多層次無線連接安全策略

　　 
　　■ 三文
　　 無線連接策略越來越具有吸引力，然而，許多IT管理員卻認為無線連接缺乏有線網絡的安全性，從而妨礙了對無線連接技術的廣泛使用。

隨著安全問題的頻繁發生，以及所造成的日益嚴重的后果，許多組織機構在無線解決方案能提供真正強有力的保護之前，是不會采用它的。
　　 上述憂慮不無道理。制定Wi-Fi（無線兼容保證）標準的初衷，就是為了保證各種無線設備之間實現互操作，從而方便個人和企業用戶進行連接。所有獲得Wi-Fi認證的產品均具有Wi-Fi 40位共享密鑰的WEP安全性。但它不是一種端到端的安全解決方案，只能提供基本保護。大部分SOHO用戶和企業用戶都需要防止別人竊聽他們的無線網絡，或防止黑客把開放式無線系統做為攻擊目標。WEP安全性足以適應這些用戶的需求，但卻不能滿足更多企業和其他組織機構的需求。畢竟，無線連接缺乏電纜連接所提供的物理保護。
　　 無線局域網市場需要適應兩類不同用戶的不同需求：消費者和企業。通常，消費者把無線連接看作是設置在桌面的獨立網關設備。而企業把無線連接視為一個系統的組成部分，這種系統必須能適應其網絡基礎架構的需要，提供更高水平的保護功能，以確保企業秘密信息、用戶身份和其他資源的安全性。但是，許多Wi-Fi解決方案當前所提供的128位加密技術，不可能阻止黑客蓄意發起的攻擊活動。更有甚者，許多用戶往往會犯一些簡單錯誤。譬如，他們會忘記啟動WEP功能，從而使無線連接成為不設防的連接。另一方面，他們未能在企業防火墻的外部設置AP，結果使不法之徒得以利用無線連接避開防火墻，長驅直入局域網。另外，企業還認為所有Wi-Fi產品均完全相同。實際上，盡管這些產品都符合基本標準，但其中許多產品并不能提供先進的安全功能。
　　 多層保護
　　 下面介紹的各種功能允許企業通過一種系統的多層次保護實現強勁的安全性。首先，組織機構需要對網絡受威脅最大的領域，以及它們所需求的安全等級進行評估。例如，當對外開放的網絡服務器和外聯網服務器含有敏感數據時，它們通常需要的保護超過網絡的其他領域。而且，AP和客戶機之間的無線連接需要采用多層次保護，以加強安全性。同樣，學校管理員和教職員工專用網絡資源需要的安全性將超過學生訪問的網絡。增加保護功能的層次，可以全面抵御各種危險。
　　 如果組織機構擁有IT資源，并要以人工方式定期更換WEP加密密鑰，40位WEP和128位共享密鑰加密技術足以適應這些基本的安全需求，并能抵御最低水平的危險。IT管理員也可以在AP內部創建和維護無線客戶機設備的MAC地址表，并在替換或增加無線設備時，以人工方式改變MAC地址表。然而，WEP是一種共享密鑰環境。它意味著如果用戶密鑰受到破壞，黑客就有可能獲取專用信息和網絡資源。除此之外，隨著網絡規模不斷擴展，IT網絡管理員也將面臨需要加強無線網絡管理的巨大壓力。
　　 為了增加無線安全的層次，企業可以使用“基于用戶”，而不是“基于設備MAC地址”的驗證機制。這樣，即使用戶的筆記本電腦被盜，盜賊如果不掌握筆記本電腦用戶的用戶名和口令，也無法訪問網絡。這種方法簡單易行，因為當今用戶已經習慣了輸入口令。同時，它還將減輕管理負擔，因為不需要以人工方式管理MAC地址表。但企業需要評估和部署AP，以支持基于用戶的驗證數據庫。該驗證數據庫可以通過本地方式，在AP內部進行維護。
　　 為了提供更先進的保護技術，企業可以采用由AP執行管理的動態密鑰管理功能。有些無線供應商提供這種管理功能，以此作為一個附加安全層。這種多層次策略，將保證使每個用戶均擁有一個獨特的密鑰。而且，該密鑰可以經常改變。即使黑客破壞了加密機制，并獲得網絡訪問權，但黑客獲取的密鑰有效期很短暫，從而限制了可能造成的破壞。這種方法因為具有在AP內部設計動態密鑰管理的功能，從而簡化了日益擴展的IT資源的管理負擔。而且，與128位共享密鑰加密技術相比，動態密鑰管理的功能更強勁，因為經常改變密鑰進一步增加了黑客侵入系統的難度。
　　 擴展有線安全性到無線連接
　　 下一代安全產品將利用現行有線網絡基礎架構，實行集中控制。當前，企業已經使用RADIUS和VPN功能為網絡提供保護，從而突破了他們的物理邊界。RADIUS以集中方式驗證遠程用戶，而VPN通過“不可信賴的”網絡提供一種安全可靠的端到端隧道；如果是遠程用戶，這種網絡就是Inte.net；如果是無線應用，該網絡就是無線網絡本身。
　　 企業可以在他們的無線網絡使用這些功能，以便利用現行機制，提高無線連接的安全性。企業不需要管理每個AP內部的MAC地址表或用戶，通過在RADIUS系統內設置單一數據庫，就可以簡化管理，又能提供一種更有效的可擴展集中驗證機制。除上述WEP和MAC地址過濾等兩層安全機制外，VPN可以提供一種增強型三層安全功能。如果企業允許通過無線局域網直接訪問內部系統，就可以把無線局域網移到防火墻的外部，要求用戶通過IPSec VPN以及RADIUS驗證機制訪問網絡。這是一種更加安全可靠的選擇方案。
　　 企業還可以采用IEEE 802.1x安全標準。該標準旨在定義基于端口的網絡接入控制，以便為以太網訪問提供驗證。另外，它還可以用于802.11無線局域網。802.1x通過定義用戶識別、集中驗證和動態密鑰管理等方法，在不同制造商的產品上使用，從而有利于在企業部署安全可靠的無線和有線網絡。
　　 增強保護功能
　　 為進一步利用安全架構增加另一個保護層，企業可以使用標準證書對無線通信執行驗證。該證書允許任何無線通信的雙方相互之間執行驗證。為進一步加強保護，用戶還可在他們的RADIUS系統部署TLS（傳輸層安全）服務，這種服務要求提供證書。為了獲得這些安全功能，企業需要使用支持工業標準xr.519證書的無線系統。
　　 通過以適當的組合形式和規模部署上述安全機制，用戶就能使他們的無線局域網和企業網絡實現無縫集成，保證無線通信的安全，同時利用現有網絡基礎架構和安全資源，減輕IT管理負擔。
　　 為了適應改進安全性和驗證機制的需要，802.11任務組當前還在為Wi-Fi網絡設計一種功能更強大的新型安全標準。除提供各種增強特性外，即將出臺的無線安全標準802.11i將包括一種名為AES（先進加密標準）的新型加密引擎。一旦802.11i實現標準化之后，WECA無線以太網兼容聯盟將把它融入自己的Wi-Fi認證。綜上所述，企業應該考慮使用基于標準的無線解決方案，以便迎頭趕上技術創新的趨勢。只要采用多層次安全策略，企業對無線網絡就可以充滿信心，因為他們知道，這種無線網絡提供的保護功能完全可以滿足其應用需求。

原文轉自：http://www.kjueaiud.com