由于業(yè)務(wù)需要,企業(yè)對移動化的要求也越來越高,同時安全風(fēng)險也隨之而來。雖然已經(jīng)制訂了解決具體安全問題的解決方案,我們還需要采取綜合辦法來利用企業(yè)網(wǎng)絡(luò)中的有線網(wǎng)絡(luò)基礎(chǔ)設(shè)施來加強對WLAN(無線局域網(wǎng),Wireless Local Area Network)的安全保護。
企業(yè)WLAN的發(fā)展
企業(yè)WLAN已經(jīng)飛速發(fā)展,再也不是過去的只需要簡單便宜的接入點就能覆蓋家庭或者小型辦公室的無線網(wǎng)絡(luò)。在WLAN部署的發(fā)展后面主要有兩個推動力,第一個就是為增強生產(chǎn)效率,需要為客戶或者使用筆記本的員工提供無線接入。
第二個推動力就是使用無線取代有線基礎(chǔ)設(shè)施,并且受到先進技術(shù)(如802.1n標準等)的推動。無線速度提高到170Mbps以及建立企業(yè)范圍內(nèi)的無線網(wǎng)絡(luò)的能力等優(yōu)點,都讓無線技術(shù)性能已經(jīng)足以成為有線的更好替代品。此外,已經(jīng)開發(fā)出很多有效攻擊能夠幫助確定最佳網(wǎng)絡(luò)覆蓋范圍、避免重疊以及更好的利用擴頻以減少碰撞和最大限度地提高性能。雖然,重點都是在性能,但無線真正的好處在于為生產(chǎn)力帶來更好的移動性。
日益增長的移動化安全風(fēng)險
然而,移動性也招致很多安全風(fēng)險和問題。因為無線端點并非固定不變的,相比于無線網(wǎng)絡(luò),企業(yè)對于有線網(wǎng)絡(luò)的安全性更加放心,因為有線網(wǎng)絡(luò)受到企業(yè)建筑實體墻和門的保護,并且還有門禁卡和用戶身份驗證基礎(chǔ)設(shè)施。由于無線網(wǎng)絡(luò)能夠輕易地被建筑外的人訪問,因此無線網(wǎng)絡(luò)更容易受到盜竊、攻擊和各種匿名攻擊形式。
當(dāng)然也已經(jīng)開發(fā)了很多技術(shù)來試圖解決這些問題,包括從WEP轉(zhuǎn)移到LEAP、WPA、802.1x,以及在客戶端和接入基礎(chǔ)設(shè)施嵌入IPSec VPN等各種措施。所有這些方法都有一定的限制。
客戶訪問也是企業(yè)WLAN的一大問題,因為可能造成嚴重的后果。如果客戶使用企業(yè)的無線網(wǎng)絡(luò)接入并進行非法操作,提供網(wǎng)絡(luò)接口的企業(yè)就必須承擔(dān)一定的法律責(zé)任。如果無線網(wǎng)絡(luò)被攻破,或者重要數(shù)據(jù)庫被攻擊,給企業(yè)帶來的負面影響將更加嚴重。這些結(jié)果可能包括罰款、訴訟和名譽損失等。
IT部門需要清楚地知道是企業(yè)員工筆記本還是客戶筆記本在訪問無線網(wǎng)絡(luò),當(dāng)筆記本通過無線網(wǎng)絡(luò)訪問企業(yè)網(wǎng)絡(luò)時必須進行嚴格的加密。IT部門還應(yīng)該使用現(xiàn)有的基礎(chǔ)設(shè)施(如Active Directory)對員工進行身份驗證,并希望客戶也能進行同樣的驗證。
目前解決方案的局限性
現(xiàn)在有很多企業(yè)級WLAN解決方案已經(jīng)可以解決上述問題,但是很多解決方案價格昂貴并且功能也不是很完善,與常用的有線基礎(chǔ)設(shè)施的加密驗證功能還是差很多。
在無線世界里,不能解決WLAN安全的所有問題,問題都需要單獨解決。不足為怪的是,很多解決方案都是很獨立的,只有從同個供應(yīng)商獲取整體解決方案才能獲得最好效果。不斷變化的市場也讓這些移動產(chǎn)品需要對基礎(chǔ)設(shè)施不斷的更新和升級,以充分利用必要的改進的技術(shù)。
利用現(xiàn)有的有線基礎(chǔ)設(shè)施
鑒于這種情況,是應(yīng)該問問是否有不同的方法。在有線世界里,Layer 2交換機以神奇的速度進行著大量交換數(shù)據(jù)包的工作,Layer3交換器和路由器則進行連接網(wǎng)絡(luò)的工作,還有驗證基礎(chǔ)設(shè)施(如Active Directory、LDAP和 RADIUS)進行直接驗證。此外,驗證基礎(chǔ)設(shè)施(如防火墻和訪問控制列表)也能加強保護,接入技術(shù)(如IPSec和SSL VPN)能夠提供外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接,當(dāng)然也有NAC基礎(chǔ)設(shè)施、端點安全、IDS/IPS等,這些有線設(shè)施不勝枚舉。
鑒于對所有這些基礎(chǔ)設(shè)施技術(shù)的現(xiàn)有投資,以及這些現(xiàn)有基礎(chǔ)設(shè)施后面的各種有線和遠程用戶的部署,如果將WLAN基礎(chǔ)設(shè)施放在Layer 2并讓現(xiàn)有技術(shù)提供其他功能,不就能節(jié)省很多開支嗎?如果我們這樣做,就可以擁有便宜的接入點,而控制器也不需要比Layer2/3交換器更好,這將很大程度降低企業(yè)無線部署的成本,并能讓企業(yè)混合搭配使用不同供應(yīng)商的何時技術(shù),而避免大規(guī)模鎖定升級。
還有比較便宜的替代方法可以幫助企業(yè)實現(xiàn)這一點。NAC技術(shù)已經(jīng)成熟到它可以自動接入端點并分辨企業(yè)接入還是客戶接入。NAC與SSL的整合確保了傳輸路徑在所有時候都能進行加密,與驗證基礎(chǔ)設(shè)施(如IPSec和SSL VPN)的整合又能提供對員工的驗證。內(nèi)置的虛擬化技術(shù)和客戶自動重新定向至不同的虛擬端口,能夠消除為客戶和員工使用單獨SSID或者單獨客戶接入設(shè)備的需要。某些SSL VPN上的默認路由和VLAN技術(shù)能夠確??蛻舳肆髁客耆珔^(qū)分與企業(yè)流量,并能確保只有通過這個框架才能接入其他位置。
身份驗證問題
廣泛的身份驗證框架允許客戶登記接入,并擁有作為用戶真實身份的永久令牌,這能夠通過客戶登記程序(如接待處的功能一樣)來實現(xiàn)。甚至可以區(qū)分不同類型的客人,為其登錄不同的網(wǎng)絡(luò)。
部署身份驗證應(yīng)該是自動化的,日志和問責(zé)制能夠提供通過接入媒介的用戶極其行為相關(guān)聯(lián)的線索,當(dāng)法律規(guī)定或者上級主管有要求時,就能提供這種線索。