针对员工的可能策略:
可以单独配置“可能策略”,它会在准入最后阶段发挥作用,更多的根据安全规范和业务需求而产生的策略,可以集中在此进行部署。
2. 安全
传统的安全策略仅满足有线侧的安全防护,BYOD模式下,Wi-Fi作为接入层重要技术,它的安全防护需要人们重新检视。在空口(无线空间传送接口)直接传送的信号,是把802.3的报文进行802.11封装并进行相应的调制解调为电磁波,在大气中进行“看不见、摸不着”的黑夜传送。对于Wi-Fi的传送模式,物理层的频谱安全防护(L1)和链路层的无线攻击防护(L2),以及如何将L1-L7实现有线无线的联动,会成为BYOD下移动安全重要的关注点。
AP作为监控设备,负责进行空口射频信号的抓取,然后对射频芯片上送的原始FFT信号进行分析和识别,从而判断是否有传统无线防御系统无法识别的非Wi-Fi干扰并同时进行信道评估。在搜集完所需信息后,通过AP-AC间的通道上传给AC,由AC集中处理,用户可在网管的相关页面获取当前的频谱数据信息。同时,在日益拥挤的ISM频段中,要想完全不受到非WLAN信号的干扰在实际环境中近乎于不可能,但客户和工程师可以借助频谱防护提供的多种图表,从不同角度对信道的质量和使用情况进行监控和评估。
WLAN发展至今,在安全性上也做了不少改进。比如加密认证体系已经由原来的WEP过度到了802.11i。企业通过802.1X认证与CCMP强加密,可以最大限度的保护无线数据安全,即使恶意攻击者监听到了这些报文,由于报文已被强加密,因此他还是无法还原出原始数据。但是,使用802.11i仍然无法完全保护企业无线网络不受恶意攻击。例如,攻击者可设置蜜罐AP诱惑用户连接、或通过泛洪(FLOOD)各种WLAN协议报文使企业无线网络无法使用。
无线攻击防护系统(WIPS)被设计用于应对各种各样的WLAN攻击。通过传感器扫描企业内部WLAN环境、通过AC进行攻击分析,最后将各种数据与攻击检测结果发送给网管呈现给用户。
WIPS主要有以下几类主要功能:
(1) 检测并禁用非法设备:WIPS可以检测Rogue AP、Adhoc网络、授权/非授权STA等;
(2) 检测并规避DOS攻击:为每种攻击设置速率阈值,当某种报文的速率超过阈值时采取预先定义的动作;
(3) 检测并规避表项攻击:当报文的MAC变化率超过阈值时采取预先定义的动作;
(4) 检测并反制仿冒攻击:例如,可以检测中间人攻击(如图3所示)。攻击者假冒成一个合法的AP为用户提供服务;
(5) 基于pattern的匹配(Signature):对报文进行预定义的pattern匹配,并执行预定义的动作;
(6) WLAN环境监控:可监控WLAN各个信道上的无线设备,以及各种WLAN管理报文、控制报文及数据报文的速率。
▲图3 中间人攻击示意图
3. 易用
BYOD模式下,终端自身的硬件多样性、应用精细化,以及人们对实时接入的迫切要求,易用性成为了非常重要的甚至是影响到网络评价的重要指标。
终端数量几何增长带来的IP地址浪费与枯竭、高密覆盖下2.4G/5G终端灵活接入、访客来宾进入企业快速安全的获得移动网络访问能力、针对不同场景的AC快速虚拟实例化部署、分支节点业务永续能力提高等等,都会成为BYOD易用性提升的重要环节。
