无线局域网考虑三个基本的安全服务:审计、认证和机密性
自从1999年9月份IEEE(电子和电气工程师协会)批准了802.11b标准以来,WEP(Wired Equivalent Privacy,有线对等保密)就成为无线局域网上应用的主要的加密机制,来对无线局域网上的数据流进行加密。不过目前许多企业并没有启动WEP,主要是因为WEP的密钥治理和配置起来过于繁琐。尽管META Group已经承认了一些与WEP有关的漏洞,不过最近报道的一些攻击行为证实,该保密机制的漏洞要比并想象中的还要多。所以企业用户必须依据使用环境的机密要求程度,来对使用的应用软件进行评估。切入点是从无线局域网的连接上开始,考虑三个基本的安全服务:审计、认证和机密性。
从短期的解决方案来看,用户应该对已存在的WLAN的安全性重新进行评估。一些企业用户已经推迟或终止了在WLAN上WEP的开发和应用。在以后的12至24个月内,即在完整的解决方案出台之前,企业用户最好是配置附加的解决方案(例如使用防火墙和虚拟私有网VPN),来保证网络安全。在今后的一段时期内,企业的WLAN将会通过特定的网关,集成为一个新的网络,其目标就是来解决安全、治理、漫游和服务质量(QoS)问题。
第1步:审计。网络安全在WLAN上尤其显得重要,这是因为它很轻易在网络内部增加新的访问节点。保护WLAN的第一步就是完成网络审计,实现对内部网络的所有访问节点都做审计,确定欺骗访问节点,建立规章制度来约束它们,或者完全从网络上剥离掉它们。从短期来看,企业应该使用一些能检测WLAN网络流量(以及WLAN访问节点)的网络监控产品或工具,例如Sniffer Technologies和WildPackets厂家的产品。不过,采取的这些措施能达到的安全程度究竟还是有限的,因为它要求网络治理员要根据WLAN的信号来检测网络流量,知道网络内部的数据流量情况。到2002年末,WLAN的提供商们(例如3Com,Avaya,Cisco,Enterasys和Symbol)将会开发出新的能够检测远程访问节点的网络治理工具。企业用户应该形成一个治理政策,保证网络审计成为一个规范化的行为(至少每三个月检测一次),来限制具有欺骗访问行为的站点恣意进入WLAN。 第2步:认证。因为基于WEP标准的WLAN安全协议并不是可信的,用户必须考虑到提供商可能会留有后门。企业应该增加对WLAN用户的认证功能(例如使用RADIUS)。到2002年末,提供商们将把IEEE 802.1x用户认证标准融入到WLAN产品中,成为解决基于WEP漏洞的一种替代方式。企业用户也可以配置入侵检测系统(IDS),做为一种检测欺骗访问站点的前期识别方式。入侵检测系统还能帮助治理员识别特定的、可能存在安全漏洞的访问点或网段,能够帮助络治理员发现入侵者的物理位置。
第3步:机密性。许多企业并不会要求拥有第二步中提到的其它安全防护层。已经完成了WLAN机密性评估的企业用户就可以决定使用特定的网段来传输那些没有商业价值和不要求加密的信息(例如从货仓中扫描来的条形码数据等)。在这种情况下,使用基本的WEP功能就能完全满足需要,因为这是一种低级加密与低价值信息的结合。不过当用户在WLAN上交换机密商业信息,或者传送个人信息时,VPN(虚拟私有网)就成为保证隐私的最可信赖的方法了。META Group提醒企业用户每个季度对网络使用情况进行一次评估,以决定根据网络流量来改变网络中机密性要求。
许多企业已经拥有VPN,为远程访问提供连接。但是配置VPN并不是一个简单或者仅仅依靠经验的事情,而且目前制约VPN迅速发展的一个重要因素就是其可扩展性,当使用802.11b标准时,VPN网关就很难进行扩展。当前的VPN设备能可能承受40Mbps至100Mbps的IPSec(互联网安全协议)流量(运行3DES加密和SHA-1的哈稀函数)——足够满足远程拔号用户或者DSL用户的使用。对于802.11a来说,每个用户的流量仅能提供到1 Mbps 到 10 Mbps。对于使用802.11b的网络来说,假如要实现基本的网络服务(例如提供电子邮件和HTTP服务),企业在每个100Mbps的VPN网段上最多答应有300到500个用户。当应用软件带宽增加,或者访问点有802.11a节点时,就会降低到每个100M的VPN网段上只能承担100到200个用户。VPN的一些不足:昂贵的网关(10万至50万美元),缺乏普遍存在的客户支持,有限的漫游功能(这由终端设备决定),没有治理控制(因为有隧道流量)。
主要的WLAN提供商目前正忙于提供WEP漏洞的解决方案,包括WEP的后门漏洞、防火墙、入侵检测系统和VPN性能。新成长起来的提供商(例如BlueSocket和Vernier Networks),则把目标瞄准于解决WLAN的可移动性、安全、QoS和治理问题,还有可移植性。不过他们的产品还处在早期阶段。