無線安全技術(shù)大揭秘

針對(duì)用戶和用戶權(quán)限不統(tǒng)一的情況，Eric Wu表示，由于傳統(tǒng)的認(rèn)證和授權(quán)功能是分別設(shè)在兩個(gè)設(shè)備上，這樣授權(quán)用戶就有可能在兩個(gè)設(shè)備缺乏溝通的情況下獲得更高的權(quán)限，威脅到局域網(wǎng)的安全。針對(duì)這種問題，目前的認(rèn)證和授權(quán)功能都是設(shè)在同一個(gè)設(shè)備上。用戶身份一經(jīng)認(rèn)證，通過一個(gè)存取記號(hào)通知授權(quán)功能模塊，用戶的權(quán)限就被設(shè)定，不會(huì)出現(xiàn)用戶身份和用戶權(quán)限不統(tǒng)一的情況，有效保證了無線網(wǎng)絡(luò)的安全。

無線入侵檢測和保護(hù)

目前可以在互聯(lián)網(wǎng)上下載到很多無線入侵和攻擊的工具，這些工具對(duì)無線網(wǎng)絡(luò)造成了很大的威脅，可以使AP無法征程工作，甚至可以突破無線網(wǎng)絡(luò)的安全措施，非法盜取網(wǎng)絡(luò)資源。另外一個(gè)問題就是因?yàn)橛脩糍徺I的AP，在接入有線網(wǎng)絡(luò)鐘后，可能會(huì)自動(dòng)創(chuàng)建一些“軟”AP。這些不安全的AP在缺乏安全機(jī)制的情況下自動(dòng)在企業(yè)的局域網(wǎng)中出現(xiàn)。若是外部入侵者利用這些軟AP實(shí)現(xiàn)惡意目的，企業(yè)將遭受巨大的損失。而且這種事情發(fā)生時(shí)，員工可能并不知道已經(jīng)遭受攻擊，無意之中促成了攻擊。

針對(duì)這種情況，出現(xiàn)了一些嘗試入侵軟件。就是人為的將這些入侵軟件帶入企業(yè)局域網(wǎng)內(nèi)部。但是這些入侵軟件具有一些特定的功能，包括跟測、防御和定位功能。也就是說，這些入侵軟件在接入局域網(wǎng)之后，可以跟蹤入侵者的動(dòng)態(tài)，并且進(jìn)行防御，同時(shí)還可以定位入侵者的動(dòng)作和位置。

另外，針對(duì)病毒入侵的情況，無線終端病毒防護(hù)的第一步是準(zhǔn)入檢查，當(dāng)無線終端連接試圖訪問網(wǎng)絡(luò)時(shí)，無線系統(tǒng)要求用戶在認(rèn)證之前下載一個(gè)小程序，這個(gè)程序?qū)?duì)終端的安全配置進(jìn)行檢查，不能通過檢查的終端將被策略禁止訪問網(wǎng)絡(luò)，也可設(shè)置成將無線用戶重定向到一臺(tái)升級(jí)服務(wù)器，經(jīng)過一系列程序之滿足安全機(jī)制后，該無線終端才可以進(jìn)入認(rèn)證環(huán)節(jié)進(jìn)行用戶的認(rèn)證。

宣文威認(rèn)為，當(dāng)無線終端通過了準(zhǔn)入檢查，但是如何對(duì)無線終端發(fā)出數(shù)據(jù)進(jìn)行有效的檢查和監(jiān)控是更加進(jìn)一步的病毒防護(hù)手段。 ZoneFlex系列產(chǎn)品簡化了安全需要的配置，就可在整個(gè)系統(tǒng)范圍支持非法接入點(diǎn)入侵檢測，并能通過網(wǎng)絡(luò)將這些接入點(diǎn)客戶端設(shè)備列入黑名單。當(dāng)多個(gè)接入點(diǎn)的位置十分接近時(shí)，Ruckus產(chǎn)品則可以自動(dòng)控制每個(gè)接入點(diǎn)的功率和信道設(shè)置，從而確保最佳的覆蓋范圍和連貫性。

防止盜竊引起的安全威脅

無線網(wǎng)絡(luò)中的AP不像有線網(wǎng)絡(luò)中的路由器和交換機(jī)一樣，是放在比較隱秘的機(jī)柜或者專門的機(jī)房里面。無線AP可能是在天花板上或者屋內(nèi)的任何位置，方便用戶接入。這也就帶來了一定的安全威脅。例如，有惡意的人將AP拿走。傳統(tǒng)的無線網(wǎng)絡(luò)，采用的是胖AP，瘦客戶端形式。胖AP指的是集成了全部功能的AP，這些功能包括了加密解密、過濾防護(hù)等等，而瘦AP與之對(duì)應(yīng)，就是只有無線功能的設(shè)備。在胖AP結(jié)構(gòu)下，一旦有人將AP拿走，就可以通過解密，得到AP中的金鑰。獲得了這個(gè)金鑰之后，就可以登陸公司網(wǎng)絡(luò)，竊取公司機(jī)密信息。而在瘦AP環(huán)境下，加密解密以及防火墻等安全措施可以通過一個(gè)單獨(dú)的安全設(shè)備來實(shí)現(xiàn)，除了顯而易見的成本降低之外，提升了AP的性能，還提升了安全性能與安全管理的方便性。在瘦AP環(huán)境下，用戶訪問網(wǎng)絡(luò)的需求通過AP傳遞到AP之后的防火墻上，由防火墻進(jìn)行統(tǒng)一的身份驗(yàn)證，并且賦予用戶不同的權(quán)限，這種良好的身份認(rèn)證以及其他的統(tǒng)一安全管理將有效的規(guī)避大量的安全問題。

Eric Wu在談及此問題時(shí)表示：“傳統(tǒng)的無線網(wǎng)絡(luò)，接入網(wǎng)絡(luò)的金鑰是放在了AP中，一旦AP被人拿走，就可以破解得到這個(gè)金鑰。這樣他就可以接入該公司網(wǎng)絡(luò)，竊取信息。而Aruba的產(chǎn)品中，AP的功能得到了簡化，只是起到了一個(gè)接入的作用。所有與安全和其他控制信息有關(guān)的功能都放在了無線控制器（Controller）中。” 這樣，即使AP丟失或遭盜竊，也不會(huì)擔(dān)心會(huì)丟失信息。

良好的成本控制、便捷的網(wǎng)絡(luò)管理以及可控可管理的安全特性，都讓無線網(wǎng)絡(luò)的發(fā)展前景無限寬廣。而隨著全球筆記本出貨量超越臺(tái)式機(jī)以及802.11n的全面普及，無線網(wǎng)絡(luò)正在越來越廣泛的存在于我們的身邊。相比于家庭網(wǎng)絡(luò)，企業(yè)網(wǎng)絡(luò)擁有更多的終端，更復(fù)雜的網(wǎng)絡(luò)管理，也對(duì)無線這種便捷廉價(jià)的網(wǎng)絡(luò)接入方式有著更強(qiáng)烈的需求。未來的無線網(wǎng)絡(luò)發(fā)展方向就是瘦AP方式，無線網(wǎng)絡(luò)的控制措施將不在AP中實(shí)施，都放在無線控制器中進(jìn)行，簡化的AP更易于部署和管理。不管對(duì)個(gè)人用戶還是企業(yè)用戶，他們最擔(dān)心的無線網(wǎng)絡(luò)的安全問題也隨著安全技術(shù)的不斷發(fā)展而得到解決。目前，無線廠商都在無線網(wǎng)絡(luò)的安全方面下了大成本，也推出了比較有效地無線安全措施。例如上述的幾種技術(shù)，通過幾種技術(shù)的結(jié)合，可以有效地解決無線網(wǎng)絡(luò)的安全問題。未來，無線網(wǎng)絡(luò)的目標(biāo)不是為了取代有線網(wǎng)絡(luò)，而是和有線網(wǎng)絡(luò)結(jié)合為用戶帶來最好的體驗(yàn)。