如何為頂級黑客運營安全的無線共享網(wǎng)絡？

21ic訊  剛剛落幕的2014年第17屆黑帽大會再次當仁不讓地成為了近期信息安全界的熱點話題，其規(guī)模、水平均達到了歷屆之最。近日，全球領(lǐng)先的移動網(wǎng)絡方案供應商Aruba Networks宣布，Aruba再次為2014年黑帽大會提供無線網(wǎng)絡環(huán)境支持，這已是Aruba連續(xù)五年成為黑帽大會的官方無線網(wǎng)絡供應商。

黑帽大會已經(jīng)成功舉辦了17年，是全球范圍內(nèi)最大規(guī)模的行業(yè)盛會，匯集了眾多網(wǎng)絡專家、黑客和專業(yè)廠商，被稱為賭城作派、黑客風格以及嚴肅的網(wǎng)絡安全話題的奇妙混合體，旨在向與會者提供信息安全研究、發(fā)展和趨勢方面的最新信息。2014美國黑帽大會在美國拉斯維加斯召開，會議期間，Aruba為近8000名人員提供了超過550MB/S的下載網(wǎng)速，這相當于美國全國平均帶寬速度的55倍之多。除了提供標準的802.11ac無線接入，Aruba解決方案還被用于監(jiān)控、管理網(wǎng)絡，解決安全隱患，并應對企圖破壞網(wǎng)絡的行為。

Aruba此次提供了覆蓋近百萬平方英尺的多個并行的千兆Wi-Fi網(wǎng)絡，由Aruba移動接入交換機、802.11ac無線接入點Aruba AP-225、帶有AppRF™技術(shù)的Aruba 7200系列移動控制器組成。Aruba 7200系列移動控制器可連續(xù)評估移動應用使用和性能情況，并可據(jù)此實時調(diào)整配置，以確保最優(yōu)帶寬、優(yōu)先級和網(wǎng)絡路徑。大會為所有參會者提供兩套由Aruba ClearPass接入管理系統(tǒng)啟用的無線服務集標識(SSID)，一套基于預共享密鑰的網(wǎng)絡和一套基于EAP-TLS的網(wǎng)絡。除此之外，Aruba還利用其AppRF技術(shù)和AirWave網(wǎng)絡管理系統(tǒng)，為整個黑帽大會的無線局域網(wǎng)(WLAN)環(huán)境提供端到端的可視性和故障排除能力，以及所有安全事件的整合。

可視性，還是可視性

作為世界上最好的能夠了解未來安全趨勢的信息峰會，黑帽大會的權(quán)威性是獨一無二的。會議期間，酒店系統(tǒng)、自動提款機、擺攤召人的FBI，通通都要接受嚴峻的考驗。當然，還有隨時可能變“赤裸”的無線網(wǎng)絡和應用。

雖然很多參會者對這樣一個有很多專業(yè)黑客接入的免費Wi-Fi網(wǎng)絡感到恐懼，但Aruba運營后臺的數(shù)據(jù)顯示，在美國當?shù)貢r間8月6日的下午，參會的近8000人中超過1150位“勇士”放心選擇了無線網(wǎng)絡，約占參會人數(shù)的45%。而在兩年前的大會上，只有約80人選擇現(xiàn)場的WLAN接入環(huán)境。

為一群頂級黑客運營一個共享無線網(wǎng)絡是什么感覺?Aruba Networks政府解決方案CTO、安全架構(gòu)師Jon Green表示：“開放的無線網(wǎng)絡很可怕，因此我們使用了WPA2加密方式。”有兩種接入方式，可以使用會議組織者提供的密碼連接，或者在此基礎上為自有密鑰創(chuàng)建私人賬號。“我們限制網(wǎng)絡中內(nèi)部用戶的流量”，Green表示他們想要阻止人們未經(jīng)授權(quán)連接至他人設備的行為。

Aruba Networks安全架構(gòu)師Jon Green

得益于Aruba卓越的 AppRF技術(shù)，Aruba可獲得黑客上線設備和接入行為的快照，并提供快速和簡化的抓取，顯示更詳細的應用程序使用情況的信息。很多參會者都使用了其自有VPN，為線上活動加密。Green表示，Aruba的運營團隊有兩個主要目標：確保網(wǎng)絡不掉，確保使用者的安全。團隊監(jiān)控使用者在網(wǎng)絡上任何奇怪的行為，包括入侵或嘗試性的服務拒絕等，以觀察他們是否需要關(guān)閉或限制任何人的接入。Green介紹，他們還留意那些自建WiFi，許多參會者將他們的WiFi終端帶到活動中來。

策略，還是策略

Aruba為黑帽大會構(gòu)建的WLAN環(huán)境包括130臺無線AP、16臺以太網(wǎng)交換機以及三個無線控制器，其中一個用作防火墻。Aruba ClearPass接入管理軟件負責用戶配置。除了為用戶授權(quán)并加密他們的流量，Aruba的無線環(huán)境中還運行有無線入侵檢測系統(tǒng)，監(jiān)控并可視化任何無線層的怪異用戶行為。

黑帽大會網(wǎng)絡活動概觀

所有受保護的無線流量都會通過無線控制器發(fā)送，其狀態(tài)仍然是加密的。“一旦流量到達控制器，使用者就會自動獲得分配給他們的防火墻策略。根據(jù)默認配置，他們可以在互聯(lián)網(wǎng)上做他們?nèi)魏蜗胱龅氖?，但無線客戶端彼此間不能通信。”Green表示：“這可以減少黑客可能帶來的破壞性結(jié)果的概率。”

Green認為，無線攻擊的手段并沒有發(fā)生太大變化，入侵檢測系統(tǒng)能預警任何可疑活動。如果網(wǎng)絡運營團隊發(fā)現(xiàn)了任何邪惡行為，他們能在網(wǎng)絡中精確定位來源。“我們的做法是走過去提醒這個搞惡作劇的人，”Green表示：“在大會期間的大多數(shù)會議中，這種情況都至少會發(fā)生好幾次。只有在用戶行為對網(wǎng)絡產(chǎn)生嚴重影響時，我們才會采取‘實際行動’。”

據(jù)悉，本次大會仍面臨多個網(wǎng)絡攻擊的威脅，通過Aruba完整的移動網(wǎng)絡解決方案和針對性的安全策略，Aruba為2014黑帽大會構(gòu)建了一個清晰完整且安全可控無線網(wǎng)絡環(huán)境，保障了蘋果、安卓等操作系統(tǒng)以及Facebook和Twitter等常用社交媒體的訪問。從整體應用情況看，Aruba的無線網(wǎng)絡經(jīng)受了來自現(xiàn)實的挑戰(zhàn)，使用者也收獲了安全的信心。