gtxyzz

BYOD时代无线用户的管理

gtxyzz 安全防护 2022-12-28 302浏览 0

最近的一项行业调查表明,将近75%的员工已经使用自有设备(BYOD:自携带设备)访问与工作相关的数据。加上无线网络的蓬勃发展, 企业不得不面临用户如何细分,访客如何管理的具体问题,保证公司网络带宽的高效使用、员工生产效率的提高与减小数据泄漏的风险。

用户管理的终极目标就是做到对用户进行“Who r U(你是谁)”的查看与确定,由此而达到管理的透明与可视化。可视化意味着可灵活配置实施安全策略、流量以及应用控制;实现安全畅游的无线网络访问。

Fortinet的Secure WLAN的无线接入与安全解决方案中对用户实现管理的方法是基于FortiOS 5操作系统,也就是作为无线网络控制器AC的FortiGate设备使用的操作系统, 可实现对公司内用户进行细分并对来访宾客管理。

对于公司内部BYOD的用户,可实施基于以下方式的管理:

BYOD用户无线认证:

1、 开放/WEP64/WEP128/共享。使用这个选项不需要认证和链路加密,“开放“选项只用在那些不关注安全的BYOD流量,或SSL、IPSec VPN 流量,这些在应用层安全通讯。

2、 用户登录门户。登录门户(Captive portal)是Web认证的一项行业标准术语,这种模式BYOD用户类似上面的“开放“方式一样连接到无线AP,只是在BYOD用户打开Web浏览器之前不允许通讯。一旦Web浏览器被打开,所有的站点地址被网关拦截。只有通过认证后,BYOD才能访问网站资源。

3、 WPA /WPA2 802.11i共享密钥。无线保护访问WPA是为了向后兼容,但所有用户都应该迁移到WPA2,因为它提供了更安全的加密数据。预共享密钥允许所有用户之间共享一个密码来连接到无线局域网。这种类型的安全性对来宾或家用访问无线是非常有用的,但企业应该给BYOD用户(包括员工和合作商)提供基于Radius的WPA2认证。

4、 Radius后台服务器WPA / WPA2 802.11i认证。此模式下用户名和密码信息基于后台Radius服务器, 使用802.1X认证,这是BYOD用户无线部署最安全的认证方法,也是最佳实践。Radius认证引擎支持PAP、CHAP、MS-CHAP、MS-CHAP-v2。

BYOD设备认证:

BYOD时代无线用户的管理

1、 设备识别。当一个BYOD设备接入无线网络,FortiGate先进行设备识别,识别技术具有基于代理和无代理的方式。基于代理方式BYOD设备需要安装FortiClient,可以部署在任何位置,只要能够与FortiGate通讯即可。无代理方式可以采用TCP指纹或MAC地址厂商代码识别,需要“直接“连接到FortiGate。

2、 访问控制。根据识别的BYOD设备类型,应用恰当的安全策略,对于传统的Windows AD环境具有更多的控制。不同的安全策略启用匹配的UTM安全配置表。

3、 设备登录门户。在不同的BYOD设备策略中启用登录门户,通过HTTP通讯(HTTP User-Agent)强制检测设备,电子邮件收集门户,当电子邮件地址已经验证,该设备就添加到邮件收集的设备组。

使用上面的无线认证及设备管理方式保护用户员工BYOD设备的安全访问;对于访问公司无线网络的来宾用户,FortiOS 5 系统中还提供允许非IT员工创建来宾帐号,分配时间范围,生成临时密码,打印,发邮件或短信给来宾用户使用。

当然也可配合使用FortiAuthenticator 双因子验证系统,对安全级别更高的资源使用更严格的验证。

继续浏览有关 安全 的文章
发表评论