科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航



ZDNet>网络频道>无线>无线消费化:IT部门面临的三大挑战

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Wi-Fi已经获得了包括智能手机、游戏机、数码相机、DVD播放机和电视等大量消费设备的支持。它的本机连接共享功能被经常使用,尽管这对于消费者来说很不错,但是当这些设备宕机将会带来安全和性能问题。

来源:网界网 2010年09月19日

关键字:Wlan 无线网络

Wi-Fi已经获得了包括智能手机、游戏机、数码相机、DVD播放机和电视等大量消费设备的支持。它的本机连接共享功能被经常使用,尽管这对于消费者来说很不错,但是当这些设备宕机将会带来安全和性能问题。

本文将为读者展示无线消费化为IT管理者带来的三大挑战。同时,本文还将阐述为企业团队缓解这些问题的行之有效的办法。

1.无线入侵点:在大规模部署无线设备前,企业中的无线入侵点可能仅限于特定的硬件,如无线网桥和NAT/路由器。这必须依赖于物理连接,如将一个设备连接到网络上创建一个入侵点(在Linux/Windows中带有“软AP”的Wi-Fi网卡除外)

在虚拟Wi-Fi功能加入到Windows Vista and Windows 7中后,事情发生了重大变化。目前几乎任何带有无线功能的笔记本电脑都能够对你的安全构成威胁。

通过虚拟Wi-Fi,用内置的英特尔迅驰无线适配器设置一个“软AP”不仅易如反掌,而且可能出现客户端和AP模式同时运行的情况。与此同时,Connectify等免费工具的出现可以让用户仅通过一系列鼠标点击就完成配置。

虚拟Wi-Fi通过“桥接”一个主机上的两个无线接口间的通讯即可创建一个无线热点----一个被用于客户端运行,另一个被用于AP运行。注意,这种AP模式运行与NAT(网络地址转换)AP的运行十分相似。

此外,在创建虚拟AP配置时,不加密和使用WEP加密方式的不安全Wi-Fi设置也是被允许的。因此,未经授权的用户可能会隐藏在企业合法用户后面。这对企业安全带来了严重的安全威胁。

让802.1X端口控制你的以太网端口将不会消除这种威胁。原因很简单,没有封堵住任何一个未经授权的端口。此外,网络访问控制也不会封堵住这些设备,因为他们隐藏在合法无线用户的NAT功能背后。

2.无线挤压点:当一个合法无线终端连接到了一个未经授权的设备(如访问点或对等用户)时会发生无线挤压。无线挤压会带来潜在的中间人攻击风险,危害特定的客户端。客户端是否容易受到这种攻击取决于客户端的WLAN配置。譬如,搜寻任何默认的或热点SSID的客户端显然更容易受到攻击。

智能手机的几个最新模式能够成为Wi-Fi热点。譬如,Palm 、塞班和Sprint EVO已经具备了这种功能。互联网上也已经出现了将iPhone变成热点的程序。这类智能手机在Wi-Fi和3G/4G接口中中继数据。与之相类似的是,SIMFI技术能够让任何手机都成为Wi-Fi热点。

目前已经出现了许多恶意利用上面提到的这类功能的办法。首先,雇员能够使用这种方式突破你的安全策略(如在公司内访问被屏蔽的网站,绕过公司防火墙上传敏感数据)。更为糟糕的是,攻击者能够利用这种功能将一个手机变成一个“蜜罐”设备。一个移动的“蜜罐”更容易覆盖更大的范围,快速识别容易攻击的对象。

随着蓝牙等技术在企业中不断增加,无线挤压还可以通过它们进行。高速/大范围的蓝牙设备将如期采用蓝牙4.0规范,相关产品将在今年年底上市。预计到2012年,大约将有73%的手机支持蓝牙4.0。蓝牙将成为了无线挤压的另一个潜在重要来源。

3.性能问题:盲目的无线部署将为企业Wi-Fi用户带来极大的可用性和性能问题。如今企业已经开始面对这些挑战以确保可靠的WLAN运作,包括客户端设置/连接问题、容量不足、覆盖范围和干扰问题。

用户不定时的增加私人AP的行为无异于火上浇油。如今频谱已经出现了拥堵,从不受管理的AP中出来的信息将可能会导致经授权的AP出现吞吐量下降和延时问题。让你的WLAN应对这类不定时的负载十分困难。此外,你所承担的任何QoS策略都可能被这些不受管理的设备所干扰。

注意在瞬息万变的环境中完全依靠WLAN进行自我调整并不是一个好主意。让你的空间变得透明非常重要,这种你就能够监控你的WLAN的“健康”情况,及时进行纠正。

行之有效的办法

现在你知道哪里出现了问题吧,但是我们将采取什么措施呢?这里有一个好的办法,企业可能利用这些办法应对我们在上面所说的安全和性能问题,

首先,尽可能的限制用户使用笔记本的权力(就如同不要给予管理权力一样)。这有助于强化终端的安全策略,减小用户修改它们的机会。注意这种限制缺乏灵活性,可能不适合一些企业。

其次,在授权的笔记本上安装终端代理,强化安全策略阻止特定的通讯。譬如,基于虚拟Wi-Fi的连接,Windows Internet连接共享/桥接和蓝牙通讯。这类终端代理在你将笔记本带出企业使用时仍然可以提供保护。

第三,定期检查企业无线客户端的配置情况,确保他们不会搜寻脆弱的SSID(譬如默认SSID、热点SSID)。

最后,使用无线工具扫描电波以侦测无线安全问题和性能问题。可以通过手持设备进行手工扫描,也可以根据解决方案通过无线IPS进行自动扫描。

无线安全和性能问题从本质上说是短暂的,因此仅靠手动扫描可能不够。虽然自动解决方案在前期需要大量的资金投入,但是它们却可以提供二十四小时的可靠监测。部署多层防御将为你在无线安全和性能问题上提供更为可靠的保障。

推广二维码
邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题