無線網(wǎng)絡(luò)一度被認(rèn)為是黑客和惡意攻擊的游戲場(chǎng)。然而,無線網(wǎng)絡(luò)正在快速地成為比有線網(wǎng)絡(luò)更安全的通信手段。
通過使用VPN、WPA(Wi-Fi保護(hù)接入)和采用802.1x的WPA2等加密和身份識(shí)別技術(shù),無線局域網(wǎng)等于不安全的局域網(wǎng)的理論已經(jīng)過時(shí)了。
位于猶他州Midvale的市場(chǎng)研究公司Burton Group的高級(jí)分析師Bill Terrill表示,在很多情況下,你的無線網(wǎng)絡(luò)比你的有線網(wǎng)絡(luò)更安全。
Terrill說,無線網(wǎng)絡(luò)的安全漏洞一般不是產(chǎn)品不安全的結(jié)果,而是網(wǎng)絡(luò)管理員沒有使用合適的工具發(fā)揮他們的優(yōu)勢(shì)的結(jié)果。他說,對(duì)WLAN最大的威脅是那些沒有打開安全功能和監(jiān)視網(wǎng)絡(luò)的網(wǎng)絡(luò)管理員。企業(yè)沒有無線網(wǎng)絡(luò)安全措施是沒有道理的。
Core Competence公司副總裁和SearchNetworking.com網(wǎng)站專家Lisa Phifer表示,他們最大的威脅是WLAN有可能被當(dāng)成入侵公司有線網(wǎng)絡(luò)的一個(gè)途徑。
評(píng)估這些威脅
Phifer說,這種擔(dān)心說明,欺騙性接入點(diǎn)檢測(cè)系統(tǒng)越來越受歡迎,以阻止防火墻內(nèi)部的雇員安裝欺騙性接入點(diǎn)或者防止雇員意外地連接到臨近的或者正在實(shí)施攻擊的接入點(diǎn)。她說,欺騙性的接入點(diǎn)可繞過現(xiàn)有的網(wǎng)絡(luò)防御措施。
Phifer表示,一個(gè)機(jī)構(gòu)對(duì)這些活動(dòng)的主要防御措施是無線活動(dòng)監(jiān)視和事件反應(yīng)。目前,有很多無線入侵檢測(cè)和防御系統(tǒng)能夠幫助企業(yè)發(fā)現(xiàn)在空中、企業(yè)駐地內(nèi)部和附近正在發(fā)生什么事情。
Phifer說,有些產(chǎn)品還提供了自動(dòng)反應(yīng)能力,如使用無線或者有線遏制技術(shù)切斷可疑的欺騙性接入點(diǎn)或者使用本地工具跟蹤那個(gè)接入點(diǎn)。
黑客在很大程度上已經(jīng)不像過去那樣令人們擔(dān)心了。802.11i、802.1x和WPA2等協(xié)議最近對(duì)無線安全的改善已經(jīng)消除了人們最擔(dān)心的數(shù)據(jù)保密性的威脅,并且提供了一些實(shí)施更嚴(yán)格WLAN接入管理和用戶身份識(shí)別的簡(jiǎn)單方法。
Phifer說,然而,這些改進(jìn)主要是改善了合法的無線活動(dòng)的安全。這些改進(jìn)對(duì)于防止欺騙性接入點(diǎn)、配置錯(cuò)誤的站點(diǎn)或者針對(duì)WLAN本身實(shí)施的拒絕服務(wù)攻擊沒有做任何事情。攻擊者仍然可以利用這些所有這些安全漏洞,例如,使用拒絕身份識(shí)別或者802.1x登出數(shù)據(jù)包風(fēng)暴來中斷WLAN的正常運(yùn)行。
Terrill也贊成這樣的觀點(diǎn)。他說,因?yàn)閃LAN的安全很好,黑客再也不能進(jìn)入了。黑客不能進(jìn)入你的網(wǎng)絡(luò),但是,黑客能夠中斷你的網(wǎng)絡(luò),這也是一個(gè)潛在的問題。
黑客中斷你的網(wǎng)絡(luò)的方法之一是向一個(gè)公司網(wǎng)絡(luò)的用戶發(fā)送斷開連接的數(shù)據(jù)包。這些數(shù)據(jù)包迫使這些用戶同時(shí)登出并且同時(shí)重新登錄。這樣將使服務(wù)器過載,造成網(wǎng)絡(luò)中斷。
位于馬薩諸塞州Burlington的無線網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)廠商Blusesocket公司負(fù)責(zé)市場(chǎng)營(yíng)銷的副總裁Dave
Danielson說,這種威脅不再是帶著黑色滑雪面具的黑客蹲在企業(yè)的停車場(chǎng)中企圖入侵企業(yè)網(wǎng)絡(luò)的那種情況了。
Danielson補(bǔ)充說,目前大多數(shù)入侵企業(yè)無線網(wǎng)絡(luò)的事件都是由錯(cuò)誤造成的。如果未經(jīng)授權(quán)的用戶不遵守適當(dāng)?shù)牧鞒?,他們?duì)企業(yè)網(wǎng)絡(luò)就是有害的。不使用可用的工具的人是最大的威脅。
監(jiān)控?zé)o線電頻率
Bluesocket公司本星期推出一種新的集中的無線電頻率傳感器。這種設(shè)備通過觀察、監(jiān)視無線電頻率并且通過確認(rèn)無線電頻率的安全來保護(hù)網(wǎng)絡(luò)。
Danielson說,集中的傳感器能夠監(jiān)視一個(gè)四層樓大小的城市區(qū)域,而分布式傳感器能夠覆蓋大約100米的范圍。這個(gè)傳感器發(fā)現(xiàn)和報(bào)告異常狀況。
他說,還有一些保證網(wǎng)絡(luò)安全的基本步驟。無線電頻率保護(hù)是必要的和重要的解決方案。一些人認(rèn)為,一層層的建筑物壁壘是保護(hù)網(wǎng)絡(luò)安全的要塞和護(hù)城河。無線模糊了整個(gè)要塞的感覺。
Trapeze網(wǎng)絡(luò)公司本星期推出了一種新的安全功能。這是在Trapeze無線接入點(diǎn)中集成了AirDefense傳感器。Trapeze負(fù)責(zé)全球市場(chǎng)營(yíng)銷的副總裁Bruce Van Nice說,這種集成的功能能夠每周7天每天24小時(shí)地監(jiān)視網(wǎng)絡(luò)中的故障點(diǎn)。
同樣,位于馬薩諸塞州Andover的Enterasys公司也推出了一種新的無線安全產(chǎn)品,包括AP4102統(tǒng)一接入點(diǎn)、AP1002薄接入點(diǎn)和8400無線交換機(jī)。
Enterasys無線產(chǎn)品經(jīng)理Pabhu Kavi昨天表示,這些新產(chǎn)品將保證通信流的類型正確并且是在授權(quán)的各方之間進(jìn)行的。
Kavi說,這些新產(chǎn)品可以對(duì)無線網(wǎng)絡(luò)容易受病毒感染的端口采取封鎖和級(jí)別限制措施,并且向用戶提供安全政策規(guī)定他們能夠訪問什么和不能訪問什么。
在一個(gè)經(jīng)過恰當(dāng)?shù)脑O(shè)置的網(wǎng)絡(luò)中,安全是很嚴(yán)密的。但是,無線網(wǎng)絡(luò)中仍有大量的應(yīng)用還沒有采取嚴(yán)密的安全措施。一般的感覺是,如果你在一個(gè)公司內(nèi)部訪問一個(gè)網(wǎng)絡(luò),你就是一個(gè)可信賴的用戶。我們認(rèn)為,安全不僅僅是最新的加密和身份識(shí)別工具。
Kavi表示,Enterasys公司的產(chǎn)品與眾不同的特點(diǎn)是能夠檢測(cè)欺騙性的接入點(diǎn)、隔離這些接入點(diǎn)并且自動(dòng)關(guān)閉這種接入點(diǎn)連接的端口,以防止受到攻擊。
Kavi說,在取得這些進(jìn)步之前,無線網(wǎng)絡(luò)是很容易受到攻擊的目標(biāo)。
成功地確保WLAN安全的關(guān)鍵
Danielson表示,保證WLAN安全的三個(gè)關(guān)鍵措施是觀察、監(jiān)控和保護(hù)。你不僅要保證善意用戶的安全。你還需要保證無線電頻率遠(yuǎn)離黑客和間諜的安全。你必須要查看無線電頻率并且監(jiān)視它們,以確保它們的安全。
Terrill表示,還有Aruba網(wǎng)絡(luò)和思科Aironet等一些主要的廠商提供安全工具包能夠驗(yàn)證登錄到無線網(wǎng)絡(luò)的大多數(shù)設(shè)備。這些工具包都配置了最新的病毒保護(hù)、防火墻和掃描其它安全漏洞的工具。包括無線電頻率傳感器在內(nèi)的其它產(chǎn)品也提供了保護(hù)措施,但是,需要有人對(duì)傳感器檢測(cè)到的異?;顒?dòng)做反應(yīng)。
他說,無線方面的安全基本上是非常牢固的,如果你使用無線安全工具并且使用地正確的話。這些安全完全是常識(shí)和使用現(xiàn)有的工具。
然而,Phifer表示,沒有任何網(wǎng)絡(luò)是完全安全的,盡管采用了所有的保護(hù)措施也是如此。她說,任何安全計(jì)劃的目標(biāo)都是根據(jù)商業(yè)需求和成本把風(fēng)險(xiǎn)降低到可以接受的水平。我強(qiáng)烈地認(rèn)為,大多數(shù)公司都能夠使他們的無線應(yīng)用更安全。但是,我也認(rèn)為,這樣做需要勤奮的努力和計(jì)劃。