多元化的无线安全策略
面对形形色色的无线安全方案,用户需要保持清醒:即使最新的802.11i也存在缺陷,没有一种方案就能解决所有安全问题。例如,许多Wi-Fi解决方案当前所提供的128位加密技术,不可能阻止黑客蓄意发起的攻击活动。许多用户也常常会犯一些简单错误,如忘记启动WEP功能,从而使无线连接成为不设防的连接,用户没有在企业防火墙的外部设置AP,结果使攻击者利用无线连接避开防火墙,入侵局域网。对于用户来说,与其依赖一种安全技术,不如选择适合实际情况的无线安全方案,建立多层的安全保护机制,这样才能有助于避免无线技术带来的安全风险。
企业用户通常把无线连接视为一个系统的组成部分,这种系统必须能适应其网络基础架构的需要,提供更高水平的保护功能,以确保企业信息、用户身份和其他网络资源的安全性。企业用户需要对无线网络受到的威胁以及无线网络所需求的安全等级进行评估,尤其需要保护含有敏感数据的对外开放的网络服务器,它们需要的安全保护往往要超过网络中的其他服务器。同时,企业用户需要在AP和客户机之间建立多层次保护的无线连接,以加强安全性。
40位的WEP和128位共享密钥加密技术能够提供基本的安全需求,并能抵御最低水平的危险。IT管理员也可以在AP内部创建和维护无线客户机设备的MAC地址表,并在替换或增加无线设备时,以人工方式改变MAC地址表。由于WEP是一种共享密钥,如果用户密钥受到破坏,黑客就有可能获取专用信息和网络资源。随着网络规模的不断扩展,IT管理员需要加强无线网络的管理工作。
为了增加无线网络的安全机制,企业可以使用“基于用户”,而不是“基于设备MAC地址”的验证机制。这样,即使用户的笔记本电脑被盗,盗贼如果没有笔记本电脑用户的用户名和口令,也无法访问网络。这种方法简单易行,同时还会减轻管理负担,因为不需要以人工方式管理MAC地址表,但企业需要评估和部署AP,以支持基于用户的验证数据库。该验证数据库可以通过本地方式,在AP内部进行维护。
企业可以启动由AP执行的动态密钥管理功能。有些无线供应商提供这种管理功能,以此作为一个附加安全层。
这种多层次策略,使每个用户均拥有一个独特的密钥,该密钥可以经常改变。即使黑客破坏了加密机制,并获得网络访问权,但黑客获取的密钥的有效期很短暂,从而限制了可能造成的破坏。这种方法因为具有在AP内部设计动态密钥管理的功能,从而简化了日益扩展的IT资源的管理负担。与128位共享密钥加密技术相比,动态密钥管理的功能更强劲,因为经常改变密钥进一步增加了黑客侵入系统的难度。
具体来来说,用户只需采取以下措施,就可以将无线网络的安全风险大大降低。一是控制无线客户机,实现WLAN网卡的标准化,防止WLAN网卡被任意改动;二是像对待Internet那样,对待WLAN,在WLAN和有线网络之间安装防火墙,阻止非授权的WLAN用户向有线网络发送二层数据包;三是保护接入点,将接入点隐藏在不容易被发现的地方,防止被非法篡改;四是防止无线电波“泄漏”到站点之外,用户可以利用各用措施“改变”无线电波的形态,在站点边缘尤其需要用户这么做;五是不要仅依靠WPA,这是因为WPA仍然使用流密码加密无线数据流,而没有使用更安全的分组密码;六是使用VPN,IPSec VPN或SSL VPN仍被视为是最佳的保护技术;七是利用第三方无线安全控制器完善VPN;八是选择合适的EAP方式;九是监测网络,利用分析器和监测器分析WLAN无线数据流,发现未经授权的接入点,并且根据需要阻止或断开客户机,以及检测入侵者。
总之,只要结合企业实际,合理组合安全机制,用户就可以回避无线网络的风险而享受到无线接入的便捷。