無線局域網考慮三個基本的安全服務：審計、認證和機密性

2019-11-05 02:38:33

字體：大中小

來源：轉載

供稿：網友

　　自從1999年9月份IEEE（電子和電氣工程師協會）批準了802.11b標準以來，WEP（Wired Equivalent PRivacy，有線對等保密）就成為無線局域網上應用的主要的加密機制，來對無線局域網上的數據流進行加密。不過目前許多企業并沒有啟動WEP，主要是因為WEP的密鑰治理和配置起來過于繁瑣。盡管META Group已經承認了一些與WEP有關的漏洞，不過最近報道的一些攻擊行為證實，該保密機制的漏洞要比并想象中的還要多。所以企業用戶必須依據使用環境的機密要求程度，來對使用的應用軟件進行評估。切入點是從無線局域網的連接上開始，考慮三個基本的安全服務：審計、認證和機密性。
　　
　　從短期的解決方案來看，用戶應該對已存在的WLAN的安全性重新進行評估。一些企業用戶已經推遲或終止了在WLAN上WEP的開發和應用。在以后的12至24個月內，即在完整的解決方案出臺之前，企業用戶最好是配置附加的解決方案（例如使用防火墻和虛擬私有網VPN），來保證網絡安全。在今后的一段時期內，企業的WLAN將會通過特定的網關，集成為一個新的網絡，其目標就是來解決安全、治理、漫游和服務質量（QoS）問題。
　　
　　第1步：審計。網絡安全在WLAN上尤其顯得重要，這是因為它很輕易在網絡內部增加新的訪問節點。保護WLAN的第一步就是完成網絡審計，實現對內部網絡的所有訪問節點都做審計，確定欺騙訪問節點，建立規章制度來約束它們，或者完全從網絡上剝離掉它們。從短期來看，企業應該使用一些能檢測WLAN網絡流量（以及WLAN訪問節點）的網絡監控產品或工具，例如Sniffer Technologies和WildPackets廠家的產品。不過，采取的這些措施能達到的安全程度究竟還是有限的，因為它要求網絡治理員要根據WLAN的信號來檢測網絡流量，知道網絡內部的數據流量情況。到2002年末，WLAN的提供商們（例如3Com，Avaya，Cisco，Enterasys和Symbol）將會開發出新的能夠檢測遠程訪問節點的網絡治理工具。企業用戶應該形成一個治理政策，保證網絡審計成為一個規范化的行為（至少每三個月檢測一次），來限制具有欺騙訪問行為的站點恣意進入WLAN。第2步：認證。因為基于WEP標準的WLAN安全協議并不是可信的，用戶必須考慮到提供商可能會留有后門。企業應該增加對WLAN用戶的認證功能（例如使用RADIUS）。到2002年末，提供商們將把IEEE 802.1x用戶認證標準融入到WLAN產品中，成為解決基于WEP漏洞的一種替代方式。企業用戶也可以配置入侵檢測系統（IDS），做為一種檢測欺騙訪問站點的前期識別方式。入侵檢測系統還能幫助治理員識別特定的、可能存在安全漏洞的訪問點或網段，能夠幫助絡治理員發現入侵者的物理位置。
　　
　　第3步：機密性。許多企業并不會要求擁有第二步中提到的其它安全防護層。已經完成了WLAN機密性評估的企業用戶就可以決定使用特定的網段來傳輸那些沒有商業價值和不要求加密的信息（例如從貨倉中掃描來的條形碼數據等）。在這種情況下，使用基本的WEP功能就能完全滿足需要，因為這是一種低級加密與低價值信息的結合。不過當用戶在WLAN上交換機密商業信息，或者傳送個人信息時，VPN（虛擬私有網）就成為保證隱私的最可信賴的方法了。META Group提醒企業用戶每個季度對網絡使用情況進行一次評估，以決定根據網絡流量來改變網絡中機密性要求。
　　
　　許多企業已經擁有VPN，為遠程訪問提供連接。但是配置VPN并不是一個簡單或者僅僅依靠經驗的事情，而且目前制約VPN迅速發展的一個重要因素就是其可擴展性，當使用802.11b標準時，VPN網關就很難進行擴展。當前的VPN設備能可能承受40Mbps至100Mbps的ipSec（互聯網安全協議）流量（運行3DES加密和SHA-1的哈稀函數）——足夠滿足遠程拔號用戶或者DSL用戶的使用。對于802.11a來說，每個用戶的流量僅能提供到1 Mbps 到 10 Mbps。對于使用802.11b的網絡來說，假如要實現基本的網絡服務（例如提供電子郵件和HTTP服務），企業在每個100Mbps的VPN網段上最多答應有300到500個用戶。當應用軟件帶寬增加，或者訪問點有802.11a節點時，就會降低到每個100M的VPN網段上只能承擔100到200個用戶。VPN的一些不足：昂貴的網關（10萬至50萬美元），缺乏普遍存在的客戶支持，有限的漫游功能（這由終端設備決定），沒有治理控制（因為有隧道流量）。
　　
　　主要的WLAN提供商目前正忙于提供WEP漏洞的解決方案，包括WEP的后門漏洞、防火墻、入侵檢測系統和VPN性能。新成長起來的提供商（例如BlueSocket和Vernier Networks），則把目標瞄準于解決WLAN的可移動性、安全、QoS和治理問題，還有可移植性。不過他們的產品還處在早期階段。

上一篇：無線局域網再傳安全漏洞

下一篇：保護你的無線局域網：解決方案