微信订阅号二维码

本页内容二维码:

本栏目热门内容
  • Windows 系统安全基线及软...
  • CIS-CAT 配置评估工具介绍...
  • 修改audispd.conf解决审计...
  • 详细了解微软安全合规工具...
  • 从甲方角度介绍“CIS互联...
  • 2022年甲方个人网络安全运...
  • 业务导向安全策略#5员工培...
  • 微软安全合规工具包(SCT...
  • CIS关键安全控制措施#16应...
  • CIS关键安全控制措施#17突...
  • CIS关键安全控制措施#1总...
  • SELINUX介绍连载#3:什么...
  • 安装RHEL/CentOS时如何选...
  • CIS关键安全控制措施#6访...
  • 网络安全日志收集甲方基础...
  • CIS RAM风险评估方法5篇目...
  • 关于OpenSCAP/SCAP安全策...
  • CIS RAM#4实施防护措施、...
  • SELINUX介绍连载#1:基础...
  • 业务导向安全策略#1数据管...
  • 什么是网络行为异常检测(...
  • CIS关键安全控制措施集18...
  • SELINUX介绍连载#2:模式...
  • CIS关键安全控制措施#14安...
  • CIS关键安全控制措施#8审...
  • 内网DNS服务器安全性能基...
  • CIS RAM#1风险评估方法核...
  • 业务导向安全策略#2信息限...
  • CIS关键安全控制措施#15服...
  • 更多...

    CIS远程办公和小型办公室网络安全指南#5网络流量加密

    作者:Sender  来源:WaveCN.com  发布日期:2022-07-04  最后修改日期:2022-07-04

      继续是CIS(互联网安全中心)专门制定的面向远程办公和小型办公室的安全指南,连载第五部分:网络流量加密。

      密码学是网络安全通信方法的艺术和科学。

      密码学通过把数据进行转换,实现隐藏信息,防止对数据未经授权的访问和修改。有许多类型的密码学技术,其加密能力有强有弱,应用环境各有不同。限于篇幅和定位,本文不详细介绍加密技术的具体实现,且本文仅简单介绍适用于无线网络接入的几种加密技术方式。

      在网络设备方面,即使是新的设备型号,也有可能为了保持和旧的计算机设备(计算机终端或者其它网络设备)之间的互操作性、兼容性,而仍然支持旧的甚至是已经宣告无效的加密技术。

      确保在SOHO网络中使用正确的加密技术,可以有效地阻止其他人未经授权查看敏感信息。以下简要介绍与加密技术相关的协议和概念,更具体地说,是与加密和身份验证相关的协议和概念。

      有线等效隐私(WEP)

      WEP(Wired Equivalent Privacy),也即“有线等效隐私”加密协议,是第一个内置到商品化的WiFi无线接入点的加密方法。它最初在1990年代末引入,现在被认为不安全,在任何情况下都不应使用。由于向后兼容性的原因,它仍存在于家庭网络设备中。密码学使用在互联网上免费使用的软件很容易破解。

      WiFi保护的访问(WPA)

      在WEP被认识到不安全之后,WPA(WiFi Protected Access,WiFi保护的访问)技术被引入,作为临时修复措施,以帮助保护WiFi通信。WPA也可以在网络设备中被列为WPA-Personel或WPA-PSK(预共享密钥)。这些术语看一下就行,不用深究其内涵。

      虽然到现在WPA仍没有被认为不安全,但WPA技术存在可被攻击的一些弱点,比如使用了较短的密码时WPA就不够安全。尤其是,对于具有专业知识、设备和足够计算能力的攻击者来说,打破WPA加密并不是十分困难的事。因此,不建议使用基本的WPA加密,而是参考下面的WPA2和WPA3。

      WiFi保护的访问版本2(WPA2)

      WPA2是目前无线网络事实上的标准。其内部实现的加密技术经历多年依然很强壮。WPA2使用了高级加密标准(AES),这是美国政府使用的一种加密技术。


      WPA2有多种类型,包括个人和企业两种主要类型,其主要区别之一是密码分发方法。企业使用的WPA2-Enterprise,在SOHO办公室环境中一般难以设置。在CIS组织的角度认为,面向个人的WPA2-Personal足以满足SOHO办公室的需要。

      WiFi保护的访问版本3(WPA3)

      WPA3是最新的WiFi无线安全技术,当前新上市的SOHO办公室无线设备部分地支持该技术。WPA3的一些主要安全好处包括更长的密钥(很可能是大型组织想要的)和转发保密等。值得一提的是,转发保密可以防止那些在未来获得WiFi密码的人阅读一个人过去(被记录下来但未被破解的)的网络活动。不支持WPA3的网络设备无法通过打补丁的方式实现支持WPA3。因此必须重新采购。

      WiFi保护设置(WPS)

      WPS(WiFi Protected Setup)实质是一种人机交互设计技术。它是一个按钮,在一些路由器上提供这个按钮,以帮助用户更容易地连接到路由器。WPS提供了四种不同的连接方法去方便用户。

      不幸的是,在WPS中发现了多个主要的安全缺陷。其中一些缺陷相当容易被利用,攻击者可以未经授权就连接到WiFi网络,因此较新的无线网络设备已经取消了这个按钮。

      但是,WPS按钮仍然包含在相当一部分在用的无线网络设备中。如果可能的话,应该在这些设备上禁用WPS。否则,如果有人可以物理访问路由器,他们可以不需要网络密码就能连接网络,并读取网络流量。

      笔者后记:对于使用了有线网络的SOHO办公室环境,内网网络流量加密一般来说不是必须的措施,但前提还是要在网络交换机上设置必要的安全设置(比如MAC地址过滤和MAC/IP地址绑定),并保护好墙壁端口和交换机本身,以防止被人物理接入访问内网网络。​

    欢迎关注微信公众号后私信讨论文章内容!
    本栏目相关
  •  2022-03-16 Windows 系统安全基线及软件工具介绍
  •  2022-05-11 CIS-CAT 配置评估工具介绍及操作实践
  •  2022-03-17 详细了解微软安全合规工具包(SCT)
  •  2022-03-25 从甲方角度介绍“CIS互联网安全中心”
  •  2022-05-10 2022年甲方个人网络安全运维基础工具
  •  2022-06-06 业务导向甲方网络安全策略设计#5员工培训及系列总结
  •  2022-03-18 微软安全合规工具包(SCT)操作实战
  •  2022-04-20 CIS关键安全控制措施#16应用软件安全(下)
  •  2022-04-21 CIS关键安全控制措施#17突发事件响应管理