CIS远程办公和小型办公室网络安全指南#5网络流量加密

作者:Sender Su  来源:原创内容  发布日期:2022-07-04  最后修改日期:2022-07-04

  继续是CIS(互联网安全中心)专门制定的面向远程办公和小型办公室的安全指南,连载第五部分:网络流量加密。

笔者:国际认证信息系统审计师、软考系统分析师

  密码学是网络安全通信方法的艺术和科学。

  密码学通过把数据进行转换,实现隐藏信息,防止对数据未经授权的访问和修改。有许多类型的密码学技术,其加密能力有强有弱,应用环境各有不同。限于篇幅和定位,本文不详细介绍加密技术的具体实现,且本文仅简单介绍适用于无线网络接入的几种加密技术方式。

  在网络设备方面,即使是新的设备型号,也有可能为了保持和旧的计算机设备(计算机终端或者其它网络设备)之间的互操作性、兼容性,而仍然支持旧的甚至是已经宣告无效的加密技术。

  确保在SOHO网络中使用正确的加密技术,可以有效地阻止其他人未经授权查看敏感信息。以下简要介绍与加密技术相关的协议和概念,更具体地说,是与加密和身份验证相关的协议和概念。

  有线等效隐私(WEP)

  WEP(Wired Equivalent Privacy),也即“有线等效隐私”加密协议,是第一个内置到商品化的WiFi无线接入点的加密方法。它最初在1990年代末引入,现在被认为不安全,在任何情况下都不应使用。由于向后兼容性的原因,它仍存在于家庭网络设备中。密码学使用在互联网上免费使用的软件很容易破解。

  WiFi保护的访问(WPA)

  在WEP被认识到不安全之后,WPA(WiFi Protected Access,WiFi保护的访问)技术被引入,作为临时修复措施,以帮助保护WiFi通信。WPA也可以在网络设备中被列为WPA-Personel或WPA-PSK(预共享密钥)。这些术语看一下就行,不用深究其内涵。

  虽然到现在WPA仍没有被认为不安全,但WPA技术存在可被攻击的一些弱点,比如使用了较短的密码时WPA就不够安全。尤其是,对于具有专业知识、设备和足够计算能力的攻击者来说,打破WPA加密并不是十分困难的事。因此,不建议使用基本的WPA加密,而是参考下面的WPA2和WPA3。

  WiFi保护的访问版本2(WPA2)

  WPA2是目前无线网络事实上的标准。其内部实现的加密技术经历多年依然很强壮。WPA2使用了高级加密标准(AES),这是美国政府使用的一种加密技术。


  WPA2有多种类型,包括个人和企业两种主要类型,其主要区别之一是密码分发方法。企业使用的WPA2-Enterprise,在SOHO办公室环境中一般难以设置。在CIS组织的角度认为,面向个人的WPA2-Personal足以满足SOHO办公室的需要。

  WiFi保护的访问版本3(WPA3)

  WPA3是最新的WiFi无线安全技术,当前新上市的SOHO办公室无线设备部分地支持该技术。WPA3的一些主要安全好处包括更长的密钥(很可能是大型组织想要的)和转发保密等。值得一提的是,转发保密可以防止那些在未来获得WiFi密码的人阅读一个人过去(被记录下来但未被破解的)的网络活动。不支持WPA3的网络设备无法通过打补丁的方式实现支持WPA3。因此必须重新采购。

  WiFi保护设置(WPS)

  WPS(WiFi Protected Setup)实质是一种人机交互设计技术。它是一个按钮,在一些路由器上提供这个按钮,以帮助用户更容易地连接到路由器。WPS提供了四种不同的连接方法去方便用户。

  不幸的是,在WPS中发现了多个主要的安全缺陷。其中一些缺陷相当容易被利用,攻击者可以未经授权就连接到WiFi网络,因此较新的无线网络设备已经取消了这个按钮。

  但是,WPS按钮仍然包含在相当一部分在用的无线网络设备中。如果可能的话,应该在这些设备上禁用WPS。否则,如果有人可以物理访问路由器,他们可以不需要网络密码就能连接网络,并读取网络流量。

  笔者后记:对于使用了有线网络的SOHO办公室环境,内网网络流量加密一般来说不是必须的措施,但前提还是要在网络交换机上设置必要的安全设置(比如MAC地址过滤和MAC/IP地址绑定),并保护好墙壁端口和交换机本身,以防止被人物理接入访问内网网络。​

本栏目相关
  •  2024-11-13 挖深网络安全的兔子洞:CPU 微码补丁管理
  •  2024-11-10 安全加固基准搅合国产操作系统上下游关系
  •  2022-05-11 CIS-CAT 配置评估工具介绍及操作实践
  •  2022-03-16 Windows 系统安全基线及软件工具介绍
  •  2022-08-28 网络攻防中的色彩象征
  •  2022-03-11 安装RHEL/CentOS时如何选择配置安全策略?
  •  2023-02-27 注意:TightVNC 2.8.75 释出,修补 zlib 漏洞 CVE-2022-37434
  •  2022-03-25 从甲方角度介绍“CIS互联网安全中心”
  •  2022-03-17 详细了解微软安全合规工具包(SCT)
  • 本站微信订阅号:

    微信订阅号二维码

    本页网址二维码: