智能安全易用——给BYOD一个港湾(1)(4)

2.安全

传统的安全策略仅满足有线侧的安全防护，BYOD模式下，Wi-Fi作为接入层重要技术，它的安全防护需要人们重新检视。在空口无线空间传送接口）直接传送的信号，是把802.3的报文进行802.11封装并进行相应的调制解调为电磁波，在大气中进行"看不见、摸不着"的黑夜传送。对于Wi-Fi的传送模式，物理层的频谱安全防护L1）和链路层的无线攻击防护L2），以及如何将L1-L7实现有线无线的联动，会成为BYOD下移动安全重要的关注点。

AP作为监控设备，负责进行空口射频信号的抓取，然后对射频芯片上送的原始FFT信号进行分析和识别，从而判断是否有传统无线防御系统无法识别的非Wi-Fi干扰并同时进行信道评估。在搜集完所需信息后，通过AP-AC间的通道上传给AC，由AC集中处理，用户可在网管的相关页面获取当前的频谱数据信息。同时，在日益拥挤的ISM频段中，要想完全不受到非WLAN信号的干扰在实际环境中近乎于不可能，但客户和工程师可以借助频谱防护提供的多种图表，从不同角度对信道的质量和使用情况进行监控和评估。

WLAN发展至今，在安全性上也做了不少改进。比如加密认证体系已经由原来的WEP过渡到了802.11i。企业通过802.1x认证与CCMP强加密，可以最大限度的保护无线数据安全，即使恶意攻击者监听到了这些报文，由于报文已被强加密，因此他还是无法还原出原始数据。但是，使用802.11i仍然无法完全保护企业无线网络不受恶意攻击。例如，攻击者可设置蜜罐AP诱惑用户连接、或通过泛洪FLOOD）各种WLAN协议报文使企业无线网络无法使用。

无线攻击防护系统WIPS）被设计用于应对各种各样的WLAN攻击。通过传感器扫描企业内部WLAN环境、通过AC进行攻击分析，最后将各种数据与攻击检测结果发送给网管呈现给用户。

WIPS主要有以下几类主要功能：

(1)检测并禁用非法设备：WIPS可以检测RogueAP、Adhoc网络、授权/非授权STA等；

(2)检测并规避DOS攻击：为每种攻击设置速率阈值，当某种报文的速率超过阈值时采取预先定义的动作；

(3)检测并规避表项攻击：当报文的MAC变化率超过阈值时采取预先定义的动作；

(4)检测并反制仿冒攻击：例如，可以检测中间人攻击如图3所示）。攻击者假冒成一个合法的AP为用户提供服务；

(5)基于pattern的匹配Signature）：对报文进行预定义的pattern匹配，并执行预定义的动作；

(6)WLAN环境监控：可监控WLAN各个信道上的无线设备，以及各种WLAN管理报文、控制报文及数据报文的速率。

图3中间人攻击示意图