扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
Lisa Phifer是Core Competence公司的副总裁,该公司是一家专注于领先网络技术的咨询公司。她从事网络和安全产品的设计、实施和评估工作长达25年之久。在Core Competence工作期间,她在客户需求、产品评估、新技术的使用和最佳方案等方面,为众多大中小公司提出了合理建议。在加盟Core Competence之前,Phifer在贝尔通信研究所工作,并在ATM网络管理方面获总统奖。她在许多行业会议和在线研讨会上做过学术报告,内容涉及无线局域网、移动安全、NAC和VPN等领域的问题。同时,她为多家专业媒体撰写有关网络架构和安全技术方面的文章,这些媒体包括SearchSecurity.com、《安全信息》、Wi-Fi Planet、ISP-Planet、《商业通信回顾》和《网络世界》等。
我们在车间底楼部署802.11n无线网络,重新规划工作台和工作间,精简过程。你建议用什么无线访问控制方法,既允许一些主要员工访问,同时防止工人利用个人设备访问公司网络?
像这类无线访问控制,我会建议在所有支持802.11n(包括个人和企业版WPA2)的Wi-Fi设备上都内置访问控制功能。WPA2个人版需要每个设备提供一串来自密码的预共享密钥。例如,在你车间底楼的设备可能需要提供一个相同的20个字符的随机字符串,而这是在部署期间配置并且只有你的IT部门知道。这类方法通常与MAC地址过滤相结合,因此只有有正确预共享密钥的已知设备才能被授权访问。然而,MAC地址过滤机制很容易绕过 ,同样预共享密钥太短很容易被猜到。
WPA2企业版需要每个设备完成一个802.1X登录机制,它可以支持多种认证方式。例如,在你车间底楼的每个设备可能需要通过一个唯一的数字证书来认证其身份。或是每个设备可能需要提供一个唯一的用户和密码,这在一开始部署时就已配置并且只有你的IT部门知道。通过这种Wi-Fi访问控制方式,你可以知道哪台个人设备登录了。当和证书结合使用,WPA2-企业版很少受到密码共享和重利用的攻击,而这是很普遍的问题——员工知道一个有效的用户名和密码或预共享密钥,然后个人设备进行配置。
但是你还是想让一些主要员工通过个人设备访问公司网络。一个常见的做法是创建单独命名的网络(SSID))和在你的有线网络里建立相应的VLAN。IT管理的设备会在安装时使用证书并且配置成访问“MachineNet”,而个人设备则通过其他认证访问“SpecialNet”。这样,主要员工不会得到“MachineNet”的预共享密钥,除非他们把设备提交给IT。
如果你既想要网络访问保护,又想有一个安全简单的方式让主要员工注册他们个人的设备到“SpecialNet.”实现安全访问。询问你的WLAN或NAC厂家看他们是否出售来宾管理功能或是注册通道来支持移动的个人设备通过授权和Wi-Fi。另一个网络访问保护和无线访问控制方法是使用移动设备管理软件来管理这些任务。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者