怎樣加強(qiáng)無(wú)線網(wǎng)絡(luò)的安全管理
來(lái)源:技術(shù)員聯(lián)盟┆發(fā)布時(shí)間:2019-01-26 12:01┆點(diǎn)擊:
今天��,大多數(shù)企業(yè)級(jí)WLAN產(chǎn)品和許多SMB產(chǎn)品都提供內(nèi)置來(lái)賓管理功能���。從簡(jiǎn)單的強(qiáng)制網(wǎng)絡(luò)門(mén)戶(hù)和防火墻過(guò)濾到流量整形和唯一的來(lái)賓登錄,這類(lèi)產(chǎn)品都可以不用IT協(xié)助自動(dòng)生成��。
舉例說(shuō)明�,我們看下Meraki的企業(yè)級(jí)WLAN云控制器提供的來(lái)賓管理功能����。為了創(chuàng)建一個(gè)Meraki來(lái)賓無(wú)線局域網(wǎng)��,我們需要開(kāi)始指令配置一個(gè)SSID���,比如一次點(diǎn)擊或者登入開(kāi)始頁(yè)面���。如果選擇了開(kāi)始頁(yè)面,用戶(hù)會(huì)被重定向到一個(gè)定制的入口��,通過(guò)輸入用戶(hù)名和密碼登錄�����。
來(lái)賓開(kāi)始創(chuàng)建有三種選擇�����。第一����,管理員配置來(lái)賓賬號(hào)��。第二,來(lái)賓代表可以增加和刪除來(lái)賓賬號(hào)但是不能做其他改動(dòng)���,第三��,允許來(lái)賓在入口提示頁(yè)使用他們自己的賬戶(hù)��,以管理員批準(zhǔn)為準(zhǔn)��。
控制用戶(hù)活動(dòng)實(shí)現(xiàn)來(lái)賓無(wú)線局域網(wǎng)的安全性
下一步便是控制登錄用戶(hù)的活動(dòng)���。考慮強(qiáng)制網(wǎng)絡(luò)門(mén)戶(hù)是否要求用戶(hù)運(yùn)行防毒軟件���。然后設(shè)置允許的目的地�����,端口和URL����,選擇性的添加帶寬限制和有線/無(wú)線屬性����。最后�����,考慮在允許或不允許本地局域網(wǎng)訪問(wèn)時(shí)���,來(lái)賓流量是否需要橋接到一個(gè)VLAN或路由到Internet。云控制器可以分析流量來(lái)查看無(wú)線來(lái)賓網(wǎng)絡(luò)的使用情況��。
這些功能通常適用于未加密的來(lái)賓無(wú)線網(wǎng)絡(luò)��,但是也可以結(jié)合WPA2-PSK實(shí)現(xiàn)加密��。設(shè)置PSK可以降低拒絕服務(wù)攻擊和防止外部探測(cè)�。然而傳統(tǒng)的PSK是共享給每個(gè)用戶(hù)的,他們沒(méi)法跟蹤或?qū)为?dú)的來(lái)賓取消跟蹤���。不過(guò)一些產(chǎn)品提供動(dòng)態(tài)PSK給每個(gè)用戶(hù),如Ruckus DPSK和Aerohive PPSK可以解決這類(lèi)問(wèn)題����。
例如,Ruckus無(wú)線局域網(wǎng)可以設(shè)置給每個(gè)來(lái)賓一個(gè)唯一的DPSK�。任何有企業(yè)網(wǎng)絡(luò)訪問(wèn)權(quán)的用戶(hù)都可以通過(guò)一個(gè)Web表格來(lái)申請(qǐng) Ruckus來(lái)賓權(quán)限,每個(gè)發(fā)布的來(lái)賓權(quán)限都提供了他們可打印的說(shuō)明����,包括來(lái)賓姓名�����,來(lái)賓SSID��,來(lái)賓唯一的DPSK和有效期限�。這些設(shè)置甚至可以自動(dòng)安裝到Windows系統(tǒng)��、OS X和iPhone客戶(hù)端上�,有效避免手工設(shè)置和可能出現(xiàn)的錯(cuò)誤。一旦生效��,DPSK會(huì)自動(dòng)過(guò)期或被廢除��,不用中斷其他的使用���。
來(lái)賓無(wú)線網(wǎng)絡(luò)上的設(shè)備完整性檢查
這些來(lái)賓管理策略可以在無(wú)線局域網(wǎng)上提供很好的可視性和可控制行�,包括來(lái)賓可以訪問(wèn)什么以及他們可以使用什么資源����。然而,要預(yù)防被感染病毒的來(lái)賓所帶來(lái)的破壞還需要更多的措施�。據(jù)Gartner所述����,網(wǎng)絡(luò)準(zhǔn)入控制部署中有四分之三就是為了應(yīng)對(duì)這類(lèi)威脅的�。
雖然阻止被感染的無(wú)線客戶(hù)端不是來(lái)賓無(wú)線局域網(wǎng)所需要做的事,但是來(lái)賓設(shè)備會(huì)造成更大的危險(xiǎn)����,因?yàn)樗麄儾槐籌T部門(mén)所管理,一般不能強(qiáng)行安裝 IT部門(mén)要求的軟件或者配置����,甚至不能進(jìn)行臨時(shí)地完整性檢查。例如���,一個(gè)強(qiáng)制網(wǎng)絡(luò)入門(mén)可能會(huì)使用ActiveX控制來(lái)快速查看來(lái)賓是否運(yùn)行著授權(quán)的殺毒軟件�����。然而,ActiveX控制不能查看非Windows的來(lái)賓設(shè)備或者被鎖的瀏覽器���。
對(duì)一些企業(yè)��,針對(duì)使用windows的來(lái)賓進(jìn)行完整性檢查已經(jīng)足夠了����,畢竟,病毒在Windows下比較普通����。但是其他企業(yè)可能傾向于阻止那些不能檢查的來(lái)賓或者對(duì)他們進(jìn)行限制(如,只能HTTP��,不能訪問(wèn)內(nèi)網(wǎng))���。第三種可能是使用NAC或者IDS產(chǎn)品�����,比如 ForeScout����,CounterACT或Bradford Network Sentry�����,他們可以運(yùn)行基于網(wǎng)絡(luò)的檢查�����。NAC設(shè)備可以整合到現(xiàn)有的無(wú)線網(wǎng)絡(luò)設(shè)施中給來(lái)賓管理者提供訪問(wèn)控制策略,如果檢測(cè)到客戶(hù)端有病毒威脅或者策略違反就立即切斷�����。
總之�����,企業(yè)級(jí)來(lái)賓網(wǎng)絡(luò)必須有高效的用戶(hù)管理控制��,使其符合企業(yè)規(guī)范�。而且他們必須提供突發(fā)事件的解決方案和有效的跟蹤方案。有了這些策略����,企業(yè)可以放心安全的提供網(wǎng)絡(luò)給承包商,合作伙伴���,客戶(hù)��,和其他授權(quán)的來(lái)賓��,而不用擔(dān)心什么情況都不知道了
