隨著無(wú)線網(wǎng)絡(luò)發(fā)展，更多的用戶(hù)使用Wi-Fi，包括那些企業(yè)中工作的人們。那么，這對(duì)保障無(wú)線網(wǎng)絡(luò)安全增添了新的難題。那么，應(yīng)該如何做呢。本文就將介紹無(wú)線網(wǎng)絡(luò)訪問(wèn)控制（NAC），來(lái)保證網(wǎng)絡(luò)的情況是安全的。

隨著越來(lái)越多未經(jīng)管理的、啟用Wi-Fi的智能手機(jī)連接到企業(yè)網(wǎng)絡(luò)，網(wǎng)絡(luò)管理員應(yīng)該使用無(wú)線網(wǎng)絡(luò)訪問(wèn)控制（NAC）來(lái)監(jiān)控接入網(wǎng)絡(luò)設(shè)備以及保證這些設(shè)備的安全。

“最近我在與一個(gè)醫(yī)院相關(guān)人員交流時(shí)了解到他們的網(wǎng)絡(luò)上有很多智能手機(jī)接入，但他們并不是很確定，”Infonetics Research的主任分析師Jeff Wilson說(shuō)道。“他們認(rèn)為他們共有大約8,000臺(tái)設(shè)備接入網(wǎng)絡(luò)，但當(dāng)他們?cè)L問(wèn)ForeScout的一個(gè)網(wǎng)絡(luò)訪問(wèn)控制設(shè)備時(shí)，他們發(fā)現(xiàn)了12,000臺(tái)設(shè)備。其中大多數(shù)他們之前沒(méi)有計(jì)算到的是各種智能手機(jī)。”

當(dāng)網(wǎng)絡(luò)管理員知道他們網(wǎng)絡(luò)上的設(shè)備時(shí)，他們需要了解2個(gè)主要分類(lèi)的智能手機(jī)使用情況：IT能夠訪問(wèn)的屬于公司資產(chǎn)的設(shè)備，以及員工自己擁有的、用來(lái)訪問(wèn)電子郵件和企業(yè)敏感信息的設(shè)備。

“你必須了解的是，現(xiàn)實(shí)中哪些是我知道且能控制的設(shè)備，哪些是我不知道且不能夠控制的設(shè)備，”Wilson說(shuō)道。“然后你可以對(duì)你知道的設(shè)備制定一個(gè)安全策略，而對(duì)于不知道的設(shè)備則制定另一個(gè)安全策略?；蛘呤亲柚箤?duì)這些設(shè)備的所有訪問(wèn)，或者是允許訪問(wèn)但需要采取方法進(jìn)行限制或[訪問(wèn)]控制，這個(gè)決定權(quán)在你。”

對(duì)于網(wǎng)絡(luò)上受管理的智能手機(jī)的控制是一個(gè)關(guān)系到與IT組織中的移動(dòng)設(shè)備管理員合作的問(wèn)題。未受管理的設(shè)備則是一個(gè)更大的挑戰(zhàn)，Wilson說(shuō)到，“因?yàn)槟悴荒軌蛭锢砩线B接它們。”

企業(yè)可以使用無(wú)線網(wǎng)絡(luò)訪問(wèn)控制（NAC），它不僅能夠發(fā)現(xiàn)連接到網(wǎng)絡(luò)上的設(shè)備類(lèi)型，也能發(fā)現(xiàn)客戶(hù)端上運(yùn)行的（如果有）軟件和安全性設(shè)置，他說(shuō)。這些信息能夠幫助網(wǎng)絡(luò)管理員確定應(yīng)該對(duì)未受管理的智能手機(jī)實(shí)現(xiàn)哪些種類(lèi)的安全性策略。

Bill Perry是位于England Taunton的Richard Huish College的IT服務(wù)經(jīng)理，他最近安裝了一個(gè)ForeScout的無(wú)線網(wǎng)絡(luò)訪問(wèn)控制（NAC）產(chǎn)品，專(zhuān)門(mén)用于查看接入到網(wǎng)絡(luò)的iPhone和USB設(shè)備的數(shù)量。

“[教授們]通過(guò)網(wǎng)絡(luò)進(jìn)行授課的課程很多，”Perry說(shuō)道。“如果網(wǎng)絡(luò)出現(xiàn)問(wèn)題，他們就無(wú)法上課。我認(rèn)為iPhone可能會(huì)訪問(wèn)網(wǎng)絡(luò)，并會(huì)帶來(lái)一些可能影響網(wǎng)絡(luò)運(yùn)行的東西。”

Perry的ForeScout設(shè)備目前是處于監(jiān)控模式，它負(fù)責(zé)監(jiān)控網(wǎng)絡(luò)狀況。這個(gè)月他將開(kāi)始實(shí)現(xiàn)一些規(guī)則和策略來(lái)控制訪問(wèn)他的Cisco無(wú)線LAN和有線網(wǎng)絡(luò)的設(shè)備。

無(wú)線網(wǎng)絡(luò)訪問(wèn)控制：監(jiān)控設(shè)備行為

在得到網(wǎng)絡(luò)上的智能手機(jī)詳細(xì)列表后，網(wǎng)絡(luò)管理員需要了解這些設(shè)備正在做什么。

“一個(gè)重要的方面是了解它們?cè)诰W(wǎng)絡(luò)上是怎么使用的，”Wilson說(shuō)。“當(dāng)這些設(shè)備連接后用戶(hù)會(huì)做什么？可能會(huì)出現(xiàn)什么類(lèi)型的威脅？這就是使用某種無(wú)線網(wǎng)絡(luò)訪問(wèn)控制（NAC）或應(yīng)用控制或應(yīng)用發(fā)現(xiàn)產(chǎn)品能夠幫助你的地方。”

“其次，考慮一下其余問(wèn)題的數(shù)據(jù)，”他說(shuō)。“我們有相應(yīng)的策略應(yīng)對(duì)某人電話丟失的意外事件嗎？我們應(yīng)該如如何決定我們是否在IT方面考慮了設(shè)備丟失的事件？我們?nèi)绾卧跓o(wú)法訪問(wèn)這些設(shè)備的前提下保護(hù)我們的網(wǎng)絡(luò)？”

對(duì)于未受管理的智能手機(jī)視而不見(jiàn)是有風(fēng)險(xiǎn)的。“我們還沒(méi)有遇到許多專(zhuān)門(mén)針對(duì)移動(dòng)設(shè)備的攻擊，但是我相信這些攻擊遲早會(huì)出現(xiàn)。并且，特別專(zhuān)注于智能手機(jī)安全性的公司[正在這樣做]，因?yàn)樗麄冎廊绻O(shè)備丟失或被盜，一定會(huì)有他們需要擔(dān)心的敏感數(shù)據(jù)。”

編外無(wú)線無(wú)線網(wǎng)絡(luò)訪問(wèn)控制（NAC）解決方案

并不是每一個(gè)無(wú)線網(wǎng)絡(luò)訪問(wèn)控制（NAC）方案都將提供對(duì)未受管理的智能手機(jī)相同的控制和可見(jiàn)性，Wilson說(shuō)。例如，來(lái)自諸如McAfee和Symantec等終端保護(hù)供應(yīng)商的無(wú)線網(wǎng)絡(luò)訪問(wèn)控制（NAC）產(chǎn)品也許并不足夠好，因?yàn)樗麄円蕾?lài)的是一些智能手機(jī)可能不會(huì)安裝的客戶(hù)端軟件。Microsoft NAP可能在管理Windows Mobile智能手機(jī)上做得很好，但對(duì)于其它的智能手機(jī)平臺(tái)可能就不適用了。只跟蹤支持802.1x設(shè)備的無(wú)線網(wǎng)絡(luò)訪問(wèn)控制（NAC）產(chǎn)品將不能識(shí)別沒(méi)有這些軟件的設(shè)備，特別是智能手機(jī)。

“所以你需要尋找不局限于802.1x的編外方案，同時(shí)還需要使用其它方法，如捕捉MAC地址和機(jī)器ID，”Wilson說(shuō)。

智能手機(jī)安全性之外

無(wú)線網(wǎng)絡(luò)訪問(wèn)控制（NAC）也能幫助Perry處理網(wǎng)絡(luò)中其它與受管理和未受管理的筆記本電腦相關(guān)的問(wèn)題。例如，他檢測(cè)到一組未受管理的PC在掃描他的網(wǎng)絡(luò)，特別是密碼掃描，所以他嘗試用ForeScout跟蹤這些機(jī)器。他不認(rèn)為是某些人在嘗試攻擊網(wǎng)絡(luò)，但是當(dāng)他找到這個(gè)機(jī)器時(shí)他會(huì)知道更多的信息。

這個(gè)技術(shù)也能幫助他查找一臺(tái)學(xué)校擁有而已經(jīng)丟失的外借筆記本電腦。

“我們檢查了記錄，并且看到它最后一次出現(xiàn)在網(wǎng)絡(luò)的時(shí)間、使用它的人和它訪問(wèn)的端口號(hào)，”Perry說(shuō)。“所以你可以跟蹤它，然后找到它。這個(gè)財(cái)務(wù)部門(mén)過(guò)去一直使用的筆記本，接下來(lái)的命運(yùn)是被鎖在一個(gè)壁櫥中一個(gè)半月。”