怎樣加強無線網(wǎng)絡的安全管理

標簽：無線網(wǎng)絡

今天，大多數(shù)企業(yè)級WLAN產(chǎn)品和許多SMB產(chǎn)品都提供內(nèi)置來賓管理功能。從簡單的強制網(wǎng)絡門戶和防火墻過濾到流量整形和唯一的來賓登錄，這類產(chǎn)品都可以不用IT協(xié)助自動生成。

舉例說明，我們看下Meraki的企業(yè)級WLAN云控制器提供的來賓管理功能。為了創(chuàng)建一個Meraki來賓無線局域網(wǎng)，我們需要開始指令配置一個SSID，比如一次點擊或者登入開始頁面。如果選擇了開始頁面，用戶會被重定向到一個定制的入口，通過輸入用戶名和密碼登錄。

來賓開始創(chuàng)建有三種選擇。第一，管理員配置來賓賬號。第二，來賓代表可以增加和刪除來賓賬號但是不能做其他改動，第三，允許來賓在入口提示頁使用他們自己的賬戶，以管理員批準為準。

控制用戶活動實現(xiàn)來賓無線局域網(wǎng)的安全性

下一步便是控制登錄用戶的活動?？紤]強制網(wǎng)絡門戶是否要求用戶運行防毒軟件。然后設置允許的目的地，端口和URL，選擇性的添加帶寬限制和有線/無線屬性。最后，考慮在允許或不允許本地局域網(wǎng)訪問時，來賓流量是否需要橋接到一個VLAN或路由到Internet。云控制器可以分析流量來查看無線來賓網(wǎng)絡的使用情況。

這些功能通常適用于未加密的來賓無線網(wǎng)絡，但是也可以結(jié)合WPA2-PSK實現(xiàn)加密。設置PSK可以降低拒絕服務攻擊和防止外部探測。然而傳統(tǒng)的PSK是共享給每個用戶的，他們沒法跟蹤或?qū)为毜膩碣e取消跟蹤。不過一些產(chǎn)品提供動態(tài)PSK給每個用戶，如Ruckus DPSK和Aerohive PPSK可以解決這類問題。

例如，Ruckus無線局域網(wǎng)可以設置給每個來賓一個唯一的DPSK。任何有企業(yè)網(wǎng)絡訪問權(quán)的用戶都可以通過一個Web表格來申請Ruckus來賓權(quán)限，每個發(fā)布的來賓權(quán)限都提供了他們可打印的說明，包括來賓姓名，來賓SSID，來賓唯一的DPSK和有效期限。這些設置甚至可以自動安裝到Windows系統(tǒng)、OS X和iPhone客戶端上，有效避免手工設置和可能出現(xiàn)的錯誤。一旦生效，DPSK會自動過期或被廢除，不用中斷其他的使用。

來賓無線網(wǎng)絡上的設備完整性檢查

這些來賓管理策略可以在無線局域網(wǎng)上提供很好的可視性和可控制行，包括來賓可以訪問什么以及他們可以使用什么資源。然而，要預防被感染病毒的來賓所帶來的破壞還需要更多的措施。據(jù)Gartner所述，網(wǎng)絡準入控制部署中有四分之三就是為了應對這類威脅的。

雖然阻止被感染的無線客戶端不是來賓無線局域網(wǎng)所需要做的事，但是來賓設備會造成更大的危險，因為他們不被IT部門所管理，一般不能強行安裝IT部門要求的軟件或者配置，甚至不能進行臨時地完整性檢查。例如，一個強制網(wǎng)絡入門可能會使用ActiveX控制來快速查看來賓是否運行著授權(quán)的殺毒軟件。然而，ActiveX控制不能查看非Windows的來賓設備或者被鎖的瀏覽器。

對一些企業(yè)，針對使用windows的來賓進行完整性檢查已經(jīng)足夠了，畢竟，病毒在Windows下比較普通。但是其他企業(yè)可能傾向于阻止那些不能檢查的來賓或者對他們進行限制(如，只能HTTP，不能訪問內(nèi)網(wǎng))。第三種可能是使用NAC或者IDS產(chǎn)品，比如ForeScout，CounterACT或Bradford Network Sentry，他們可以運行基于網(wǎng)絡的檢查。NAC設備可以整合到現(xiàn)有的無線網(wǎng)絡設施中給來賓管理者提供訪問控制策略，如果檢測到客戶端有病毒威脅或者策略違反就立即切斷。

總之，企業(yè)級來賓網(wǎng)絡必須有高效的用戶管理控制，使其符合企業(yè)規(guī)范。而且他們必須提供突發(fā)事件的解決方案和有效的跟蹤方案。有了這些策略，企業(yè)可以放心安全的提供網(wǎng)絡給承包商，合作伙伴，客戶，和其他授權(quán)的來賓，而不用擔心什么情況都不知道了。