【IT168 专稿】当企业移动上网的需求开始增长时,安全风险也就同时产生了。尽管目前已经有了针对特定安全问题的解决方案,不过我们还需要利用企业有线网络已存在的安全基础设施,对WLAN安全问题进行整体分析。
企业WLAN的发展
企业WLAN引起关注是从一个简单需求开始的,当时有人要求提供一个便宜的接入点(access point),以满足家庭或小型办公室的上网需求。WLAN部署增长的背后有两个推动力。第一个推动力始于增强生产力,通过为使用有无线功能笔记本电脑的员工或客户提供网络接入服务而实现。
第二个推动力是通过技术进步实现的。在802.1n标准等技术进步的推动下,出现了用无线基础设施代替有线基础设施的需求浪潮。
随着无线上网的速度提高到170 Mbps和建设企业范围内的无线网络能力的提高,无线技术的性能被认为已经好的足以替代有线技术了。此外,达到非常好的网络覆盖范围的工具已经开发完成,可以避免重复并更好地利用频谱,以便基站覆盖范围重叠,并使性能最大化。虽然WLAN看上去重点是为了提高性能,不过其真正的目标是更高灵活性所产生的生产力的提高。
移动上网风险日益增长
然而,移动上网面临着一系列的安全风险和问题。由于无线上网的终端不是固定不变的,相对于无线网络,企业对于有线网络的安全性更加放心。企业的有线网络被保护在大门和围墙里面,还有门禁卡和用户身份验证等基础设施的防护。由于无线网络能被楼内的人访问的同时,也能够轻易地被楼外的人访问,因此无线网络比有线网络更容易遭到探测和各种形式的匿名攻击。
目前已经开发了很多技术来解决这些问题,如从WEP转向到使用LEAP、WPA、802.1x,以及在客户端和接入基础设施嵌入IPSec VPN等各种措施。所有这些技术措施都有自己的局限性。WEP加密技术已经能被破解。
由于失败的代价高昂,非公司人员的接入也是企业WLAN的一大问题。如果他们使用无线上网并进行非法操作,提供无线网络接入的企业就要承担法律后果。如果无线网络被非法入侵,或者重要数据库被非法进入,给企业带来的负面影响将更加严重,将包括罚款、法律诉讼和名誉损失等。
IT部门需要知道使用无线网络的笔记本电脑是企业员工的还是客户的。笔记本通过无线网络访问企业网络时需要进行严格加密。IT部门应该使用现有的基础设施(如活动目录等)对员工进行身份验证,最好对客户也能进行同样的验证。
利用现有的有线基础设施
目前许多企业WLAN的解决方案已经具备了解决这些问题的一些功能。不幸的是,与常用的有线网络安全方案相比,多数无线解决方案价格昂贵,功能也不够完善。
在无线世界里,往往当问题出现时总是单独解决,也就是说解决方案不能解决WLAN安全的所有问题。不足为奇的是,多数解决方案都是各行其事的,只有供应商提供完整的解决方案才能获得最好效果。市场不断变化的特性要求这些移动产品不断的更新和升级基础设施,以充分利用必要的技术改进。
在这种情况下,不妨看看是否可以采取其他的方式来解决问题。在有线世界里,各种基础设施的例子不胜枚举,以惊人的速度进行大量的数据包交换工作的是二层交换机,进行连接网络工作的是三层交换机或路由器,进行身份验证的是活动目录、LDAP和RADIUS等验证基础设施,还有防火墙和存取控制表等验证基础设施、提供记录和报告的问责制基础设施等,还有像IPSec和SSL VPN等可以提供从外部网络到内部网络的连接桥梁的接入技术,当然也有NAC基础设施、端点安全、IDS/IPS等。
考虑到所有这些基础设施和技术的现有投资,以及这些基础设施背后的大量有线和远程用户的部署,如果让WLAN基础设施利用二层和现有技术来提供更多的功能,不是很有意义吗?如果我们能够做到这一点,就可以拥有便宜的接入点,也不需要使用比二层/三层交换机更好的控制器。这将显著降低企业无线部署的成本,企业可以混合搭配使用不同供应商的技术,避免了锁定和大规模升级的风险。
幸运的是,便宜的替代办法就可以使企业做到这一点。NAC技术已经成熟,它可以自动接入端点并分辨是企业接入还是客户接入。NAC与SSL的融合使传输路径确保全天侯加密。活动目录、LDAP和RADIUS等认证基础设施的整合可以提供对员工的验证。内置的虚拟化技术和客户自动重定向至不同的虚拟端口,消除了为客户和员工使用单独SSID或者单独客户接入设备的需要。某些SSL VPN上的默认路由和VLAN技术可以确保完全区分客户流量与企业流量,并确保只有通过这个框架才能接入其他位置。
对身份验证问题的关注
大量的身份验证框架允许客户通过登记接入无线网络,登记账号被视为与用户的真实身份相关的固定象征。这可以通过客户登记程序来实现,就像住旅馆之前先要到前台登记一样。登记程序可以区分不同类型的客户,比如有些是仅仅来参加会议的临时性接入客户,有些是参与项目实施的相对长期的接入客户。不同类型的客户对接入方式的需求也是不一样的。对于临时参加会议的客户只需提供上网功能即可。对于参与项目实施的相对长期的客户,还需要为他们提供接入企业网络特定应用软件的权限,但是处于同一网络中的企业员工肯定比所有的客户拥有的权限都更多更全面。
接入登记真正需要的是区别用户身份的功能。其执行应该是自动和无痛的。当法律或上级主管机关要求提供用户线索时,登记上网时提供的大量的注册信息可以证实用户身份,并据此了解用户行为。
结论
通过使用当前市场上现有的有线产品,企业可以避免昂贵的锁定成本,并能在必要时保持性能改进,还不会在安全性上有任何损失,并能满足问责制的要求。