新聞中心

EEPW首頁 > 手機(jī)與無線通信 > 設(shè)計(jì)應(yīng)用 > 怎樣加強(qiáng)無線網(wǎng)絡(luò)的安全管理

怎樣加強(qiáng)無線網(wǎng)絡(luò)的安全管理

作者: 時(shí)間:2012-07-24 來源:網(wǎng)絡(luò) 收藏

標(biāo)簽:

本文引用地址:http://2s4d.com/article/154325.htm

今天,大多數(shù)企業(yè)級(jí)WLAN產(chǎn)品和許多SMB產(chǎn)品都提供內(nèi)置來賓管理功能。從簡單的強(qiáng)制網(wǎng)絡(luò)門戶和防火墻過濾到流量整形和唯一的來賓登錄,這類產(chǎn)品都可以不用IT協(xié)助自動(dòng)生成。

舉例說明,我們看下Meraki的企業(yè)級(jí)WLAN云控制器提供的來賓管理功能。為了創(chuàng)建一個(gè)Meraki來賓無線局域網(wǎng),我們需要開始指令配置一個(gè)SSID,比如一次點(diǎn)擊或者登入開始頁面。如果選擇了開始頁面,用戶會(huì)被重定向到一個(gè)定制的入口,通過輸入用戶名和密碼登錄。

來賓開始創(chuàng)建有三種選擇。第一,管理員配置來賓賬號(hào)。第二,來賓代表可以增加和刪除來賓賬號(hào)但是不能做其他改動(dòng),第三,允許來賓在入口提示頁使用他們自己的賬戶,以管理員批準(zhǔn)為準(zhǔn)。

控制用戶活動(dòng)實(shí)現(xiàn)來賓無線局域網(wǎng)的安全性

下一步便是控制登錄用戶的活動(dòng)。考慮強(qiáng)制網(wǎng)絡(luò)門戶是否要求用戶運(yùn)行防毒軟件。然后設(shè)置允許的目的地,端口和URL,選擇性的添加帶寬限制和有線/無線屬性。最后,考慮在允許或不允許本地局域網(wǎng)訪問時(shí),來賓流量是否需要橋接到一個(gè)VLAN或路由到Internet。云控制器可以分析流量來查看無線來賓網(wǎng)絡(luò)的使用情況。

這些功能通常適用于未加密的來賓,但是也可以結(jié)合WPA2-PSK實(shí)現(xiàn)加密。設(shè)置PSK可以降低拒絕服務(wù)攻擊和防止外部探測(cè)。然而傳統(tǒng)的PSK是共享給每個(gè)用戶的,他們沒法跟蹤或?qū)为?dú)的來賓取消跟蹤。不過一些產(chǎn)品提供動(dòng)態(tài)PSK給每個(gè)用戶,如Ruckus DPSK和Aerohive PPSK可以解決這類問題。

例如,Ruckus無線局域網(wǎng)可以設(shè)置給每個(gè)來賓一個(gè)唯一的DPSK。任何有企業(yè)網(wǎng)絡(luò)訪問權(quán)的用戶都可以通過一個(gè)Web表格來申請(qǐng)Ruckus來賓權(quán)限,每個(gè)發(fā)布的來賓權(quán)限都提供了他們可打印的說明,包括來賓姓名,來賓SSID,來賓唯一的DPSK和有效期限。這些設(shè)置甚至可以自動(dòng)安裝到Windows系統(tǒng)、OS X和iPhone客戶端上,有效避免手工設(shè)置和可能出現(xiàn)的錯(cuò)誤。一旦生效,DPSK會(huì)自動(dòng)過期或被廢除,不用中斷其他的使用。

來賓上的設(shè)備完整性檢查

這些來賓管理策略可以在無線局域網(wǎng)上提供很好的可視性和可控制行,包括來賓可以訪問什么以及他們可以使用什么資源。然而,要預(yù)防被感染病毒的來賓所帶來的破壞還需要更多的措施。據(jù)Gartner所述,網(wǎng)絡(luò)準(zhǔn)入控制部署中有四分之三就是為了應(yīng)對(duì)這類威脅的。

雖然阻止被感染的無線客戶端不是來賓無線局域網(wǎng)所需要做的事,但是來賓設(shè)備會(huì)造成更大的危險(xiǎn),因?yàn)樗麄儾槐籌T部門所管理,一般不能強(qiáng)行安裝IT部門要求的軟件或者配置,甚至不能進(jìn)行臨時(shí)地完整性檢查。例如,一個(gè)強(qiáng)制網(wǎng)絡(luò)入門可能會(huì)使用ActiveX控制來快速查看來賓是否運(yùn)行著授權(quán)的殺毒軟件。然而,ActiveX控制不能查看非Windows的來賓設(shè)備或者被鎖的瀏覽器。

對(duì)一些企業(yè),針對(duì)使用windows的來賓進(jìn)行完整性檢查已經(jīng)足夠了,畢竟,病毒在Windows下比較普通。但是其他企業(yè)可能傾向于阻止那些不能檢查的來賓或者對(duì)他們進(jìn)行限制(如,只能HTTP,不能訪問內(nèi)網(wǎng))。第三種可能是使用NAC或者IDS產(chǎn)品,比如ForeScout,CounterACT或Bradford Network Sentry,他們可以運(yùn)行基于網(wǎng)絡(luò)的檢查。NAC設(shè)備可以整合到現(xiàn)有的無線網(wǎng)絡(luò)設(shè)施中給來賓管理者提供訪問控制策略,如果檢測(cè)到客戶端有病毒威脅或者策略違反就立即切斷。

總之,企業(yè)級(jí)來賓網(wǎng)絡(luò)必須有高效的用戶管理控制,使其符合企業(yè)規(guī)范。而且他們必須提供突發(fā)事件的解決方案和有效的跟蹤方案。有了這些策略,企業(yè)可以放心安全的提供網(wǎng)絡(luò)給承包商,合作伙伴,客戶,和其他授權(quán)的來賓,而不用擔(dān)心什么情況都不知道了。



評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉