保护你的无线局域网:做出决策
添加时间: 2005-11-4 6:44:26 作者: 网络教程 阅读次数:46 来源: http://www.d9soft.com
巡视网络
搜寻并制止未经许可的无线访问是具备安全意识的网络管理员的一项重要工作。高级的无线探测工具(如Network Associates的Sniffer Wireless、WildPackets的AiroPeek、BVSystems的Grasshopper以及Wavelink的MobileManager)使网络管理员能够很容易地找出有问题的接入点,验明这些AP是否安全。使用信号强度计只需稍微侦测一下就能找到接入点的位置,从而保护网络的安全。由于非法的WLAN入侵可能会在任何时候出现,所以这种方法不能捕获所有的安全漏洞,但可以帮助网络管理员了解可能会出问题的范围。所以Gartner建议网络管理员们马上就布署基于嗅探器的安全措施。
你是否控制了WLAN信号的物理分布?
无限局域网所使用发射机的功率以及天线的效率相对来说都比较较弱,所以覆盖面积一般都在500英尺以内。所以在安装密度不高并且建筑物低矮或者范围较宽的地方,物理上的安全控制也许足以确保不会有未经授权的个人能够拦截WLAN的通讯传输。
企业可以使用无线电频率探测器进行覆盖半径检查,以判断这种级别的保护是否足够,但是AP位置的改变或者对建筑物进行整修随时都有可能改变信号的分布。Gartner建议企业保护WLAN不仅仅要靠物理上的安全措施,同时至少还要启用标准的WEP安全措施。
你需要不同厂商的NIC/AP能够互相操作吗?
目前符合802.11b标准,使用WEP的WLAN产品所能提供的安全级别不足以保护暴露在WLAN信号之中并且延伸到公共区域的敏感商业信息。有几家厂商开发了专有的、增强的WLAN安全功能,预计有可能在2002年802.11标准中获得批准。然而,在新标准最终得到落实和广泛实施之前,预先布署其中的某种产品必须使用同一个厂家的网卡。这种方法对于办公室的应用来说是可以接受的,在这种情况下要由同一个布署接入点的信息服务机构为所有的用户提供网卡。Gartner相信推行单一厂家的标准能够以最小的成本得到最高的安全保障。
但是有些情况下又不得不采用不同厂商的AP/NIC,并让它们能互相访问,比如其他部门有可能使用其他厂商的AP/NIC,又比如专业服务公司的顾问可能需要访问客户的网络。
下一代的WLAN安全标准
为了补救WEP在安全性上的不足,IEEE 802.1x安全性工作小组已经提交了一个新的方法,正等待批准。新标准为每个用户和每个会话准备不同的密匙,并且密匙支持128 bit的长度。802.1x还支持远程拨号用户签名服务(RADIUS)以及集中式的Kerberos用户签名、验证和记账,并且实现了更强的协议。这些将能为无线传输的信号提供更强的安全性,并且使得远程访问授权和访问控制能够应用在WLAN上。
Cisco、微软、3Com、Enterasys Networks、Poxim、Agere Systems、SymbolTechnologies、Intersil以及其他一些公司已经宣布支持这一新生的标准。Gartner相信这个标准将会在2002年一季度通过,互操作的实现(有70%的可能性)将在2002年出现。
为了在支持互操作性的同时又不降低WEP的安全级别,Gartner建议企业把这些使用不同厂商网卡的接入点通过VPN网关放在一个有防火墙保护的隔离区(DMZ)中,并且要求VPN客户习惯于在无线连接上提供VPN隧道。这样就可以使企业在支持符合802.11b标准的网卡的同时又能确保签名和加密的强度能够满足公司内部的标准。在复杂的环境中,为每个接入点布署VPN服务器的费用还是很高的。一些厂商如Proxim可以为处理这一类的环境提供。
上下文章:
上一篇文章: 局域网理论上的小常识 下一篇文章: 测试局域网是否通畅简易方法
相关文章: