多层次无线连接安全策略
文章来源:3Com中国区市场传讯部

  当前,在进行用户和设备连接时,无线连接策略越来越具有吸引力。与硬连接解决方案相比,无线连接具有低成本、易部署和较灵活等优势。除支持移动用户外,无线连接提供的性能还足以适应主流台式机的日常运营需求。然而,许多IT管理员却认为无线连接缺乏有线网络的安全性,从而妨碍了对无线连接技术的广泛使用。随着数字安全问题的频繁发生,以及所造成的日益严重的后果,许多组织机构在无线解决方案能提供真正强有力的保护之前,是不会采用它的。
  上述忧虑不无道理。制定Wi-Fi(无线兼容保证)标准的初衷,就是为了保证各种无线设备之间实现互操作,从而方便个人和企业用户进行连接。所有获得Wi-Fi认证的产品均具有Wi-Fi 40位共享密钥的WEP(有线等效保密)安全性。但它不是一种端到端的安全解决方案,只能提供基本保护。大部分SOHO用户和企业用户都需要防止别人窃听他们的无线网络,或防止黑客把开放式无线系统做为攻击的目标。WEP安全性足以适应这些用户的需求,但却不能满足更多企业和其他组织机构的需求。毕竟,无线连接缺乏电缆连接所提供的物理保护。例如,有人就曾经非法侵入无线连接,设置破坏性接入点,然后登录有线局域网,或者盗窃用户设备的MAC地址和用户名,假冒授权用户。
  无线局域网市场需要适应两类不同用户的不同需求——消费者和企业。通常,消费者把无线连接看作是设置在桌面的独立网关设备。而企业把无线连接视为一个系统的组成部分,这种系统必须能适应其网络基础架构的需要,提供更高水平的保护功能,以确保企业秘密信息、用户身份和其他资源的安全性。但是,许多Wi-Fi解决方案当前所提供的128位加密技术,不可能阻止黑客蓄意发起的攻击活动。更有甚者,许多用户往往会犯一些简单错误。譬如,他们会忘记启动WEP功能,从而使无线连接成为不设防的连接。另一方面,他们未能在企业防火墙的外部设置无线接入点,结果使不法之徒得以利用无线连接避开防火墙,长驱直入局域网。另外,企业还认为所有Wi-Fi产品均完全相同。实际上,尽管这些产品都符合基本标准,但其中许多产品还能提供先进的安全功能。
  多层保护
  下面介绍的各种功能允许企业通过一种系统的多层次保护实现强劲的安全性。首先,组织机构需要对网络受威胁最大的领域,以及他们所需求的安全等级进行评估。例如,当对外开放的网络服务器和外联网服务器含有敏感数据时,它们通常需要的保护超过网络的其他领域。而且,接入点和客户机之间的无线连接需要采用多层次保护,以加强安全性。同样,学校管理员和教职员工专用网络资源需要的安全性将超过学生访问的网络。因此,组织机构需要部署无线安全功能,以弥补安全方面的弱点,增加保护功能的层次,全面抵御各种危险。
  如果组织机构拥有IT资源,并要以人工方式定期更换WEP加密密钥,40位WEP和128位共享密钥加密技术足以适应这些基本的安全需求,并能抵御最低水平的危险。IT管理员也可以在无线接入点内部创建和维护无线客户机设备的MAC地址表,并在替换或增加无线设备时,以人工方式改变MAC地址表。然而,WEP是一种共享密钥环境。它意味着如果用户密钥受到破坏,黑客就有可能获取专用信息和网络资源。除此之外,随着网络规模不断扩展,IT网络管理员也将面临需要加强无线网络管理的巨大压力。
  为了增加无线安全的层次,企业可以使用“基于用户”,而不是“基于设备MAC地址”的验证机制。这样,即使用户的笔记本电脑被盗,盗贼如果不掌握笔记本电脑用户的用户名和口令,也无法访问网络。这种方法简单易行,因为当今用户已经习惯了输入口令。同时,它还将减轻管理负担,因为不需要以人工方式管理MAC地址表。但企业需要评估和部署无线接入点,以支持基于用户的验证数据库。该验证数据库可以通过本地方式,在接入点内部进行维护。

<<< 上一页 下一页 >>>