一、需求背景

　　随着无线移动互联网的迅速发展，智能手机、平板电脑等这些移动终端愈来愈流行，但由于iPad等智能终端只能采用无线网络来上网，有些员工出于便捷考虑可能自己在工位旁私自拉一些无线AP，在公司通过无线AP到公司网络出口，而且这些AP由于安全措施薄弱，极容易被外人破解，可能导致内网暴露，信息安全遭受威胁。通过“无线热点发现”的功能，可以帮管理员找到内网违反公司规定安置的无线AP，并可以对这些热点进行拒绝封堵。

　　二、业界当前的方案

　　1、802.1x认证

　　优点：方法相对完善，大部分AP已支持这种认证

　　缺点：

　　A、需要在终端上使用windows自身的802.1x认证客户端或者安装802.1x的客户端，但一般厂商会单独提供windows下运行的客户端，苹果等用户安装不了，也有很多其他移动终端不支持该协议;(例如windows自身认证客户端的缺陷：如果客户PC机设置为静态IP地址，则无法使用XP自带的客户端。因为按国标，交换机不主动发EAP-Request，而应由用户方发起认证。)

　　B、部署复杂，涉及到终端、交换机、认证服务器等各个方面的配置，需要无线网络设备如AP、交换机等支持802.1X，同时终端需要加装相应的802.1X客户端，另外一旦使用EAP-TTLS/EAP-TLS等认证方式，还需生成并维护服务器证书/用户证书，因此部署及管理的复杂度较高，并没有大规模推广使用;

　　C、可能还存在无法控制无线路由器做AP的问题(认证分物理端口模式认证和mac模式认证，都不能解决有NAT的情况);

　　2、使用无线嗅探器

　　通过与笔记本电脑或PDA设备的联合使用，可以在企业整个无线局域网区域内漫游查找非法无线访问设备。

　　优点：查找范围广，更精确更准确

　　缺点：这种方式需要技术人员有一定的嗅探器知识，还必需非常了解企业目前的无线设备的分布状况;

　　3、使用手持式无线信号检测工具

　　缺点：无法得到AP的具体位置，只能通过来回走动发现网络中存在AP，但不知道AP的具体位置在哪里，甚至可能是楼上楼下其他公司的AP。

　　三、铭冠科技的方案

　　企业员工私接AP的动机，大部分是方便自己的手机、平板电脑或笔记本上网，那么我们可以通过移动终端上网时的应用特征来发现AP热点。应用特征包含两部分：

　　1、移动智能终端浏览网页时产生的流量，我们可以据此判断是不是非PC终端;

　　2、假设客户不上网页，只上移动qq、玩在线手机游戏，只要我们的应用识别规则库中存在，那也能发现是移动终端来上网。

　　原理：

　　深信服AC上网行为并不是直接去找AP，而是通过是否存在移动终端来证明是否存在AP热点。写出来的日志中记录的IP可能是移动终端的IP(AP做无线网桥时)，也可能是AP热点IP(AP做无线路由设备做NAT时)，所以不要认为记录下的IP就是热点IP。在实现方案中，为了容易溯源，我们增加了IP对应的用户是谁，当发现有热点时，可以直接去找这位违规的员工，也可以设置直接拦截掉。

　　优点：

　　1、部署方便，直接在AC上以功能模块方式呈现，不改变拓扑;

　　2、不需要装任何客户端，也不需要任何探针;

　　缺陷(在哪些场景下存在问题)：

　　1、假设只接入内网窃取资料的，这种是无法发现AP的;

　　2、若客户不需要认证，移动终端也不去上网，或者不上在我们应用识别规则库中移动部分的应用，也无法识别到AP;

　　3、信任列表不只是设置的信任AP的IP，还要有这个AP做DHCP网段的IP(假设AP只做无线网桥，允许任何IP接入，那我们就无法满足这个需求)。

　　价值：

　　1、 规范企业内部上网行为，确保管理策略落地。(不让用智能手机、自带笔记本上网，就不能用!)

　　2、 保护企业内网安全。私接AP如果没有强大的安全设置，无密码、密码简单或被暴力破解之后，会给企业内网带来安全风险。

　　注意：

　　非法无线热点发现只能发现上网的IP，可能是一个终端或是一个无线AP。

　　发现热点后，可检测、告警、封堵。

　　不使用我们应用识别库移动部分的应用访问网络，但相关应用自动更新，也会被AC检测到。

　　铭冠科技专注网络安全近十年，更多信息，敬请联系我们!

　　[产品型号] ： 深信服AC无线热点发现功能说明

　　[销售价格] ： 面议

　　[公司名称] ： 广州铭冠信息科技有限公司

　　[公司地址] ： 广州市天河区科韵北路119号棠韵大厦303

　　[联系电话] ： 020-85546375/85548284/13560355825

　　[联 系 人]： 叶先生 sales@gzmcrown.com