▲圖1 BYOD邏輯架構(gòu)圖
Wi-Fi在企業(yè)的大規(guī)模應(yīng)用,使得從任意位置根據(jù)策略訪問桌面,無論使用何種設(shè)備或網(wǎng)絡(luò)成為可能。根據(jù)前面前文的分析,為了解決IT管理人員和用戶自身在BYOD實(shí)施中的困難和疑惑���,Wi-Fi網(wǎng)絡(luò)應(yīng)該具備相應(yīng)的能力(如表1所示)。
▲表1 BYOD核心技術(shù)點(diǎn)
1. 智能
傳統(tǒng)用戶的準(zhǔn)入是通過單一的帳戶信息進(jìn)行鑒權(quán)并獲得授權(quán)信息�,但是在移動(dòng)互聯(lián)時(shí)代,人們往往希望在企業(yè)內(nèi)部單一帳戶可以應(yīng)用到多個(gè)終端�,(包括固定和移動(dòng)的設(shè)備)���。同時(shí)因此,網(wǎng)絡(luò)管理者�,也必須在這種需求下調(diào)整網(wǎng)絡(luò)準(zhǔn)入結(jié)構(gòu),比如���,固定設(shè)備進(jìn)行流量控制�����,移動(dòng)設(shè)備進(jìn)行時(shí)長控制;固定設(shè)備允許進(jìn)入業(yè)務(wù)網(wǎng)��,移動(dòng)設(shè)備僅允許獲得瀏覽權(quán)限等��。
移動(dòng)互聯(lián)時(shí)代���,當(dāng)人們都愿意采用BYOD來進(jìn)行相關(guān)操作時(shí),Wi-Fi作為重要的智能管道�,不能簡單地沿襲傳統(tǒng)有線網(wǎng)絡(luò)的粗放承載模式,視頻�����、APP���、社交媒體等等廣泛的使用���,管道內(nèi)的應(yīng)用明顯產(chǎn)生了“高低參差”����,對(duì)業(yè)務(wù)的識(shí)別���,智能的調(diào)整業(yè)務(wù)在管道內(nèi)傳送的優(yōu)先能力�����,是網(wǎng)絡(luò)的管理者非常希望看到的結(jié)果。
為達(dá)到以上目標(biāo)����,需要進(jìn)行終端和業(yè)務(wù)智能識(shí)別。以終端識(shí)別為例�,在進(jìn)行無線登錄時(shí),應(yīng)該遵從如圖2所示的流程�����。
▲圖2 終端準(zhǔn)入流程
SSID檢查:
檢查關(guān)聯(lián)的SSID是否部署了對(duì)應(yīng)的BYOD策略��,同時(shí),該接入位置����,是否是用戶允許介入的區(qū)域。
準(zhǔn)入策略檢查:
根據(jù)帳戶對(duì)應(yīng)的權(quán)屬信息�����,推送合適的Portal準(zhǔn)入頁面��,或802.1x認(rèn)證的證書配置�����。
終端類型檢查:
針對(duì)準(zhǔn)入用戶的設(shè)備硬件類型���、操作系統(tǒng)類型以及安全級(jí)別��,確定BYOD策略�����。
針對(duì)員工的可能策略:
可以單獨(dú)配置“可能策略”�,它會(huì)在準(zhǔn)入最后階段發(fā)揮作用����,更多的根據(jù)安全規(guī)范和業(yè)務(wù)需求而產(chǎn)生的策略�����,可以集中在此進(jìn)行部署�����。
2. 安全
傳統(tǒng)的安全策略僅滿足有線側(cè)的安全防護(hù)�����,BYOD模式下�,Wi-Fi作為接入層重要技術(shù)�����,它的安全防護(hù)需要人們重新檢視�。在空口(無線空間傳送接口)直接傳送的信號(hào)����,是把802.3的報(bào)文進(jìn)行802.11封裝并進(jìn)行相應(yīng)的調(diào)制解調(diào)為電磁波,在大氣中進(jìn)行“看不見�����、摸不著”的黑夜傳送。對(duì)于Wi-Fi的傳送模式�,物理層的頻譜安全防護(hù)(L1)和鏈路層的無線攻擊防護(hù)(L2),以及如何將L1-L7實(shí)現(xiàn)有線無線的聯(lián)動(dòng)�����,會(huì)成為BYOD下移動(dòng)安全重要的關(guān)注點(diǎn)�����。
AP作為監(jiān)控設(shè)備�����,負(fù)責(zé)進(jìn)行空口射頻信號(hào)的抓取���,然后對(duì)射頻芯片上送的原始FFT信號(hào)進(jìn)行分析和識(shí)別�����,從而判斷是否有傳統(tǒng)無線防御系統(tǒng)無法識(shí)別的非Wi-Fi干擾并同時(shí)進(jìn)行信道評(píng)估��。在搜集完所需信息后�,通過AP-AC間的通道上傳給AC,由AC集中處理�,用戶可在網(wǎng)管的相關(guān)頁面獲取當(dāng)前的頻譜數(shù)據(jù)信息。同時(shí)�����,在日益擁擠的ISM頻段中�,要想完全不受到非WLAN信號(hào)的干擾在實(shí)際環(huán)境中近乎于不可能,但客戶和工程師可以借助頻譜防護(hù)提供的多種圖表�,從不同角度對(duì)信道的質(zhì)量和使用情況進(jìn)行監(jiān)控和評(píng)估。
WLAN發(fā)展至今�,在安全性上也做了不少改進(jìn)。比如加密認(rèn)證體系已經(jīng)由原來的WEP過度到了802.11i�����。企業(yè)通過802.1X認(rèn)證與CCMP強(qiáng)加密���,可以最大限度的保護(hù)無線數(shù)據(jù)安全��,即使惡意攻擊者監(jiān)聽到了這些報(bào)文,由于報(bào)文已被強(qiáng)加密��,因此他還是無法還原出原始數(shù)據(jù)。但是�����,使用802.11i仍然無法完全保護(hù)企業(yè)無線網(wǎng)絡(luò)不受惡意攻擊���。例如�,攻擊者可設(shè)置蜜罐 AP誘惑用戶連接��、或通過泛洪(FLOOD)各種WLAN協(xié)議報(bào)文使企業(yè)無線網(wǎng)絡(luò)無法使用��。
無線攻擊防護(hù)系統(tǒng)(WIPS)被設(shè)計(jì)用于應(yīng)對(duì)各種各樣的WLAN攻擊�。通過傳感器掃描企業(yè)內(nèi)部WLAN環(huán)境、通過AC進(jìn)行攻擊分析�����,最后將各種數(shù)據(jù)與攻擊檢測結(jié)果發(fā)送給網(wǎng)管呈現(xiàn)給用戶�。
WIPS主要有以下幾類主要功能:
(1) 檢測并禁用非法設(shè)備:WIPS可以檢測Rogue AP、Adhoc網(wǎng)絡(luò)����、授權(quán)/非授權(quán)STA等;
(2) 檢測并規(guī)避DOS攻擊:為每種攻擊設(shè)置速率閾值,當(dāng)某種報(bào)文的速率超過閾值時(shí)采取預(yù)先定義的動(dòng)作;
(3) 檢測并規(guī)避表項(xiàng)攻擊:當(dāng)報(bào)文的MAC變化率超過閾值時(shí)采取預(yù)先定義的動(dòng)作;
(4) 檢測并反制仿冒攻擊:例如�,可以檢測中間人攻擊(如圖3所示)。攻擊者假冒成一個(gè)合法的AP為用戶提供服務(wù);
(5) 基于pattern的匹配(Signature):對(duì)報(bào)文進(jìn)行預(yù)定義的pattern匹配,并執(zhí)行預(yù)定義的動(dòng)作;
(6) WLAN環(huán)境監(jiān)控:可監(jiān)控WLAN各個(gè)信道上的無線設(shè)備���,以及各種WLAN管理報(bào)文����、控制報(bào)文及數(shù)據(jù)報(bào)文的速率�����。
▲圖3 中間人攻擊示意圖
3. 易用
BYOD模式下����,終端自身的硬件多樣性、應(yīng)用精細(xì)化��,以及人們對(duì)實(shí)時(shí)接入的迫切要求��,易用性成為了非常重要的甚至是影響到網(wǎng)絡(luò)評(píng)價(jià)的重要指標(biāo)���。
終端數(shù)量幾何增長帶來的IP地址浪費(fèi)與枯竭�、高密覆蓋下2.4G/5G終端靈活接入����、訪客來賓進(jìn)入企業(yè)快速安全的獲得移動(dòng)網(wǎng)絡(luò)訪問能力����、針對(duì)不同場景的AC快速虛擬實(shí)例化部署�、分支節(jié)點(diǎn)業(yè)務(wù)永續(xù)能力提高等等�,都會(huì)成為BYOD易用性提升的重要環(huán)節(jié)。
傳統(tǒng)的企業(yè)園區(qū)網(wǎng)絡(luò)��,網(wǎng)絡(luò)使用者的物理位置和網(wǎng)絡(luò)信息節(jié)點(diǎn)原則上一一對(duì)應(yīng)����,網(wǎng)絡(luò)管理難度相對(duì)可控。但是���,在BYOD模式下����,移動(dòng)終端數(shù)量和IP地址消耗量爆發(fā)增長�,同時(shí),由于BYOD的移動(dòng)性�,終端的接入存在空間和時(shí)間的潮汐性。比如早上10點(diǎn)����,員工都在辦公室進(jìn)行業(yè)務(wù)處理����,下午3點(diǎn)��,員工都在各類會(huì)議室參加會(huì)議�。
這種情況下如果將所有的用戶分配在一個(gè)VLAN中,意味著所有用戶在同一個(gè)子網(wǎng)中��,龐大的廣播域會(huì)大大增加空口中的廣播流量���,浪費(fèi)空口帶寬��。另一方面�����,大量用戶在同一子網(wǎng)中�����,那么該子網(wǎng)需要一個(gè)很大的連續(xù)地址空間�。企業(yè)可能會(huì)有多個(gè)不連續(xù)的C類地址���,但沒有大的連續(xù)地址空間 (如B類地址)����。顯然,我們無法利用一個(gè)VLAN來為大量的同一類用戶來分配不連續(xù)的地址空間�����。
VLAN池優(yōu)化分配技術(shù)的出現(xiàn)���,很好的解決了BYOD模式下IP地址浪費(fèi)與枯竭的問題,提高了WiFi管道的易用性�。如圖4所示,VLAN池包含多個(gè)VLAN����,當(dāng)一個(gè)SSID和一個(gè)VLAN池綁定時(shí),該SSID下的用戶將被均衡地分配在VLAN池的所有VLAN中�,既能將用戶劃分在不同廣播域中,又能充分利用不連續(xù)的地址段為用戶分配地址����。
▲圖4 VLAN池優(yōu)化分配技術(shù)示意圖
三、 結(jié)束語
新的執(zhí)行環(huán)境總會(huì)創(chuàng)造新的市場�����,而BYOD的興起無疑也將遵循這一規(guī)律。移動(dòng)互聯(lián)與云計(jì)算兩大技術(shù)交匯融合�����,催生出一套由用戶����、服務(wù)提供商以及網(wǎng)絡(luò)設(shè)備商共同組成的完整生態(tài)系統(tǒng)。
