Gartner建议通过下面的步骤为WLAN选择一个安全策略。这些步骤会帮助你了解怎样使你的企业环境达到最佳的无线安全级别。
你能直截了当地拒绝吗?看上去最简单的方法就是强行禁止无线访问,但Gartner相信这种策略注定会失败。尽管企业可以也应该使用目前先进的网络入侵检测工具去发现和关闭非法的无线接入点(AP),但不可能把它们彻底排除在外。
无线接入点很便宜,而且在很多零售店都能买到,可以在任何有网络许可证的PC机上安装。这种情形特别容易在小型办公室和家庭办公(SOHO)环境中出现。用户在得到了无线接入点提供的功能后,就会找到用它们进行偷窥的方法。制定和颁布公司内部的无线局域网安全规范是一个更好的预防措施。
巡视网络
搜寻并制止未经许可的无线访问是具备安全意识的网络管理员的一项重要工作。高级的无线探测工具(如Network Associates的Sniffer Wireless、WildPackets的AiroPeek、BVSystems的Grasshopper以及Wavelink的MobileManager)使网络管理员能够很容易地找出有问题的接入点,验明这些AP是否安全。使用信号强度计只需稍微侦测一下就能找到接入点的位置,从而保护网络的安全。由于非法的WLAN入侵可能会在任何时候出现,所以这种方法不能捕获所有的安全漏洞,但可以帮助网络管理员了解可能会出问题的范围。所以Gartner建议网络管理员们马上就布署基于嗅探器的安全措施。
你是否控制了WLAN信号的物理分布?
无限局域网所使用发射机的功率以及天线的效率相对来说都比较较弱,所以覆盖面积一般都在500英尺以内。所以在安装密度不高并且建筑物低矮或者范围较宽的地方,物理上的安全控制也许足以确保不会有未经授权的个人能够拦截WLAN的通讯传输。
企业可以使用无线电频率探测器进行覆盖半径检查,以判断这种级别的保护是否足够,但是AP位置的改变或者对建筑物进行整修随时都有可能改变信号的分布。Gartner建议企业保护WLAN不仅仅要靠物理上的安全措施,同时至少还要启用标准的WEP安全措施。
你需要不同厂商的NIC/AP能够互相操作吗?
目前符合802.11b标准,使用WEP的WLAN产品所能提供的安全级别不足以保护暴露在WLAN信号之中并且延伸到公共区域的敏感商业信息。有几家厂商开发了专有的、增强的WLAN安全功能,预计有可能在2002年802.11标准中获得批准。然而,在新标准最终得到落实和广泛实施之前,预先布署其中的某种产品必须使用同一个厂家的网卡。这种方法对于办公室的应用来说是可以接受的,在这种情况下要由同一个布署接入点的信息服务机构为所有的用户提供网卡。Gartner相信推行单一厂家的标准能够以最小的成本得到最高的安全保障。
但是有些情况下又不得不采用不同厂商的AP/NIC,并让它们能互相访问,比如其他部门有可能使用其他厂商的AP/NIC,又比如专业服务公司的顾问可能需要访问客户的网络。
下一代的WLAN安全标准
为了补救WEP在安全性上的不足,IEEE 802.1x安全性工作小组已经提交了一个新的方法,正等待批准。新标准为每个用户和每个会话准备不同的密匙,并且密匙支持128 bit的长度。802.1x还支持远程拨号用户签名服务(RADIUS)以及集中式的Kerberos用户签名、验证和记账,并且实现了更强的协议。这些将能为无线传输的信号提供更强的安全性,并且使得远程访问授权和访问控制能够应用在WLAN上。
Cisco、微软、3Com、Enterasys Networks、Poxim、Agere Systems、SymbolTechnologies、Intersil以及其他一些公司已经宣布支持这一新生的标准。Gartner相信这个标准将会在2002年一季度通过,互操作的实现(有70%的可能性)将在2002年出现。
为了在支持互操作性的同时又不降低WEP的安全级别,Gartner建议企业把这些使用不同厂商网卡的接入点通过VPN网关放在一个有防火墙保护的隔离区(DMZ)中,并且要求VPN客户习惯于在无线连接上提供VPN隧道。这样就可以使企业在支持符合802.11b标准的网卡的同时又能确保签名和加密的强度能够满足公司内部的标准。在复杂的环境中,为每个接入点布署VPN服务器的费用还是很高的。一些厂商如Proxim可以为处理这一类的环境提供。