構(gòu)建安全的無線局域網(wǎng)
使用射頻(RF)技術(shù),無線局域網(wǎng)通過空氣發(fā)送和接收數(shù)據(jù),最大限度減少了對有線連接的需要。它的優(yōu)勢就在于能夠輕松快速安裝。例如,員工能夠很輕松地改變無線局域網(wǎng)設(shè)備的位置,從而讓辦公室布局煥然一新。在發(fā)生緊急情況(如自然災難)時,誰還有時間拔掉電話線和其它線纜?無線局域網(wǎng)使這一切不復存在,從而將破壞降低到最低限度。小巧便攜的無線局域網(wǎng)基站可以在最短的時間內(nèi)安裝完畢?;净蚪尤朦c是無線局域網(wǎng)的橋梁,將無線局域網(wǎng)客戶連接到網(wǎng)絡上。
安全方面的考慮
安全性是廣泛部署無線局域網(wǎng)需要考慮的主要問題之一。因為無線局域網(wǎng)使用無線電波傳輸數(shù)據(jù)信號,所以較易受到攻擊。無線電波能夠穿透墻壁和隔板,使黑客有機會截獲電波并進入未受保護的公司局域網(wǎng)。
盡管無線局域網(wǎng)不是100%安全,但是有許多解決方案能夠提供安全保護,如虛擬專用網(wǎng)(VPN)、IPSec加密和利用IEEE 802.1x的EAP(可擴展鑒權(quán)協(xié) 議)。所有這些解決方案都使實施者能夠享受到使用無線局域網(wǎng)的優(yōu)勢,而不必犧牲安全性。VPN是目前市場上最安全的解決方案,能夠阻止無線黑客入侵公司局域網(wǎng)或從汽車、建筑物內(nèi)、甚至建筑物附近截取機密信息。
以保護無線局域網(wǎng)安全為己任的網(wǎng)絡管理員應該慎重考慮鑒權(quán)和保密性。無線局域網(wǎng)無線電波在整個企業(yè)內(nèi)部傳播,有時會傳播到企業(yè)外部,使保護網(wǎng)絡安全成為一項艱巨任務。
鑒權(quán)
鑒權(quán)是通過使用數(shù)字證書或令牌識別服務器用戶的過程。為了獲得更出色的安全性,企業(yè)可以在每個彼此鑒權(quán)的用戶和服務器處部署相互鑒權(quán)機制,以阻止所謂的“內(nèi)部用戶攻擊”。利用相互鑒權(quán),沒有必需數(shù)字證書的黑客將不能通過鑒權(quán)程序,從而不被允許訪問無線網(wǎng)絡。目前市場中的大多數(shù)無線基站都支持 EAP 802.1x鑒權(quán)。利用EAP,企業(yè)可以選擇實施TLS(傳輸層安全)或TTLS(隧 道傳輸層安全)協(xié)議來保護鑒權(quán)服務器和無線用戶之間的相互鑒權(quán)。
除了使用EAP 802.1x,企業(yè)還可以部署VPN來支持鑒權(quán)和加密要求。通常的 做法是將無線局域網(wǎng)設(shè)置成單獨的局域網(wǎng)部分,并通過VPN網(wǎng)關(guān)將該部分連接到公司局域網(wǎng)上。利用VPN,所有無線用戶在得到許可訪問公司局域網(wǎng)之前首先由 VPN網(wǎng)關(guān)進行鑒權(quán)。VPN網(wǎng)關(guān)只向擁有機器中所具有的有效軟件證書或令牌的用戶授權(quán)。客戶機到VPN服務器的數(shù)據(jù)包使用IPSec加密。因此黑客將無法破解這些數(shù)據(jù)包的內(nèi)容。這些安全措施需要額外的程序(如要求用戶登錄VPN網(wǎng)關(guān)、在所有無線機器上安裝VPN客戶端程序)。
保密性
IEEE 802.11標準使用有線等效保密(WEP)加密技術(shù)。它的基礎(chǔ)是使用40位 密鑰和RC4加密算法。不知道WEP密鑰的用戶將發(fā)現(xiàn)自己被排除在網(wǎng)絡通信之 外。
不幸的是,現(xiàn)在有很多方法可以算出WEP加密密鑰。一旦密鑰被人獲得,它就可以用于破解信息。有很多工具可以攻擊WEP加密。英特爾建議使用支持 802.11a和802.11b WLAN的VPN解決方案增強無線安全性。
IEEE 802.11TGi (任務組I)委員會已經(jīng)制訂了臨時密鑰完整性協(xié)議(TKIP), 作為過渡解決方案。TKIP像WEP一樣基于RC4加密,但以另一種方式實施,解決了WEP目前存在的脆弱性。它提供了快速更新密鑰的功能。利用TKIP,隨著各個廠商計劃推出TKIP固件補丁,消費者在無線局域網(wǎng)硬件上的投資將得到保護。
最后,IEEE 802.11TGi正在開發(fā)一個使用AES (高級加密標準)的新協(xié)議,以 實施更強大的加密和信息完整性檢查。IEEE 802.11i預計將采用IEEE 802.1x鑒 權(quán)。
互操作性和漫游
盡管802.11a和802.11b是在不同頻帶上工作,但同時支持802.11a和802.11b的雙?;疽呀?jīng)在市場中出現(xiàn),使兩種網(wǎng)絡中的用戶能夠進行通信。英特爾公司已經(jīng)推出了支持802.11a和802.11b技術(shù)的雙模無線網(wǎng)卡。這些產(chǎn)品設(shè)能夠推動從 2.4GHz 802.11b網(wǎng)絡向更快的5GHz 802.11a WLAN過渡。
Intel Pro Wireless Proset Utility允許用戶創(chuàng)建不同的無線簡檔,以在不同 的無線局域網(wǎng)位置使用,而自動簡檔掃描功能還使用戶能夠選擇在每個位置所使用的適合簡檔。
漫游可以分為三類:在企業(yè)內(nèi)不同基站之間漫游;在同一運營商提供的不同熱點(hotspot)之間漫游;以及在不同運營商提供的熱點之間漫游。
在一個企業(yè)無線局域網(wǎng)中,在不同接入點之間的漫游被作為802.11b協(xié)議的一部分進行處理。當在同一運營商提供的不同熱點之間漫游時,用戶可能需要在新熱點重新登錄,以便在新熱點與前一熱點相距較遠時獲得一個新的IP地址。例如,如果您離開酒店的熱點漫游到相距10千米之遙的機場熱點,您就可能需要重新登錄。
然而,如果用戶在由不同運營商服務的不同國家或地區(qū)的不同熱點之間漫 游,在各熱點運營商之間必須達成雙方協(xié)議。此外,運營商們的后端設(shè)備必須能夠跟蹤漫游用戶,以進行計費。
有時,需要第三方公司作為清算機構(gòu)并提供必要的鑒權(quán)和計費服務,以支持在不同運營商運行的熱點之間的漫游服務。無線局域網(wǎng)基礎(chǔ)設(shè)施提供了基本的互聯(lián)網(wǎng)連接。使用VPN建立返回公司網(wǎng)絡的安全隧道的外出用戶還應安裝殺毒軟件及個人防火墻,以使他們的數(shù)據(jù)鏈路在漫游期間免受黑客攻擊。
即將推出的解決方案
IEEE 802.11工作組正在制訂802.11i標準。這個安全標準將包括增強的加密 格式和鑒權(quán)機制,如RADIUS、Kerberos和IEEE 802.1x。IEEE 802.11i的許多安 全增強特性都可以通過固件升級來完成,而有些必須通過硬件來完成。
802.11i將解決無線安全問題。大多數(shù)制造商都將在這些標準制訂完畢時進行實施。此外,他們還必須提供在不同廠商的無線局域網(wǎng)產(chǎn)品之間的互操作性,并確保他們的產(chǎn)品符合802.11i標準。
未來之路
企業(yè)無須等到 802.11i安全標準最終完成才開始部署無線局域網(wǎng)。隨著無線 局域網(wǎng)覆蓋的熱點數(shù)量的不斷增長,公司移動員工均裝備了VPN客戶機以寬帶接入,無線連接已成為一個日益普及和安全的解決方案。
公眾接入無線局域網(wǎng)現(xiàn)在已經(jīng)部署在機場、酒店、會議中心,甚至是飯館 中。這些熱點使帶有支持802.11b的電腦的員工能夠通過共享11Mbps鏈路連接到基于互聯(lián)網(wǎng)的服務和公司網(wǎng)絡。
在等待802.11i標準問世的同時,管理員們應部署無線VPN作為過渡解決方 案。VPN將提供比基于WEP的加密機制更強大的安全性。
無線局域網(wǎng)補充了現(xiàn)有的有線解決方案。采用現(xiàn)有有線解決方案的企業(yè)應該在公共地點(如會議室、會場、食堂或餐廳)部署一個無線局域網(wǎng)。因為用戶在這些場所也能夠自由地檢索信息,工作效率大大提高。
(完)
附錄
無線局域網(wǎng)的發(fā)展
像所有IEEE 802標準一樣,802.11標準也是以ISO模型最低的兩層為中心: 物理層和數(shù)據(jù)鏈路層。所有局域網(wǎng)應用、網(wǎng)絡操作系統(tǒng)或協(xié)議(包括TCP/IP)在 符合802.11-標準的WLAN上運行都將像在以太網(wǎng)上運行一樣輕松。目前已有多個 標準制訂完成或正在制訂之中,以滿足用戶對帶寬和安全性不斷增長的需求。
802.11a – 802.11a 是802.11標準家族的擴展,在5GHz頻帶工作。該標準使 用正交頻分多路復用編碼方案,而不是802.11b 的直接序列擴頻傳輸技術(shù),利用 8個無重疊信道提供高達54Mbps的速度。
802.11b or Wi-Fi – 作為高速無線標準的發(fā)展結(jié)果,802.11b提供了完全類 似以太網(wǎng)的數(shù)據(jù)速率-11Mbps,并已經(jīng)成為公司內(nèi)部無線局域網(wǎng)網(wǎng)絡的主要標 準。它工作在2.4GHz頻帶,支持3個無重疊信道。
802.11g – 802.11g標準的草案已經(jīng)完成,但尚未得到IEEE的批準和聯(lián)邦通 信委員會的批準。802.11g使用與802.11a相同的編碼方案,并將能提供與 802.11a相同的速度。它在2.4GHz頻譜內(nèi)工作,將可兼容現(xiàn)有的802.11b基礎(chǔ)設(shè) 施。
藍牙技術(shù)-英特爾是藍牙標準的主要推動者和支持者。藍牙技術(shù)是覆蓋范圍為10米的個人域網(wǎng)絡的理想解決方案。像802.11b一樣,藍牙也在2.4GHz頻譜內(nèi)工作(全球均可使用這一頻譜),并使用擴展頻譜技術(shù)提供高達1Mbps的傳輸速度。
用戶應選擇最適合其企業(yè)需要的標準。802.11b標準是常規(guī)辦公環(huán)境或無線家庭網(wǎng)絡的理想選擇。更高帶寬的802.11a則適用于需要視頻點播或視頻數(shù)據(jù)流應用(如電子學習)或CAD-CAM設(shè)計應用的用戶。然而,802.11g還需要進一步完 善, 因此不同的802.11g產(chǎn)品之間還可能存在互操作問題。
評論