我们几乎每天都在IT业务中听到违规和安全噩梦的故事。沿着这些线路,我们看到不断增加的人数,这些人们花费日的日子试图闯入网络(当然是道德地),以确保在他们发生之前停止违规。最近A.研究论文发布了我们闪亮的全新安全标准,WPA3,坏了。鉴于本文,我觉得分享我的保护Wi-Fi网络的方法对他人来说非常有用。
在我们开始之前,我想在上述研究纸上进行简短的背景。正如您所知,其中一个人的创建WPA3的关键是Aruba非常丹哈金斯。丹是有助于创建RFC,形成WPA3如何运作的基础,甚至共享他的洞察力Aruba未插入播客的第8集。
在这个最近的博客文章中,丹解释了WPA3握手过程,通常称为蜻蜓。据丹数,虽然有一些缺陷,但它们的性质不严重。“龙骨”研究论文中发现的绝大多数问题是实施标准而不是标准本身的问题。这使我们能够为保护我们的Wi-Fi网络提供更加改进的标准。那么,WPA3坏了吗?绝对不。
现在为好的部分。这些天你应该如何保护您的Wi-Fi网络?
虽然没有一种尺寸适合所有包来保护每个网络,但有一些可以提高网络的安全姿势的东西。
1.使用基于证书的身份验证。
多年来,关于实现基于证书的身份验证的最大抱怨归结为缺乏适当提供客户机所需的时间或技能。使用以下工具阿鲁巴岛ClearPass,让新设备和用户进入网络变得比以往任何时候都容易。
这是一个有趣的故事。我最近在家庭网络上实施了EAP-TLS,该项目可能很容易与房子的首席执行官(我的妻子)变成灾难。然而,在向她展示时,她允许我将自己的工作保持为CTO,以便通过QuallPass on-opboard过程连接她的设备。
随着船上的过程,多年来大大简化了,我们不再看出更严格的安全措施,作为掌握的东西。使用。简单地说,使用证书进行身份验证提供的安全性是我们今天的最佳方法。在Krack和Dragonblood的研究论文中发现的攻击方法专注于预共享的关键(PSK)的网络(或这些天不太常见的PSK),并发现每次都有与基于证书的方法相同的方法。这只是我们应该迁移远离共享关键的方法的有证据。
但是那些物联网设备,或者其他不支持EAP-TLS或wpa2 /3-企业安全的无头设备呢?
2.使用基于证书的身份验证,直到无法使用为止,然后使用Wi-Fi Enhanced Open。
现在,很明显wi - fi增强开放,基于机遇主义无线加密(欠款)标准,不允许我们与谁使用该设备的可见性,但至少它将我们陷入了在Wi-Fi上完全加密用户流量的位置。不再使用移动银行应用程序在公共Wi-Fi上使用移动银行应用程序的人必须担心有人嗅到帐户凭据或其他个人身份信息的空气。任何一天,我会在“开放”安全方面进行一些安全。
好的,所以你想让我使用证书,直到我不能,然后使用欠款。如果我不能使用,我该怎么办?如果您处于不可用这些选项的不幸情况下,我总是有一个最终推荐。
3.利用具有动态分割的PSK网络。
我们都知道,有些时候,基于设备的年龄或其他情况,根本没有一种万无一失的方法来保护设备或网络。在这些情况下,最好的办法是实现一个预共享密钥网络和设备分析解决方案(例如新的Aruba ClearPass设备洞察)。
在需要PSK或打开网络的情况下,可以使用设备分析来正确识别设备的最重要的重要性,因此可以将额外的安全措施施加到该行。我相信你已经听说过防御深度战略,而Wi-Fi网络应该没有什么不同。
虽然我不是任何方法的安全专家,但我认为,在上面的步骤将为各地的Wi-Fi网络带来增加的保护,并帮助网络管理员睡眠了解他们的网络安全。
