无线局域网的开放性特点使其安全性受到更多关注。目前,有许多解决方案能够提供安全保护,如虚拟专用网(VPN)和IPSec加密等,而即将推出的802.11i标准将包括更多增强的加密格式和鉴权机制,这些标准的应用将进一步增强无线局域网的安全性。
无线局域网(WLAN)正在迅速发挥它在帮助企业提高员工效率方面的巨大效力,并凭借随时随地的连接能力为客户提供更出色的服务。例如,员工可以将笔记本电脑或PDA从自己的办公桌上拿到会议室或自助餐厅中,同时保持在线状态;餐厅服务生可以无线记录客户的菜单,不必来回跑动;仓库工人可以无线处理存货;土木工程师可以在建筑工地检索建筑物图纸…。
无线局域网使用射频(RF)技术发送和接收数据,最大限度减少了对有线连接的需求。其优势就在于能够轻松快速安装,小巧便携的无线局域网基站可以在最短的时间内安装完毕。基站或接入点是无线局域网的桥梁,将无线局域网客户连接到网络上。
无线局域网的安全性
安全性是广泛部署无线局域网需要考虑的主要问题之一。由于无线局域网使用无线电波传输数据信号,所以较易受到攻击。无线电波能够穿透墙壁和隔板,使黑客有机会截获电波并进入未受保护的公司局域网。
尽管无线局域网不是绝对安全,但是有许多解决方案能够提供安全保护,如虚拟专用网(VPN)、IPSec加密和利用IEEE
802.1x的可扩展鉴权协议(EAP)。所有这些解决方案都使实施者能够享受到使用无线局域网的优越性,而不必牺牲安全性。VPN是目前市场上最安全的解决方案,能够阻止无线黑客入侵公司局域网或从汽车、建筑物内、甚至建筑物附近截取机密信息。
以保护无线局域网安全为己任的网络管理员应该慎重考虑鉴权和保密性。无线局域网无线电波在整个企业内部传播,有时会传播到企业外部,使保护网络安全成为一项艰巨任务。
鉴权功能
鉴权是通过使用数字证书或令牌识别服务器用户的过程。为了获得更出色的安全性,企业可以在每个彼此鉴权的用户和服务器处部署相互鉴权机制,以阻止所谓的“内部用户攻击”。利用相互鉴权,没有必需数字证书的黑客将不能通过鉴权程序,从而不被允许访问无线网络。目前市场中的大多数无线基站都支持EAP
802.1x鉴权。利用EAP,企业可以选择实施传输层安全(TLS)或隧道传输层安全(TTLS)协议来保护鉴权服务器和无线用户之间的相互鉴权。
除了使用EAP 802.1x,企业还可以部署VPN来支持鉴权和加密要求。通常的做法是将无线局域网设置成单独的局域网部分,并通过VPN网关将该部分连接到公司局域网上。利用VPN,所有无线用户在得到许可访问公司局域网之前首先由VPN网关进行鉴权,PN网关只向拥有机器中所具有的有效软件证书或令牌的用户授权。客户机到VPN服务器的数据包使用IPSec加密。因此,客将将无法破解这些数据包的内容。这些安全措施需要额外的程序,如要求用户登录VPN网关、在所有无线机器上安装VPN客户端程序。
保密性
IEEE 802.11标准使用有线等效保密(WEP)加密技术。它的基础是使用40位密钥和RC4加密算法。不知道WEP密钥的用户将被排除在网络通信之外。
然而,现在有很多方法可以算出WEP加密密钥。一旦密钥被人获得,它就可以用于破解信息。有很多工具可以攻击WEP加密。建议使用支持802.11a和802.11b
WLAN的VPN解决方案增强无线安全性。
IEEE 802.11TGi(任务组i)委员会已经制订了临时密钥完整性协议(TKIP),作为过渡解决方案。TKIP像WEP一样基于RC4加密,但以另一种方式实施,解决了
WEP目前存在的脆弱性。它提供了快速更新密钥的功能。利用TKIP,随着各个厂商计划推出TKIP固件补丁,消费者在无线局域网硬件上的投资将得到保护。
最后,IEEE 802.11TGi正在开发一个使用高级加密标准(AES)的新协议,以实施更强大的加密和信息完整性检查。IEEE
802.11i预计将采用IEEE 802.1x鉴权。
互操作性和漫游
尽管802.11a和802.11b是在不同频带上工作,但同时支持802.11a和802.11b的双模基站已经在市场上出现,使两种网络中的用户能够进行通信。英特尔公司已经推出了支持802.11a和802.11b技术的双模无线网卡。这些产品设能够推动从2.4GHz
802.11b网络向更快的5GHz 802.11a WLAN过渡。
漫游可以分为三类:在企业内不同基站之间漫游;在同一运营商提供的不同热点(hotspot)之间漫游;以及在不同运营商提供的热点之间漫游。
在一个企业无线局域网中,在不同接入点之间的漫游被作为802.11b协议的一部分进行处理。当在同一运营商提供的不同热点之间漫游时,用户可能需要在新热点重新登录,以便在新热点与前一热点相距较远时获得一个新的IP地址。例如,如果你离开酒店的热点漫游到相距10千米之遥的机场热点,你就可能需要重新登录。
然而,如果用户在由不同运营商服务的不同国家或地区的不同热点之间漫游,在各热点运营商之间必须达成双方协议。此外,运营商们的后端设备必须能够跟踪漫游用户,以进行计费。
有时需要第三方公司作为清算机构并提供必要的鉴权和计费服务,以支持在不同运营商运行的热点之间的漫游服务。无线局域网基础设施提供了基本的互联网连接。使用VPN建立返回公司网络的安全隧道的外出用户还应安装杀毒软件及个人防火墙,以使他们的数据链路在漫游期间免受黑客攻击。
IEEE 802.11标准
IEEE 802.11工作组正在制订802.11i标准。这个安全标准将包括增强的加密格式和鉴权机制,如RADIUS、Kerberos和IEEE
802.1x。IEEE 802.11i的许多安全增强特性都可以通过固件升级来完成,而有些必须通过硬件来完成。
802.11i将解决无线安全问题,大多数制造商都将在这些标准制订完毕时进行实施。此外,他们还必须提供在不同厂商的无线局域网产品之间的互操作性,并确保他们的产品符合802.11i标准。
无线局域网的应用
企业无须等到 802.11i安全标准最终完成才开始部署无线局域网。随着无线局域网覆盖的热点数量的不断增长,以及一些公司移动员工装备了VPN客户机以宽带接入,无线连接已成为一个日益普及和安全的解决方案。公众接入无线局域网应用逐渐在机场、酒店、会议中心,甚至是饭馆中展开。这些热点使带有支持802.11b的电脑都能够通过共享11Mbps链路连接到基于互联网的服务和公司网络。
在等待802.11i标准问世的同时,管理员们应部署无线VPN作为过渡解决方案。VPN将提供比基于WEP的加密机制更强大的安全性。
无线局域网补充了现有的有线解决方案。采用现有有线解决方案的企业应该在公共地点(如会议室、会场、食堂或餐厅)部署一个无线局域网。因为用户在这些场所也能够自由地检索信息,工作效率将大大提高。用户应选择最适合其企业需要的标准。802.11b标准是常规办公环境或无线家庭网络的理想选择,更高带宽的802.11a则适用于需要视频点播或视频数据流应用或CAD-CAM设计应用的用户。而802.11g还需要进一步完善,
因此不同的802.11g产品之间还可能存在互操作问题。
|