要实现安全的无线网络,用户需要采用与VPN网络相同的设计方法。多数情况下,无线网络实际上是远处访问VPN的一部分。下面不再重复与VPN相关的讨论,只介绍与无线访问相关的特性和配置思路。
无线LAN的身份功能,包括认证和访问控制功能。使用EAP进行认证的802.1x标准获取了广泛的认同,应当考虑与AAA机制联合提供身份保护。通过使用WEP或TKIP,无线网络提供数据包原始完整性。由于WEP的功能有限,实施无线网络时最好有关于无线AP和客户端的最新软件来应用TKIP。WEP提供了机密性,但是该算法很容易被破解。而TKIP使用了更强的加密规则,可以提供更好的通信机密性。另外,一些实际应用可能会考虑采用IPSee ESP来提供一个安全的VPN隧道。
无线网络有着与其他网络相同的需要,就是要求最少的停机时间。不管是由于DoS攻击还是设备故障,无线基础设施中的关键部分仍然要能够提供无线客户端访问。保证这项功能所花费资源的多少主要取决于保证无线网络在房屋内正常运行的重要性。有些时候,比如在机场休息室或咖啡厅,不能给用户提供访问只会给用户带来一点不方便。而一些公司越来越依赖于无线访问进行商业运行,以此需要提供更富有弹性的服务来避免网络瘫痪的情况发生。除了冗余的特性,如负载平衡和热备用,无线网络还有更多的可用性问题需要考虑,主要是关于信号强度的损失以及相关访问点(AP)的连通性丢失等问题。通过迅速与另一个访问点重新建立安全的连接,可以减少丢失的会话,可以很大程度地提高可用性。
审计工作是确定无线网络配置是否适当的必要步骤。如果对通信数据进行加密,则不要只依赖计数器来现实通信数据正在被加密。就像在VPN网络中一样,应该在网络中使用通信分析器来检查通信的机密性,并保证任何有意无意嗅探网络的用户不能看到通信的内容。为了实现对网络的审计,网络管理员需要一整套方法来配置、收集、存储和检索网络中所有AP及网桥的信息。网络管理者必须有能力配置AP和网桥,监控无线局域网(WLAN)设施的性能和可用性,并生成容量计划和客户追踪报告。能够同时对多个AP上的软件进行升级或降低也是很重要的。
一个典型的安全无线网络,实际上是对远程访问VPN的扩展,在无线网络中,用户成功通过认证后,可以从RADIUS服务器获取特定的网络访问模块,并从中分配到用户的IP。在无线用户连接交换机并访问企业网络前,802.1x和EAP软件提供了对无线设备和用户的认证。另外,如果需要加密数据,应在无线客户端和VPN集中器之间使用IPSee。小型网络也许仅采用WEP对AP和无线客户端之间的信息进行加密,而IPSee提供了更优越的解决方案。Cisco Works的WLSE/RMS解决方案可以用来管理WLAN。同样,在网络边界安装入侵检测设备,可以帮助检测网络通信,检测对企业网络的潜在攻击。
