無線安全技術大揭秘
針對用戶和用戶權限不統一的情況,Eric Wu表示,由于傳統的認證和授權功能是分別設在兩個設備上,這樣授權用戶就有可能在兩個設備缺乏溝通的情況下獲得更高的權限,威脅到局域網的安全。針對這種問題,目前的認證和授權功能都是設在同一個設備上。用戶身份一經認證,通過一個存取記號通知授權功能模塊,用戶的權限就被設定,不會出現用戶身份和用戶權限不統一的情況,有效保證了無線網絡的安全。
無線入侵檢測和保護
目前可以在互聯網上下載到很多無線入侵和攻擊的工具,這些工具對無線網絡造成了很大的威脅,可以使AP無法征程工作,甚至可以突破無線網絡的安全措施,非法盜取網絡資源。另外一個問題就是因為用戶購買的AP,在接入有線網絡鐘后,可能會自動創(chuàng)建一些“軟”AP。這些不安全的AP在缺乏安全機制的情況下自動在企業(yè)的局域網中出現。若是外部入侵者利用這些軟AP實現惡意目的,企業(yè)將遭受巨大的損失。而且這種事情發(fā)生時,員工可能并不知道已經遭受攻擊,無意之中促成了攻擊。
針對這種情況,出現了一些嘗試入侵軟件。就是人為的將這些入侵軟件帶入企業(yè)局域網內部。但是這些入侵軟件具有一些特定的功能,包括跟測、防御和定位功能。也就是說,這些入侵軟件在接入局域網之后,可以跟蹤入侵者的動態(tài),并且進行防御,同時還可以定位入侵者的動作和位置。
另外,針對病毒入侵的情況,無線終端病毒防護的第一步是準入檢查,當無線終端連接試圖訪問網絡時,無線系統要求用戶在認證之前下載一個小程序,這個程序將對終端的安全配置進行檢查,不能通過檢查的終端將被策略禁止訪問網絡,也可設置成將無線用戶重定向到一臺升級服務器,經過一系列程序之滿足安全機制后,該無線終端才可以進入認證環(huán)節(jié)進行用戶的認證。
宣文威認為,當無線終端通過了準入檢查,但是如何對無線終端發(fā)出數據進行有效的檢查和監(jiān)控是更加進一步的病毒防護手段。 ZoneFlex系列產品簡化了安全需要的配置,就可在整個系統范圍支持非法接入點入侵檢測,并能通過網絡將這些接入點客戶端設備列入黑名單。當多個接入點的位置十分接近時,Ruckus產品則可以自動控制每個接入點的功率和信道設置,從而確保最佳的覆蓋范圍和連貫性。
防止盜竊引起的安全威脅
無線網絡中的AP不像有線網絡中的路由器和交換機一樣,是放在比較隱秘的機柜或者專門的機房里面。無線AP可能是在天花板上或者屋內的任何位置,方便用戶接入。這也就帶來了一定的安全威脅。例如,有惡意的人將AP拿走。傳統的無線網絡,采用的是胖AP,瘦客戶端形式。胖AP指的是集成了全部功能的AP,這些功能包括了加密解密、過濾防護等等,而瘦AP與之對應,就是只有無線功能的設備。在胖AP結構下,一旦有人將AP拿走,就可以通過解密,得到AP中的金鑰。獲得了這個金鑰之后,就可以登陸公司網絡,竊取公司機密信息。而在瘦AP環(huán)境下,加密解密以及防火墻等安全措施可以通過一個單獨的安全設備來實現,除了顯而易見的成本降低之外,提升了AP的性能,還提升了安全性能與安全管理的方便性。在瘦AP環(huán)境下,用戶訪問網絡的需求通過AP傳遞到AP之后的防火墻上,由防火墻進行統一的身份驗證,并且賦予用戶不同的權限,這種良好的身份認證以及其他的統一安全管理將有效的規(guī)避大量的安全問題。
Eric Wu在談及此問題時表示:“傳統的無線網絡,接入網絡的金鑰是放在了AP中,一旦AP被人拿走,就可以破解得到這個金鑰。這樣他就可以接入該公司網絡,竊取信息。而Aruba的產品中,AP的功能得到了簡化,只是起到了一個接入的作用。所有與安全和其他控制信息有關的功能都放在了無線控制器(Controller)中。” 這樣,即使AP丟失或遭盜竊,也不會擔心會丟失信息。
良好的成本控制、便捷的網絡管理以及可控可管理的安全特性,都讓無線網絡的發(fā)展前景無限寬廣。而隨著全球筆記本出貨量超越臺式機以及802.11n的全面普及,無線網絡正在越來越廣泛的存在于我們的身邊。相比于家庭網絡,企業(yè)網絡擁有更多的終端,更復雜的網絡管理,也對無線這種便捷廉價的網絡接入方式有著更強烈的需求。未來的無線網絡發(fā)展方向就是瘦AP方式,無線網絡的控制措施將不在AP中實施,都放在無線控制器中進行,簡化的AP更易于部署和管理。不管對個人用戶還是企業(yè)用戶,他們最擔心的無線網絡的安全問題也隨著安全技術的不斷發(fā)展而得到解決。目前,無線廠商都在無線網絡的安全方面下了大成本,也推出了比較有效地無線安全措施。例如上述的幾種技術,通過幾種技術的結合,可以有效地解決無線網絡的安全問題。未來,無線網絡的目標不是為了取代有線網絡,而是和有線網絡結合為用戶帶來最好的體驗。
評論