BYOD所倡导的“Any deice、Anywhere、Anytime”恰恰是传统网络管理理念中最令人担忧的需求,这使得他们面临着前所未有的挑战。
1) 提供更加灵活的设备选择权利
传统的网络管理者会根据经验确定办公设备清单,包括台式机、便携机、打印机,以及少量的移动终端。员工在这个授权清单中进行选择并获得相应的IT支持。出于管理安全的考虑,原则上不会轻易调整清单。
但是在BYOD背景下,终端的变化与革新常常迅速的超出人们的想象。原来越多的员工提出,希望把更“有意思”的终端带入到企业的办公使用中。IT管理者需要考虑更多的支撑手段(包括行政和软硬件的方法),来主动应对这个变化。
2) 更安全的网络准入
IT管理者需要制定一些企业内部网络安全基线,同时对接入网络的终端进行有效识别感知,并实现安全的准入策略。
3) 自带新设备的管理
对于首次接入企业网络的“新”设备,IT管理者非常希望能有一种简单、有效、自服务、无客户端的快速部署方法,前提是相应的软硬件改变所产生的IT代价尽可能控制到最小。
4) 增强的安全策略
根据自身的行业特性和经验累积,企业往往会部署大量的IT安全策略,确保业务的承载安全和IT架构合规。很明显,越来越多的消费类电子设备(比如各种移动电话和平板电脑)准备接入企业网络,将会对原有的安全架构带来无法回避的风险。
个人终端一旦进入到企业网络中,应用的界限将不再那么明确,个人业务和办公业务往往会同时在一个终端内进行处理,比如浏览微博的平板电脑会在下一时刻打开某个ERP系统;运行了微信程序的手机会进入到OA流程审批的业务应用程序中。针对同个终端在不同的适应场景和时间段,IT管理者需要提供不同的安全策略,并对新的使用模型进行增强。
5) 生产数据保护
BYOD实施的前提是确保企业数据的安全传送。当企业的固定资产,如笔记本电脑访问业务应用程序和数据时,通常会受到严格的IT安全策略控制以及类似于“信息安全等级保护”或“萨班斯法案”等法规的制约。
个人拥有的平板电脑或智能手机可能经常被用于个人的访问和业务应用。特别是在“云”为基础的文件共享和存储服务越来越普及的背景下,这样的使用将会成为企业机密数据泄漏的潜在风险点。
6) 访问角色控制
如果移动终端发生丢失或者被盗,IT人员需要迅速对该终端准入策略进行调整,甚至可以远程擦除设备上部分或所有的数据和应用。同样,如果员工角色和岗位发生了变化,也同样存在策略调整的要求。传统的策略控制是基于帐户信息,在BYOD时代,则需要结合终端和业务的状态。
7) 移动终端自身所带来的安全风险
由于接入企业网络中的移动终端种类繁多,IT人员很难将所有的终端功能性能逐一了解,部分移动终端特殊的功能,会使得网络内部的风险明显增多。
比如Wi-Fi存在ad hoc模式,这是一种允许点对点通信的无线互联协议,这使得一些合法的用户用终端开启ad hoc或其它的代理模式,让未授权的用户取得了企业网络内部的访问能力。
再比如Android系统属于相对开放的应用平台,随着Android设备数量的增加,Android设备也成为了受攻击的目标。黑客越来越多地使用移动设备传播恶意代码,而在2012年上半年,受到移动恶意软件攻击的智能手机和平板电脑比2011年同期增加了373%。Android设备成为主要攻击目标,很大原因是接受第三方应用程序(如游戏)的在线商店不对软件进行任何威胁检查。
8) 确保Wi-Fi的性能和可靠性
随着BYOD的不断流行,Wi-Fi接入的无处不在,人们对Wi-Fi的期待,不再限于传统的SOHO使用,而是需要其在易用性不降低的前提下具备类似有线网络的高性能和高可靠性等。这种转变,促使IT人员在设计和部署Wi-Fi网络的时候,把更高速、更可靠、更平滑、更智能、更安全、更易用作为技术目标。
9) 终端数量的激增与IP地址的有效使用
传统网络基本上是帐户、PC、有线端口逐一对应的逻辑结构,但是在移动互联网极度爆发的今天,一个用户拥有多个接入终端,已经是无法回避的事实。Wi-Fi实现了账户和终端以及接入设备间的一对多逻辑,但是也带来了IP地址数量几何的增长。普遍的解决办法是通过NAT,进行内网私有地址的使用,或者进行IPv4向IPv6迁移。
2. 对终端用户而言
1) 易用好用
终端用户对BYOD的朴素要求,就是简单的连接和安全的访问企业资源。但是实时地访问、设备的多样性、业务的多样性等等,都会导致这种需求难以达到完美。比如在企业内部使用的设备,证书的准入方式以及VPN的加密使用,都是普遍的基本规范,但不同终端的不同配置方式,会让终端用户和IT管理者都感到困难重重。
2) 安全界限的划分
在BYOD模式中,移动设备会同时扮演商务办公和私人应用的角色,应用和数据的界限,变得更加模糊。但是从员工实际的想法和企业自身的要求出发,应该能够清晰界定这个界限。照片浏览、短信阅读,私人电话、上网浏览等在个人时间进行的活动,需要有个人隐私,而在办公时间发生的文件浏览、数据传送、应用程序使用、互联网浏览等等,必须符合企业的政策和规定。
二、 Wi-Fi与BYOD结合
IT消费化、云计算、移动互联等诸多技术趋势所带来的生产效率提升、投入成本降低、以及应用多元化等,使得BYOD融入企业网络应用中已经成为不可逆转的必然趋势。企业应用从桌面、内部服务器、Intranet,正在不断向云端迁移。虚拟化、自动化的变革,正在打破应用的边界。如图1所示,BYOD的网络准入者和管理者按照“移动准入、服务提供、实时监管”各司其职,企业内部的员工和外部来宾,携带着多样的智能终端,安全实时的接入到企业所提供的业务精细化管道,并接受必要的监管和审计。
图1 BYOD逻辑架构图
Wi-Fi在企业的大规模应用,使得从任意位置根据策略访问桌面,无论使用何种设备或网络成为可能。根据前文的分析,为了解决IT管理人员和用户自身在BYOD实施中的困难和疑惑,Wi-Fi网络应该具备相应的能力(如表1所示)。
表1 BYOD核心技术点
1. 智能
传统用户的准入是通过单一的帐户信息进行鉴权并获得授权信息,但是在移动互联时代,人们往往希望在企业内部单一帐户可以应用到多个终端(包括固定和移动的设备)。因此,网络管理者,也必须在这种需求下调整网络准入结构,比如,固定设备进行流量控制,移动设备进行时长控制;固定设备允许进入业务网,移动设备仅允许获得浏览权限等。
移动互联时代,当人们都愿意采用BYOD来进行相关操作时,Wi-Fi作为重要的智能管道,不能简单地沿袭传统有线网络的粗放承载模式,视频、APP、社交媒体等等广泛的使用,管道内的应用明显产生了“高低参差”,对业务的识别,智能的调整业务在管道内传送的优先能力,是网络的管理者非常希望看到的结果。
为达到以上目标,需要进行终端和业务智能识别。以终端识别为例,在进行无线登录时,应该遵从如图32所示的流程。
图2 终端准入流程
SSID检查:
检查关联的SSID是否部署了对应的BYOD策略,同时,该接入位置,是否是用户允许介入的区域。
准入策略检查:
根据帐户对应的权属信息,推送合适的Portal准入页面,或802.1x认证的证书配置。
终端类型检查:
针对准入用户的设备硬件类型、操作系统类型以及安全级别,确定BYOD策略。
针对员工的可能策略:
可以单独配置“可能策略”,它会在准入最后阶段发挥作用,更多的根据安全规范和业务需求而产生的策略,可以集中在此进行部署。
2. 安全
传统的安全策略仅满足有线侧的安全防护,BYOD模式下,Wi-Fi作为接入层重要技术,它的安全防护需要人们重新检视。在空口(无线空间传送接口)直接传送的信号,是把802.3的报文进行802.11封装并进行相应的调制解调为电磁波,在大气中进行“看不见、摸不着”的黑夜传送。对于Wi-Fi的传送模式,物理层的频谱安全防护(L1)和链路层的无线攻击防护(L2),以及如何将L1-L7实现有线无线的联动,会成为BYOD下移动安全重要的关注点。
AP作为监控设备,负责进行空口射频信号的抓取,然后对射频芯片上送的原始FFT信号进行分析和识别,从而判断是否有传统无线防御系统无法识别的非Wi-Fi干扰并同时进行信道评估。在搜集完所需信息后,通过AP-AC间的通道上传给AC,由AC集中处理,用户可在网管的相关页面获取当前的频谱数据信息。同时,在日益拥挤的ISM频段中,要想完全不受到非WLAN信号的干扰在实际环境中近乎于不可能,但客户和工程师可以借助频谱防护提供的多种图表,从不同角度对信道的质量和使用情况进行监控和评估。
WLAN发展至今,在安全性上也做了不少改进。比如加密认证体系已经由原来的WEP过渡到了802.11i。企业通过802.1x认证与CCMP强加密,可以最大限度的保护无线数据安全,即使恶意攻击者监听到了这些报文,由于报文已被强加密,因此他还是无法还原出原始数据。但是,使用802.11i仍然无法完全保护企业无线网络不受恶意攻击。例如,攻击者可设置蜜罐AP诱惑用户连接、或通过泛洪(FLOOD)各种WLAN协议报文使企业无线网络无法使用。
无线攻击防护系统(WIPS)被设计用于应对各种各样的WLAN攻击。通过传感器扫描企业内部WLAN环境、通过AC进行攻击分析,最后将各种数据与攻击检测结果发送给网管呈现给用户。
WIPS主要有以下几类主要功能:
(1) 检测并禁用非法设备:WIPS可以检测Rogue AP、Adhoc网络、授权/非授权STA等;
(2) 检测并规避DOS攻击:为每种攻击设置速率阈值,当某种报文的速率超过阈值时采取预先定义的动作;
(3) 检测并规避表项攻击:当报文的MAC变化率超过阈值时采取预先定义的动作;
(4) 检测并反制仿冒攻击:例如,可以检测中间人攻击(如图3所示)。攻击者假冒成一个合法的AP为用户提供服务;
(5) 基于pattern的匹配(Signature):对报文进行预定义的pattern匹配,并执行预定义的动作;
(6) WLAN环境监控:可监控WLAN各个信道上的无线设备,以及各种WLAN管理报文、控制报文及数据报文的速率。
图3 中间人攻击示意图
3. 易用
BYOD模式下,终端自身的硬件多样性、应用精细化,以及人们对实时接入的迫切要求,使得易用性成为了非常重要的甚至是影响到网络评价的重要指标。
终端数量几何增长带来的IP地址浪费与枯竭、高密覆盖下2.4G/5G终端灵活接入、访客来宾进入企业快速安全的获得移动网络访问能力、针对不同场景的AC快速虚拟实例化部署、分支节点业务永续能力提高等等,都会成为BYOD易用性提升的重要环节。
传统的企业园区网络,网络使用者的物理位置和网络信息节点原则上一一对应,网络管理难度相对可控。但是,在BYOD模式下,移动终端数量和IP地址消耗量爆发增长,同时,由于BYOD的移动性,终端的接入存在空间和时间的潮汐性。比如早上10点,员工都在办公室进行业务处理,下午3点,员工都在各类会议室参加会议。
这种情况下如果将所有的用户分配在一个VLAN中,意味着所有用户在同一个子网中,庞大的广播域会大大增加空口中的广播流量,浪费空口带宽。另一方面,大量用户在同一子网中,那么该子网需要一个很大的连续地址空间。企业可能会有多个不连续的C类地址,但没有大的连续地址空间(如B类地址)。显然,我们无法利用一个VLAN来为大量的同一类用户来分配不连续的地址空间。
VLAN池优化分配技术的出现,很好的解决了BYOD模式下IP地址浪费与枯竭的问题,提高了Wi-Fi管道的易用性。如图4所示,VLAN池包含多个VLAN,当一个SSID和一个VLAN池绑定时,该SSID下的用户将被均衡地分配在VLAN池的所有VLAN中,既能将用户划分在不同广播域中,又能充分利用不连续的地址段为用户分配地址。
图4 VLAN池优化分配技术示意图
三、 结束语
新的执行环境总会创造新的市场,而BYOD的兴起无疑也将遵循这一规律。移动互联与云计算两大技术交汇融合,催生出一套由用户、服务提供商以及网络设备商共同组成的完整生态系统。