创新的解决方案
对于那些不需要不同厂商设备户操作性的环境,Gartner建议企业采购和布署单一厂商的方案,实施更强的加密和密匙管理协议从而获得更好的安全性。厂商应当能够在需要时提供低成本的方法以便升级到新的标准。
WLAN实施过程中那些安全问题是最常见的?对于所有的WLAN实施过程,我们都建议遵循下面这些方针:
? 启用缺省的WLAN内建的安全措施。
? 更改内建的设置,不要使用缺省设置、空SSID以及预设的口令。
? 在交换网络的端口实施无线接入点。
? 为部门的WLAN制定和颁布安全标准和政策。
? 如果你必须要依赖于WEP,可能的话要坚持使用128bit的密匙。
? 对报文签名码址进行跟踪,以便控制网络安全。
? 检查访问日志或者使用网络入侵检测工具来检测未经授权的访问或攻击。
如果打算使用WLAN应当遵循那些安全常规
典型的WLAN使用可以分为以下四种情况:
访客级,如果打算提供非正式或者无监管的Internet接入可能会使用不受控制的访问,AP直接连接到Internet。这类WLAN可能不需要实施WEP链路安全措施或者访问加密/签名,并且允许所有不同厂商的WLAN卡能够互操作。使用这种服务的公司会使来宾非常愉快,但要承担雇员对它进行滥用、使企业暴露在Internet上的风险。
访客级,进行访问登记,这是为Internet接入提供基本服务的一个折中。使用WEP安全措施和简单的口令认证。这样就可以为Internet接入有选择地使用AP,并且可以防止未经许可的访客偶然进入,当然对蓄意闯入的黑客起不了作用。
对于传统的局域网服务来说私有的intranet访问是一种保守的解决方法。AP使用RADIUS进行比较强的链路加密和签名。采用这种方法安全性和保密性不错,但由于缺少强链路加密的标准采用这种方法不能实现互操作。到2002年,它将成为单一厂商的解决方案,企业必须要锁定一个厂商,以确保能够受到保护。
私有VPN接入是对创建私有接入合乎情理的折中。AP通过企业的VPN网关连接到WAN的入口,并且只有拥有合法的企业签名,运行适当的VPN的用户才能被允许通过AP接入。链路加密虽然很重要,但任何人没有合法的VPN会话就不能进出AP,这一点也减少了窥探和攻击的危险。由于在AP上有对等攻击(peer attacks)的危险,采用这种方法的企业必须确保用户的PC装有同级别的抗病毒程序和个人防火墙,同时还要求用户都使用VPN。不能允许Split tunneling,因为以前已经证明这对VPN用户是一个严重的威胁,AP上的所有用户都有可能成为黑客的俘虏。
如果一个企业的用户能够访问别人的公共WLAN服务会有什么危险?那些为移动用户提供无线网卡的企业和自己购买网卡的用户最终会发现他们能够获得公共的WLAN服务,同时也将有使自己公司的系统暴露的危险。任何允许移动用户使用无线网卡的企业必须确保用户安装了防病毒软件和个人防火墙。由于大多数公司都有合适的防病毒软件,个人防火墙也可以和无线网卡打包发给用户。
结论
无线局域网以其无可比拟的方便性吸引着用户,但它们也会把企业暴露给不断增长的访问威胁。好消息是那些遵循我们建议的企业可以避免大多数WLAN产品的安全漏洞,坏消息是许多公司缺乏实用、全面的安全策略。那些不能管理好AP外貌的企业必然会使自己的局域网暴露在外;那些不能防卫移动WLAN用户的企业是在乞求黑客从客户端进行攻击。我们建议客户们立即制定一个WLAN安全计划,即使短期内还用不上它们。
