
たとえば、Windowsでは、正当なサーバーのドメイン名を入力し、サーバーの証明書の発行者を選択して、新しいサーバーまたは新しい証明書の発行者を許可しないオプションを有効にすることができます。だから、たとえ悪意のある人々がWifiネットワークと偽のRADIUSサーバーをセットアップしていたとしても、あなたは偽のネットワークにログオンしようとしていることになり、そのWindowsはあなたも接続できなくなるでしょう。
Wifi接続のEAP設定を行うときのWindows上の802.1Xサーバー認証機能
ワイヤレスネットワーク上で不正な侵入防止システムを使用して偽のAPを検出することをお勧めします。
この時点で、無線ネットワークでの3つの不正侵入シナリオのうち2つについて説明しました。1つはWi-Fiネットワークと偽のRADIUSサーバーを確立する攻撃者、もう1つはAPをデフォルト設定にリセットすることです。 。そして3番目のシナリオは、誰かが自分のAPをネットワークに接続できることです。
これらの無許可のAPは、ITスタッフが適切な保護なしに知らないと長期間存続できます。そのため、APまたはワイヤレスコントローラが提供するすべてのフィッシング検出機能を有効にする必要があります。それらの検出方法と機能は同じではないかもしれませんが、少なくとも、それらのほとんどは定期的に電波をスキャンして、正当なAPの範囲内で新しいAPが検出されると警告を送信します。
検出機能を強化するために、一部のAPベンダにはワイヤレス検出システム(WIDS)または侵入防御システム(WIPS)が組み込まれています。それらは、無線ネットワークへの攻撃や、誤った認証解除要求、誤ったリンクの要求(誤ったアソシエーション要求)、偽のMACアドレスなどの偽のAPからの疑わしい活動を感知する可能性があります。
さらに、WIPSはWIDSよりも多くの保護を提供し(検出のみ)、ネットワークを保護するためにWIPSが自動的に切断、不審なクライアントのブロックなどの対策を実行できます。攻撃されている。
ご使用のAPに偽のAPの検出や適切なWIPS統合がない場合は、サードパーティのソリューションを検討してください。 7SIGNAL、Cape Networks、NetBeezなどの一部の企業は、Wifiのパフォーマンスとセキュリティの問題の両方を監視できるセンサーベースのソリューションを提供しています。
NAPまたはNACを実装する必要があります
802.11iとWIPSを使用することに加えて、ネットワークアクセス保護(NAP)またはネットワークアクセス制御(NAC)を展開することを検討する必要があります。事前定義されたポリシーによるデバイス識別に基づいて、追加のネットワークアクセス管理機能を提供します。また、問題のある機器や修理された機器を隔離してすぐに職場に戻れるようにする機能もあります。
NACソリューションの中には侵入検知と防御を含むものがありますが、それが特殊なワイヤレス保護を提供するかどうかを確認する必要があります。
デバイスにWindows Server 2008以降およびWindows Vista / 7を実行している場合は、MicrosoftのNAP機能を使用できます。そうでない場合は、PacketFenceなどのサードパーティが提供する解決策を探してください。
MACアドレスフィルタリングを信頼しない
ワイヤレスセキュリティに関するもう1つの噂は、MACアドレスフィルタリングを有効にして、ネットワークに接続されているアプリケーションを管理して、セキュリティをさらに強化することです。これは少し正確ですが、ハッカーがあなたのネットワークの合法的なMACアドレスを簡単に監視することができます、そして彼らは彼らのマシンのためのMacアドレスを変更するでしょう。
したがって、セキュリティに役立つと考えてMACアドレスフィルタリングを展開するべきではありませんが、会社に持ち込まれて接続されているエンドユーザーのデバイスやコンピューターを管理する方法になることができます。ネットワークに接続されている。 MACリストを最新に保つために、潜在的な管理上の問題にも注意を払う必要があります。
SSIDに接続できるユーザーを制限する必要があります
多くのWFISTRICKの従業員は、一見単純だが非常に危険なリスクを見落としてきました。明らかに、ハッカーがマシンに侵入する機会を広げています。ただし、SSIDのフィルタリングはこれを防ぐための方法です。たとえば、Windows Vista(またはそれ以降のバージョン)では、netsh wlanコマンドを使用して、表示して接続したいSSIDユーザーにフィルタを追加できます。デスクトップの場合は、企業ネットワークを除くすべてのSSIDを拒否できます。ラップトップの場合、ITスタッフは隣人のSSIDを拒否するだけで、アクセスポイントやホームネットワークへの接続を維持できます。
モバイルデバイスを保護することを忘れないでください
ワイヤレスネットワークのセキュリティに関する懸念は、ここだけではありません。スマートフォン、ラップトップ、タブレットを使用しているユーザーはその場で保護できます。しかし、無料のWi-Fiホットスポットに接続したり、ワイヤレスホームルーターに接続したりするとどうなりますか。不正侵入やハッカーによる盗聴を防ぐために、他のWi-Fiネットワーク接続も保護されていることを確認する必要があります。
それでも、外部Wi-Fi接続が常に安全であることを確認するのは簡単ではありません。あなたはその規定を結合し、解決策の使用を要求し、そして予防方法と共にセキュリティリスクについてユーザーを教育しなければならないでしょう。
まず第一に、すべてのラップトップとネットブックは、不正な侵入を防ぐためにパーソナルファイアウォール(Windowsファイアウォールなど)を有効にする必要があります。これは、グループポリシー(Windows Serverを実行している場合)を介して行うことも、Windows Intuneなどのソリューションを使用してドメイン内にないコンピューターを管理することもできます。
次に、企業ネットワークへのVPNアクセスを提供して、ユーザーのインターネットトラフィックが別のネットワーク上にあるときにそのユーザーのインターネットトラフィックが確実に暗号化されるようにする必要があります。この場合にVPNを使用したくない場合は、Hotspot ShieldやWitopiaなどの他のサービスを検討してください。 iOSデバイス(iPhone、iPad、iPod Touch)およびAndroidの場合は、それらのVPNアプリケーションを使用できます。ただし、BlackBerryおよびWindows Phone 7デバイスの場合は、それらのVPNを使用できるようにするために、このデバイスを使用してサーバーメッセージを設定および構成する必要があります。
さらに、パブリックネットワークまたは信頼性の低いネットワークからアクセスするときにユーザーがVPNを使用しない場合に備えて、すべてのネットワーク関連サービスが安全であることも確認する必要があります。たとえば、LAN、WAN、またはVPNの外部で(アプリケーション経由またはWeb経由で)電子メールアクセスを提供する場合は、ハッカーによる情報の盗聴や盗用を防ぐためにSSL暗号化を必ず使用してください。重要なログインまたは個人的なメッセージ
続きを見る:
Bạn, Nguyễn Văn Nghĩa và người khác