企业无线网络安全防护：阻断与过滤策略

### 企业无线网络安全防护：阻断与过滤策略 #### 1. 客户端无线桥接的阻断 无线接口与其他网络接口（如有线接口）的桥接功能涉及端点配置，且不受企业 Wi-Fi 控制。这一功能带来的安全风险与自组网类似，可能导致企业网络服务被绕过，敏感信息泄露。为降低风险，可采取以下措施： - 禁用端点上的接口桥接功能，防止设备私自建立网络连接。 - 配置端点安全或端点检测响应工具，当桥接功能被启用时及时发出警报。 - 让企业 Wi-Fi 监控网络，一旦发现有桥接的客户端，立即发出警报。 部分用户可能会通过桥接功能将自己的设备配置为 Wi-Fi 热点，为其他设备提供网络服务。例如，用户在 Mac 上勾选“互联网共享”选项后，设备会广播自己的 SSID，可能将企业网络共享给未经授权的用户或设备，不仅存在安全风险，还会降低该区域所有 Wi-Fi 设备的 RF 质量。 #### 2. 苹果无线直连链路（AWDL）的安全洞察 对于特定的攻击手段，有文章详细介绍了利用 IPv6 节点信息查询突破隔离网络的方法。若想了解更多关于苹果无线生态系统的安全话题，可关注 Open Wireless Link（OWL）项目。该项目发布了关于 AWDL 的研究，以及与定位服务、设备和用户跟踪、蓝牙低功耗（BLE）、拒绝服务（DoS）和中间人（MitM）攻击相关的隐私和安全研究结果。 #### 3. 站点间流量、组播和 mDNS 的过滤 企业 Wi-Fi 系统中的客户端间交互可通过标准的第 2 层邻接关系，或基于对等的组播和广播协议（如 mDNS、Link-Local Multicast Name Resolution（LLMNR）和 UPnP）进行。为保障网络安全，需对这些流量进行过滤和控制。 ##### 3.1 SSID 站点间阻断 站点间阻断是指阻止同一 SSID 下的无线客户端直接相互通信，类似于在交换机上阻止同一 VLAN 内的两个有线端点之间的流量。这一措施并非禁止端点间通信，而是强制客户端通过接入点（AP）或控制器进行处理，以便应用规则，对流量进行评估和允许或阻止。 不同厂商对这一功能的称呼和配置方式有所不同： | 厂商 | 功能名称 | 配置方式 | | ---- | ---- | ---- | | Juniper Mist | 对等隔离 | 在 SSID 处配置 | | Cisco | 点对点阻断 | 按 SSID 应用 | | Aruba Networks | 拒绝用户间流量 | 可在控制器内全局应用，或按 SSID 应用 | 在勒索软件和零信任倡议盛行的当下，站点间阻断尤为重要，可消除隐式信任，限制横向移动。 ##### 3.2 基于对等的零配置网络 零配置（zeroconf）网络是基于 TCP/IP 的一组协议，旨在无需标准企业域服务（如 DHCP 和 DNS）的情况下工作。其部分操作包括： - 链路本地寻址：一种地址自动配置方式，可与 DHCP 客户端 IP 地址配合使用或替代。 - 端点自主指定主机名：如“Joe-Smiths-iPad.local”，而非使用企业 DNS 条目。 - 对等名称服务解析：如 mDNS，使用组播向网络中所有可达的 zeroconf 对等方进行解析，而非依赖权威 DNS 服务器。 - 基于 DNS 的服务发现：如 DNS-SD 和 UPnP 中的 SSDP。 - 通用即插即用（UPnP）协议。 以下是一些使用 Bonjour 服务、zeroconf 和 mDNS 进行对等发现和通信的技术示例： - Amazon TV - Google ChromeCast - Roku Media Player - 各类打印应用 - Phillips Hue Lights - Airplay - Apple TV - AirServer Mirro