Wi-Fi支持已经进入了各种消费设备——从智能手机到游戏机、相机、DVD播放器和电视机——而且它通常带有本地连接共享功能。虽然这对消费者来说很好,但当这些设备工作时,会产生安全和性能问题。
本文着眼于消费化给IT管理员带来的三个挑战。此外,它还确定了企业团队可以实现的一些最佳实践,以减轻问题。
1.无线入侵点:在无线商品化之前,企业中的无线入侵点大多局限于特定硬件,如无线网桥和NAT/路由器。必须将此类设备物理连接到网络以创建入侵点(Linux/Windows上的一些附加Wi-Fi卡提供的“软AP”功能除外)。
随着Windows Vista和Windows 7引入虚拟Wi-Fi功能,情况发生了巨大变化。现在,几乎任何无害的无线笔记本电脑都可能对您的安全构成威胁。
使用虚拟Wi-Fi,不仅可以使用内置的Intel Centrino无线适配器轻松设置“软AP”,还可以同时启用客户端和AP模式操作。此外,诸如Connectify之类的免费工具只需几次单击即可启用此配置。
虚拟Wi-Fi通过主机上的两个无线接口之间的“桥接”通信创建了一个无线热点——一个用于客户端操作,另一个用于AP操作。需要注意的是,AP模式的操作与NAT AP非常相似。
此外,在创建虚拟AP配置文件时,还允许不安全的Wi-Fi配置,如Open和WEP。因此,在您的企业中,未经授权的用户(幽灵骑手)可能会被授权或访客用户所利用。这可能对企业安全造成严重威胁。
实现启用802.1X端口控制以太网端口不会阻止此威胁,原因很简单,没有未经授权的端口可阻止。此外,网络访问控制无法阻止此类设备,因为它们隐藏在授权无线客户端的NAT功能后面。
2.无线挤出点:当授权无线端点连接到未经授权的设备(例如,接入点或对等客户端)时,会发生无线拉伸。无线挤压可能被利用来发起中间人攻击,从而危害特定的客户端/用户。客户端是否实际易受此类攻击取决于客户端的WLAN配置文件/配置。例如,探测任何默认或热点SSID的客户端肯定容易受到攻击。
最近的几款智能手机都具备充当Wi-Fi热点的功能。例如,Palm、Symbian和Sprint EVO已经支持这一功能,互联网上也有黑客可以将iPhone转换成热点。这类智能手机在Wi-Fi和3G/4G接口之间传输数据。类似地,SIMFI技术允许几乎任何手机转换成Wi-Fi热点。
有多种方法可以利用上述功能。首先,员工可以将其用于违反您的安全策略的通信(例如,从企业内部访问禁止的网站,绕过公司防火墙上传敏感数据)。更糟糕的是,攻击者可以使用此功能将手机转换为蜜罐设备。此外,移动蜜罐可以更轻松地覆盖更多区域,并快速识别易受攻击的客户。
无线挤出也可以通过蓝牙等技术实现,因为它们增加了在企业中的影响力。蓝牙4.0规范承诺的高速/大范围蓝牙设备有望在年底上市。据估计,到2012年,超过73%的手机支持蓝牙,蓝牙可能成为另一个重要的无线资源。
3.性能问题:无线网络的不受控制的扩散可能会给企业Wi-Fi用户带来奇异的可用性和性能问题。企业在确保可靠的WLAN运行方面已经面临一些挑战,包括客户端配置/连接问题、容量不足、覆盖范围和干扰。
用户以零星的方式添加自己的ap就像往火里倒油。在已经拥塞的频谱中,来自非托管ap的流量可能会降低已授权ap的吞吐量和延迟。很难为这种零星负载提供WLAN。此外,您实现的任何QoS策略都可能被非托管设备取消。
请注意,在这样一个高度动态的场景中,完全依赖自调整wlan可能不是一个好主意。保持对您的空间的持续可见性非常重要,这样您就可以监视WLAN的“运行状况”并采取纠正措施。
最佳做法
现在你知道什么会出错,但你能做些什么呢?企业可以遵循某些最佳实践来解决上述安全性和性能问题。
首先,如果可能的话,限制用户在笔记本上的权限(比如不给予管理权限)。这将有助于在端点上实施安全策略,并将用户修改策略的机会降至最低。请注意,这种访问限制缺乏灵活性,可能不适合某些企业。
其次,在授权笔记本电脑上安装端点代理,并强制执行安全策略以阻止某些通信。例如,基于Wi-Fi的虚拟连接、Windows Internet连接共享(ICS)/桥接和蓝牙通信。这样的端点代理还具有在远离企业的地方操作时保护设备的优势。
第三,定期审核企业无线客户端的配置,确保它们不会探测易受攻击的SSID(例如,默认SSID、热点SSID)。
最后,使用空中监控工具扫描无线电波,以检测无线安全和性能问题。扫描可以使用某些手持工具手动完成,也可以通过基于无线IP的解决方案自动完成。
就其本质而言,无线安全和性能问题本质上是暂时的。因此,繁琐的手动扫描练习可能不够。尽管自动化解决方案可能需要更多的前期资金,但通过提供可靠的、24 × 7的企业空间监控,它们可以减少总体运营费用。
经验教训——实施多层防御为您提供了应对无线安全和性能问题的最佳选择。
密闭网络专门从事无线安全和性能管理。它为客户提供先进的无线入侵检测和预防(WIPS)解决方案,以自动检测、分类、阻止和定位当前和新出现的无线威胁。