今天,大多數企業級WLAN產品和許多SMB產品都提供內置來賓管理功能。從簡單的強制網絡門戶和防火牆過濾到流量整形和唯一的來賓登錄,這類產品都可以不用IT協助自動生成。
舉例說明,我們看下Meraki的企業級WLAN雲控制器提供的來賓管理功能。為了創建一個Meraki來賓無線局域網,我們需要開始指令配置一個SSID,比如一次點擊或者登入開始頁面。如果選擇了開始頁面,用戶會被重定向到一個定制的入口,通過輸入用戶名和密碼登錄。
來賓開始創建有三種選擇。第一,管理員配置來賓賬號。第二,來賓代表可以增加和刪除來賓賬號但是不能做其他改動,第三,允許來賓在入口提示頁使用他們自己的賬戶,以管理員批准為准。
控制用戶活動實現來賓無線局域網的安全性
下一步便是控制登錄用戶的活動。考慮強制網絡門戶是否要求用戶運行防毒軟件。然後設置允許的目的地,端口和URL,選擇性的添加帶寬限制和有線/無線屬性。最後,考慮在允許或不允許本地局域網訪問時,來賓流量是否需要橋接到一個VLAN或路由到Internet。雲控制器可以分析流量來查看無線來賓網絡的使用情況。
這些功能通常適用於未加密的來賓無線網絡,但是也可以結合WPA2-PSK實現加密。設置PSK可以降低拒絕服務攻擊和防止外部探測。然而傳統的PSK是共享給每個用戶的,他們沒法跟蹤或對單獨的來賓取消跟蹤。不過一些產品提供動態PSK給每個用戶,如Ruckus DPSK和Aerohive PPSK可以解決這類問題。
例如,Ruckus無線局域網可以設置給每個來賓一個唯一的DPSK。任何有企業網絡訪問權的用戶都可以通過一個Web表格來申請 Ruckus來賓權限,每個發布的來賓權限都提供了他們可打印的說明,包括來賓姓名,來賓SSID,來賓唯一的DPSK和有效期限。這些設置甚至可以自動安裝到Windows系統、OS X和iPhone客戶端上,有效避免手工設置和可能出現的錯誤。一旦生效,DPSK會自動過期或被廢除,不用中斷其他的使用。
來賓無線網絡上的設備完整性檢查
這些來賓管理策略可以在無線局域網上提供很好的可視性和可控制行,包括來賓可以訪問什麼以及他們可以使用什麼資源。然而,要預防被感染病毒的來賓所帶來的破壞還需要更多的措施。據Gartner所述,網絡准入控制部署中有四分之三就是為了應對這類威脅的。
雖然阻止被感染的無線客戶端不是來賓無線局域網所需要做的事,但是來賓設備會造成更大的危險,因為他們不被IT部門所管理,一般不能強行安裝 IT部門要求的軟件或者配置,甚至不能進行臨時地完整性檢查。例如,一個強制網絡入門可能會使用ActiveX控制來快速查看來賓是否運行著授權的殺毒軟件。然而,ActiveX控制不能查看非Windows的來賓設備或者被鎖的浏覽器。
對一些企業,針對使用windows的來賓進行完整性檢查已經足夠了,畢竟,病毒在Windows下比較普通。但是其他企業可能傾向於阻止那些不能檢查的來賓或者對他們進行限制(如,只能HTTP,不能訪問內網)。第三種可能是使用NAC或者IDS產品,比如 ForeScout,CounterACT或Bradford Network Sentry,他們可以運行基於網絡的檢查。NAC設備可以整合到現有的無線網絡設施中給來賓管理者提供訪問控制策略,如果檢測到客戶端有病毒威脅或者策略違反就立即切斷。
總之,企業級來賓網絡必須有高效的用戶管理控制,使其符合企業規范。而且他們必須提供突發事件的解決方案和有效的跟蹤方案。有了這些策略,企業可以放心安全的提供網絡給承包商,合作伙伴,客戶,和其他授權的來賓,而不用擔心什麼情況都不知道了