■ 三文
无线连接策略越来越具有吸引力,然而,许多IT管理员却认为无线连接缺乏有线网络的安全性,从而妨碍了对无线连接技术的广泛使用。随着安全问题的频繁发生,以及所造成的日益严重的后果,许多组织机构在无线解决方案能提供真正强有力的保护之前,是不会采用它的。
上述忧虑不无道理。制定Wi-Fi(无线兼容保证)标准的初衷,就是为了保证各种无线设备之间实现互操作,从而方便个人和企业用户进行连接。所有获得Wi-Fi认证的产品均具有Wi-Fi 40位共享密钥的WEP安全性。但它不是一种端到端的安全解决方案,只能提供基本保护。大部分SOHO用户和企业用户都需要防止别人窃听他们的无线网络,或防止黑客把开放式无线系统做为攻击目标。WEP安全性足以适应这些用户的需求,但却不能满足更多企业和其他组织机构的需求。毕竟,无线连接缺乏电缆连接所提供的物理保护。
无线局域网市场需要适应两类不同用户的不同需求:消费者和企业。通常,消费者把无线连接看作是设置在桌面的独立网关设备。而企业把无线连接视为一个系统的组成部分,这种系统必须能适应其网络基础架构的需要,提供更高水平的保护功能,以确保企业秘密信息、用户身份和其他资源的安全性。但是,许多Wi-Fi解决方案当前所提供的128位加密技术,不可能阻止黑客蓄意发起的攻击活动。更有甚者,许多用户往往会犯一些简单错误。譬如,他们会忘记启动WEP功能,从而使无线连接成为不设防的连接。另一方面,他们未能在企业防火墙的外部设置AP,结果使不法之徒得以利用无线连接避开防火墙,长驱直入局域网。另外,企业还认为所有Wi-Fi产品均完全相同。实际上,尽管这些产品都符合基本标准,但其中许多产品并不能提供先进的安全功能。
多层保护
下面介绍的各种功能允许企业通过一种系统的多层次保护实现强劲的安全性。首先,组织机构需要对网络受威胁最大的领域,以及它们所需求的安全等级进行评估。例如,当对外开放的网络服务器和外联网服务器含有敏感数据时,它们通常需要的保护超过网络的其他领域。而且,AP和客户机之间的无线连接需要采用多层次保护,以加强安全性。同样,学校管理员和教职员工专用网络资源需要的安全性将超过学生访问的网络。增加保护功能的层次,可以全面抵御各种危险。
如果组织机构拥有IT资源,并要以人工方式定期更换WEP加密密钥,40位WEP和128位共享密钥加密技术足以适应这些基本的安全需求,并能抵御最低水平的危险。IT管理员也可以在AP内部创建和维护无线客户机设备的MAC地址表,并在替换或增加无线设备时,以人工方式改变MAC地址表。然而,WEP是一种共享密钥环境。它意味着如果用户密钥受到破坏,黑客就有可能获取专用信息和网络资源。除此之外,随着网络规模不断扩展,IT网络管理员也将面临需要加强无线网络管理的巨大压力。
为了增加无线安全的层次,企业可以使用“基于用户”,而不是“基于设备MAC地址”的验证机制。这样,即使用户的笔记本电脑被盗,盗贼如果不掌握笔记本电脑用户的用户名和口令,也无法访问网络。这种方法简单易行,因为当今用户已经习惯了输入口令。同时,它还将减轻管理负担,因为不需要以人工方式管理MAC地址表。但企业需要评估和部署AP,以支持基于用户的验证数据库。该验证数据库可以通过本地方式,在AP内部进行维护。
为了提供更先进的保护技术,企业可以采用由AP执行管理的动态密钥管理功能。有些无线供应商提供这种管理功能,以此作为一个附加安全层。这种多层次策略,将保证使每个用户均拥有一个独特的密钥。而且,该密钥可以经常改变。即使黑客破坏了加密机制,并获得网络访问权,但黑客获取的密钥有效期很短暂,从而限制了可能造成的破坏。这种方法因为具有在AP内部设计动态密钥管理的功能,从而简化了日益扩展的IT资源的管理负担。而且,与128位共享密钥加密技术相比,动态密钥管理的功能更强劲,因为经常改变密钥进一步增加了黑客侵入系统的难度。
扩展有线安全性到无线连接
下一代安全产品将利用现行有线网络基础架构,实行集中控制。当前,企业已经使用RADIUS和VPN功能为网络提供保护,从而突破了他们的物理边界。RADIUS以集中方式验证远程用户,而VPN通过“不可信赖的”网络提供一种安全可靠的端到端隧道;如果是远程用户,这种网络就是Internet;如果是无线应用,该网络就是无线网络本身。
企业可以在他们的无线网络使用这些功能,以便利用现行机制,提高无线连接的安全性。企业不需要管理每个AP内部的MAC地址表或用户,通过在RADIUS系统内设置单一数据库,就可以简化管理,又能提供一种更有效的可扩展集中验证机制。除上述WEP和MAC地址过滤等两层安全机制外,VPN可以提供一种增强型三层安全功能。如果企业允许通过无线局域网直接访问内部系统,就可以把无线局域网移到防火墙的外部,要求用户通过IPSec VPN以及RADIUS验证机制访问网络。这是一种更加安全可靠的选择方案。
企业还可以采用IEEE 802.1x安全标准。该标准旨在定义基于端口的网络接入控制,以便为以太网访问提供验证。另外,它还可以用于802.11无线局域网。802.1x通过定义用户识别、集中验证和动态密钥管理等方法,在不同制造商的产品上使用,从而有利于在企业部署安全可靠的无线和有线网络。
增强保护功能
为进一步利用安全架构增加另一个保护层,企业可以使用标准证书对无线通信执行验证。该证书允许任何无线通信的双方相互之间执行验证。为进一步加强保护,用户还可在他们的RADIUS系统部署TLS(传输层安全)服务,这种服务要求提供证书。为了获得这些安全功能,企业需要使用支持工业标准xr.519证书的无线系统。
通过以适当的组合形式和规模部署上述安全机制,用户就能使他们的无线局域网和企业网络实现无缝集成,保证无线通信的安全,同时利用现有网络基础架构和安全资源,减轻IT管理负担。
为了适应改进安全性和验证机制的需要,802.11任务组当前还在为Wi-Fi网络设计一种功能更强大的新型安全标准。除提供各种增强特性外,即将出台的无线安全标准802.11i将包括一种名为AES(先进加密标准)的新型加密引擎。一旦802.11i实现标准化之后,WECA无线以太网兼容联盟将把它融入自己的Wi-Fi认证。综上所述,企业应该考虑使用基于标准的无线解决方案,以便迎头赶上技术创新的趋势。只要采用多层次安全策略,企业对无线网络就可以充满信心,因为他们知道,这种无线网络提供的保护功能完全可以满足其应用需求。
