无线消费化：IT部门面临的三大挑战

Wi-Fi已经获得了包括智能手机、游戏机、数码相机、DVD播放机和电视等大量消费设备的支持。它的本机连接共享功能被经常使用，尽管这对于消费者来说很不错，但是当这些设备宕机将会带来安全和性能问题。

本文将为读者展示无线消费化为IT管理者带来的三大挑战。同时，本文还将阐述为企业团队缓解这些问题的行之有效的办法。

1.无线入侵点：在大规模部署无线设备前，企业中的无线入侵点可能仅限于特定的硬件，如无线网桥和NAT/路由器。这必须依赖于物理连接，如将一个设备连接到网络上创建一个入侵点(在Linux/Windows中带有“软AP”的Wi-Fi网卡除外)

在虚拟Wi-Fi功能加入到Windows Vista and Windows 7中后，事情发生了重大变化。目前几乎任何带有无线功能的笔记本电脑都能够对你的安全构成威胁。

通过虚拟Wi-Fi，用内置的英特尔迅驰无线适配器设置一个“软AP”不仅易如反掌，而且可能出现客户端和AP模式同时运行的情况。与此同时，Connectify等免费工具的出现可以让用户仅通过一系列鼠标点击就完成配置。

虚拟Wi-Fi通过“桥接”一个主机上的两个无线接口间的通讯即可创建一个无线热点----一个被用于客户端运行，另一个被用于AP运行。注意，这种AP模式运行与NAT(网络地址转换)AP的运行十分相似。

此外，在创建虚拟AP配置时，不加密和使用WEP加密方式的不安全Wi-Fi设置也是被允许的。因此，未经授权的用户可能会隐藏在企业合法用户后面。这对企业安全带来了严重的安全威胁。

让802.1X端口控制你的以太网端口将不会消除这种威胁。原因很简单，没有封堵住任何一个未经授权的端口。此外，网络访问控制也不会封堵住这些设备，因为他们隐藏在合法无线用户的NAT功能背后。

2.无线挤压点：当一个合法无线终端连接到了一个未经授权的设备(如访问点或对等用户)时会发生无线挤压。无线挤压会带来潜在的中间人攻击风险，危害特定的客户端。客户端是否容易受到这种攻击取决于客户端的WLAN配置。譬如，搜寻任何默认的或热点SSID的客户端显然更容易受到攻击。

智能手机的几个最新模式能够成为Wi-Fi热点。譬如，Palm 、塞班和Sprint EVO已经具备了这种功能。互联网上也已经出现了将iPhone变成热点的程序。这类智能手机在Wi-Fi和3G/4G接口中中继数据。与之相类似的是，SIMFI技术能够让任何手机都成为Wi-Fi热点。

目前已经出现了许多恶意利用上面提到的这类功能的办法。首先，雇员能够使用这种方式突破你的安全策略(如在公司内访问被屏蔽的网站，绕过公司防火墙上传敏感数据)。更为糟糕的是，攻击者能够利用这种功能将一个手机变成一个“蜜罐”设备。一个移动的“蜜罐”更容易覆盖更大的范围，快速识别容易攻击的对象。

随着蓝牙等技术在企业中不断增加，无线挤压还可以通过它们进行。高速/大范围的蓝牙设备将如期采用蓝牙4.0规范，相关产品将在今年年底上市。预计到2012年，大约将有73%的手机支持蓝牙4.0。蓝牙将成为了无线挤压的另一个潜在重要来源。

3.性能问题：盲目的无线部署将为企业Wi-Fi用户带来极大的可用性和性能问题。如今企业已经开始面对这些挑战以确保可靠的WLAN运作，包括客户端设置/连接问题、容量不足、覆盖范围和干扰问题。

用户不定时的增加私人AP的行为无异于火上浇油。如今频谱已经出现了拥堵，从不受管理的AP中出来的信息将可能会导致经授权的AP出现吞吐量下降和延时问题。让你的WLAN应对这类不定时的负载十分困难。此外，你所承担的任何QoS策略都可能被这些不受管理的设备所干扰。

注意在瞬息万变的环境中完全依靠WLAN进行自我调整并不是一个好主意。让你的空间变得透明非常重要，这种你就能够监控你的WLAN的“健康”情况，及时进行纠正。