怎樣加強無(wú)線(xiàn)網(wǎng)絡(luò )的安全管理

標簽：無(wú)線(xiàn)網(wǎng)絡(luò )

今天，大多數企業(yè)級WLAN產(chǎn)品和許多SMB產(chǎn)品都提供內置來(lái)賓管理功能。從簡(jiǎn)單的強制網(wǎng)絡(luò )門(mén)戶(hù)和防火墻過(guò)濾到流量整形和唯一的來(lái)賓登錄，這類(lèi)產(chǎn)品都可以不用IT協(xié)助自動(dòng)生成。

舉例說(shuō)明，我們看下Meraki的企業(yè)級WLAN云控制器提供的來(lái)賓管理功能。為了創(chuàng )建一個(gè)Meraki來(lái)賓無(wú)線(xiàn)局域網(wǎng)，我們需要開(kāi)始指令配置一個(gè)SSID，比如一次點(diǎn)擊或者登入開(kāi)始頁(yè)面。如果選擇了開(kāi)始頁(yè)面，用戶(hù)會(huì )被重定向到一個(gè)定制的入口，通過(guò)輸入用戶(hù)名和密碼登錄。

來(lái)賓開(kāi)始創(chuàng )建有三種選擇。第一，管理員配置來(lái)賓賬號。第二，來(lái)賓代表可以增加和刪除來(lái)賓賬號但是不能做其他改動(dòng)，第三，允許來(lái)賓在入口提示頁(yè)使用他們自己的賬戶(hù)，以管理員批準為準。

控制用戶(hù)活動(dòng)實(shí)現來(lái)賓無(wú)線(xiàn)局域網(wǎng)的安全性

下一步便是控制登錄用戶(hù)的活動(dòng)?？紤]強制網(wǎng)絡(luò )門(mén)戶(hù)是否要求用戶(hù)運行防毒軟件。然后設置允許的目的地，端口和URL，選擇性的添加帶寬限制和有線(xiàn)/無(wú)線(xiàn)屬性。最后，考慮在允許或不允許本地局域網(wǎng)訪(fǎng)問(wèn)時(shí)，來(lái)賓流量是否需要橋接到一個(gè)VLAN或路由到Internet。云控制器可以分析流量來(lái)查看無(wú)線(xiàn)來(lái)賓網(wǎng)絡(luò )的使用情況。

這些功能通常適用于未加密的來(lái)賓無(wú)線(xiàn)網(wǎng)絡(luò )，但是也可以結合WPA2-PSK實(shí)現加密。設置PSK可以降低拒絕服務(wù)攻擊和防止外部探測。然而傳統的PSK是共享給每個(gè)用戶(hù)的，他們沒(méi)法跟蹤或對單獨的來(lái)賓取消跟蹤。不過(guò)一些產(chǎn)品提供動(dòng)態(tài)PSK給每個(gè)用戶(hù)，如Ruckus DPSK和Aerohive PPSK可以解決這類(lèi)問(wèn)題。

例如，Ruckus無(wú)線(xiàn)局域網(wǎng)可以設置給每個(gè)來(lái)賓一個(gè)唯一的DPSK。任何有企業(yè)網(wǎng)絡(luò )訪(fǎng)問(wèn)權的用戶(hù)都可以通過(guò)一個(gè)Web表格來(lái)申請Ruckus來(lái)賓權限，每個(gè)發(fā)布的來(lái)賓權限都提供了他們可打印的說(shuō)明，包括來(lái)賓姓名，來(lái)賓SSID，來(lái)賓唯一的DPSK和有效期限。這些設置甚至可以自動(dòng)安裝到Windows系統、OS X和iPhone客戶(hù)端上，有效避免手工設置和可能出現的錯誤。一旦生效，DPSK會(huì )自動(dòng)過(guò)期或被廢除，不用中斷其他的使用。

來(lái)賓無(wú)線(xiàn)網(wǎng)絡(luò )上的設備完整性檢查

這些來(lái)賓管理策略可以在無(wú)線(xiàn)局域網(wǎng)上提供很好的可視性和可控制行，包括來(lái)賓可以訪(fǎng)問(wèn)什么以及他們可以使用什么資源。然而，要預防被感染病毒的來(lái)賓所帶來(lái)的破壞還需要更多的措施。據Gartner所述，網(wǎng)絡(luò )準入控制部署中有四分之三就是為了應對這類(lèi)威脅的。

雖然阻止被感染的無(wú)線(xiàn)客戶(hù)端不是來(lái)賓無(wú)線(xiàn)局域網(wǎng)所需要做的事，但是來(lái)賓設備會(huì )造成更大的危險，因為他們不被IT部門(mén)所管理，一般不能強行安裝IT部門(mén)要求的軟件或者配置，甚至不能進(jìn)行臨時(shí)地完整性檢查。例如，一個(gè)強制網(wǎng)絡(luò )入門(mén)可能會(huì )使用ActiveX控制來(lái)快速查看來(lái)賓是否運行著(zhù)授權的殺毒軟件。然而，ActiveX控制不能查看非Windows的來(lái)賓設備或者被鎖的瀏覽器。

對一些企業(yè)，針對使用windows的來(lái)賓進(jìn)行完整性檢查已經(jīng)足夠了，畢竟，病毒在Windows下比較普通。但是其他企業(yè)可能傾向于阻止那些不能檢查的來(lái)賓或者對他們進(jìn)行限制(如，只能HTTP，不能訪(fǎng)問(wèn)內網(wǎng))。第三種可能是使用NAC或者IDS產(chǎn)品，比如ForeScout，CounterACT或Bradford Network Sentry，他們可以運行基于網(wǎng)絡(luò )的檢查。NAC設備可以整合到現有的無(wú)線(xiàn)網(wǎng)絡(luò )設施中給來(lái)賓管理者提供訪(fǎng)問(wèn)控制策略，如果檢測到客戶(hù)端有病毒威脅或者策略違反就立即切斷。

總之，企業(yè)級來(lái)賓網(wǎng)絡(luò )必須有高效的用戶(hù)管理控制，使其符合企業(yè)規范。而且他們必須提供突發(fā)事件的解決方案和有效的跟蹤方案。有了這些策略，企業(yè)可以放心安全的提供網(wǎng)絡(luò )給承包商，合作伙伴，客戶(hù)，和其他授權的來(lái)賓，而不用擔心什么情況都不知道了。