网络解决方案

保护无线网络的安全

保护无线网络的安全

您可能看不到自己的无线网络,但必须将无线网络的保护作为重中之重。

Fred Sandsmark

耳听为虚,眼见为实,但有一种新兴的商业工具却是人眼无法看到的,这就是无线网络。但是,当我们说到无线网络的安全保护时,却绝对不能因为看不到就想不到。

许多无线网络不但没有得到妥善保护,甚至完全没有保护。毫无疑问,对那些希望部署无线网络的企业来讲,安全性至关重要。幸运的是,无论是用户对安全知识的了解,还是技术厂商提供的解决方案,都在不断进步当中。当今的无线网络都具有全面的安全功能,如果再受到妥善保护,企业将能够放心地享受无线网络带来的各种便利。

Infonetics Research的无线局域网(LAN)首席分析师Richard Webb说:“为改善安全功能,厂商们已经作了大量的工作。另外,用户对无线网络的了解也越来越深入。但是,各种威胁依然层出不穷,各厂商必须继续努力,才能消除人们对无线局域网不安全的误解。”

事实上,安全性是妨碍无线局域网普及的最大障碍。除大公司外,中小公司也十分担忧无线网络的安全性。Jupiter Research的研究主管Julie Ask说:“对无线网络而言,安全性仍然是各类公司最关心的头号问题。”只有加深对无线局域网安全的了解,并大力推广某些最佳实践经验,才能充分享受无线网络带来的各种便利。只有提高了安全性,使数据安全有了保障,使用者才会放心地使用。

无线安全特性

不知是有意还是无意,很多公司和个人在建立无线网络时都没有考虑安全性。部分原因可能是因为多数无线接入点都保留了工厂设置的默认“开放接入”模式,即所有安全特性都是关闭的。购买者应该负责将安全功能开启。

以下三种操作有助于加强对无线网络的保护:利用加密对通过网络的数据进行保护,通过验证防止非法用户接入,以及通过消除假冒接入点防止非法连接。除此以外,部署无线网络的公司还需要解决其它问题。

Jupiter Research的研究助理Ina Sebastian说:“无线局域网遇到的最大安全问题是恶意接入公司无线局域网的外部用户。第二个问题是内部假冒接入点,第三个问题则是加密。”

验证:如果想核实使用无线网络的某个人是否有权接入网络,可以使用验证功能(有时也称为“访问控制”)。唯一的登录名和密码是验证的基础,但也可以利用其它工具提高验证的安全性和可靠性。最保险的验证是在用户与验证源之间执行每用户、每进程相互验证。

假冒接入点:在家里使用无线网络的员工可能希望获得与工作地点相当的自由度。他/她可能会购买便宜的接入点,然后在未经允许的情况下将接入点插入网络插座。这种接入点就称为假冒接入点,大部分假冒接入点都是由员工而不是恶意入侵者安装的。即使是企业批准的接入点,如果配置不当,也可能带来安全风险。

查获假冒接入点并不难,可以使用相应的工具。检查时,可以在一座小楼内用无线笔记本和软件检查,也可以使用管理应用收集接入点的数据。信息技术电信运营商协会的顾问委员会成员Joel Plaut说:“企业能够让技术人员对新的无线接入点实施扫描,如果每天都进行扫描,就能够及早找出假冒接入点。”

加密:为保证数据不被非法读取,而且在接入点和无线设备之间传输的过程中不被修改,可以使用加密技术。从根本意义上讲,加密与密码相似,都是将数据转换成只有合法接收者才能读懂的符号。加密要求发送方和接收方都拥有密钥,才能对传输数据进行解码。多数安全加密都使用非常复杂的密钥或算法,而且密钥必须定期更换才能有效保护数据。

返回顶部

无线安全解决方案

实施安全无线局域网加密和验证的解决方案共有三个:Wi-Fi受保护接入(WPA)、Wi-Fi受保护接入2(WPA2)和虚拟专用网(VPN)。企业选用哪种解决方案取决于需要接入的无线局域网的类型,以及数据的加密等级。

WPA和WPA2:WPA和WPA2是Wi-Fi Alliance为企业、中小企业和小型办公室/家庭办公室无线局域网开发的标准安全认证方法,它能够通过相互验证对每个用户进行验证,是一种先进的加密方法。WPA提供企业级加密,作为第二代Wi-Fi安全特性的WPA2则支持政府级加密。

思科的无线网络业务部产品经理Jeremy Stieglitz说:“我们建议企业和中小企业在部署无线局域网时使用WPA或WPA2,这两种技术不但能提供安全访问控制和强有力的数据加密,还能保护网络免受内外攻击。”

VPN:对于从路途中或办公室以外的其它地方接入无线网络的用户,VPN能提供有效的安全保护。利用VPN,即使加密数据是通过公共互联网等非安全网络传输的,用户也可以使用加密在网络的两个或多个点之间建立安全“通道”。使用拨号或宽带连接的家庭远程员工也可以使用VPN。

返回顶部

无线安全策略

在某些情况下,企业能够为网络上的不同用户、用户组指定不同的安全设置。这些安全设置能够使用接入点上的虚拟局域网(VLAN)建立。例如,企业能为公司内不同的用户组制定不同的安全策略,例如财务部、法律部、制造部和人力资源部。另外,企业还能为接入无线局域网的客户、合作伙伴或访问者另行制定安全策略。这样,企业就能用一个接入点支持安全设置和要求都各不相同的多个用户组,而且可以有效保持网络的安全性。

在考虑整个网络的安全性和网络管理时,也必须考虑无线网络的安全性。Sebastian说:“正在或将要部署无线局域网的大部分企业都希望将无线网络作为有线网络的补充,因而不但需要将有线网络与无线网络集成在一起,还要求采用统一的管理方式。”统一的管理系统能够提高网络管理员的工作效率。资源稀缺的中小型企业能够利用管理工具简化并自动完成很多耗时的重复性管理任务。

即使与整个网络管理系统集成在一起,无线局域网安全特性也必须开启才能生效,而且整个无线局域网要以统一的方式使用。因此,用户策略也是提高安全保护能力的重要部分。制定无线局域网安全策略时,要防止过度倾向。Plaut说:“第一种策略是不使用无线,但问题是,无线确实能够为企业带来很多工作上的便利。”

企业遇到的挑战是,必须制定一种既比较简单,使每个人都易于遵守,又十分安全,能够有效保护网络的无线局域网用户策略。目前,由于WPA和WPA2已经集成到Wi-Fi认证接入点和客户设备中,因而很容易实现这两方面的平衡。

无线局域网安全策略还应该包括,员工可以在什么时候、以什么方式使用公共热点,是否允许员工在公司无线网上使用个人设备,禁止使用假冒设备,以及员工应当使用严格的密码策略等。

返回顶部

使用步骤

保护无线网络的第一步是,运行无线设备携带的软件程序,打开接入点和接口卡上的安全特性。

在打开无线安全特性的程序中,还能够看到接入点使用的固件的版本。(固件指接入点或路由器等设备使用的软件。)如果想获得最新的固件版本,可以访问设备制造商的Web站点,然后更新接入点的固件。更新后的固件能够提高无线网络的安全性和可靠性。

另外,还应该检查硬件厂商提供的安全资源。例如,思科提供的一系列硬件和软件产品能够增强无线安全性和简化网络管理。

并不是所有希望享受无线网络便利的人都具有部署和维护安全无线局域网的兴趣和能力。在这种情况下,增值经销商、网络部署商或其它无线网络设备供应商可以帮助企业完成这些任务。某些中小型企业情愿将安全管理服务外包出去,其中包括无线安全服务。根据Jupiter Research的调查,有13%的公司希望将无线安全服务外包出去,而希望外包整个网络管理服务的比例为18%。

无论采用哪种方式,都必须做得井然有序。Jupiter的Ask说:“与网络管理相似,安全性也必须经过良好规划才能有效,包括覆盖范围和接入方式等。但无论如何,安全性都不应该成为企业部署无线局域网的障碍。”

下一步

如需详细了解思科为中小型企业开发的Cisco Aironet无线网络解决方案,请访问:cisco.com/go/iq-powerwireless。

如需详细了解Cisco SWAN,请访问:cisco.com/go/iq-swan。

如需详细了解思科无线安全套件,请访问:cisco.com/go/iq-aironetsecurity。

返回顶部

来自思科
思科能够简化无线安全保护

思科利用思科无线安全套件和思科兼容扩展计划全面支持WPA和WPA2,并为各类企业提供了安全无线局域网接入和数据加密。由于Cisco Aironet接入点支持多个VLAN,因此,企业能够建立要求各不相同的多个安全用户组。

为执行假冒接入点检测和高级无线局域网管理功能,思科开发了用于集成和扩展有线和无线网络的框架——思科结构化无线感知网络(SWAN)。思科SWAN能够将“无线感知性”扩展到网络基础设施中的很多重要环节,因而能够为无线局域网提供可与有线局域网媲美的安全性、可扩展性、可靠性、易于部署性和管理简单性。

利用思科SWAN,客户能够选择部署集成的或专用的无线局域网入侵检测系统(IDS)。另外,思科还在与AirDefense合作,利用Cisco Aironet接入点和CiscoWorks无线局域网解决方案引擎扩展无线IDS功能。

思科无线网络业务部市场经理Bill Erdman说:“在思科解决方案中添加高级AirDefense IDS之后,用户将能够借助行为分析、历史报告、讨论归档及其它先进的IDS特性获得全面的入侵检测和保护功能。”——F.S.

作者介绍:FRED SANDSMARK定居在圣弗朗西斯科海湾地区,是iQ杂志的正式撰稿人。

返回顶部

联系我们