咨询热线:400-000-3720 中文 | English
您现在的位置: 安腾软件 >> ITEN博客 >> 正文

构建安全的无线局域网

无线局域网(WLAN)正在迅速发挥它们在帮助企业提高员工效率方面的巨大潜力,并凭借随时随地的连接能力为客户提供更出色的服务。例如,员工可以将笔记本电脑和PDA从自己的办公桌上拿到会议室或自助餐厅中,同时保持在线状态;餐厅服务生可以无线记录客户的菜单,不必在厨房内跑来跑去;仓库工人可以无线处理存货;土木工程师可以在建筑工地检索建筑物图纸……不同行业和工作场所应用无线局域网的例子还有很多很多。

  使用射频(RF)技术,无线局域网通过空气发送和接收数据, 大限度减少了对有线连接的需要。它的优势就在于能够轻松快速安装。例如,员工能够很轻松地改变无线局域网设备的位置,从而让办公室布局焕然一新。在发生紧急情况(如自然灾难)时,谁还有时间拔掉电话线和其它线缆?无线局域网使这一切不复存在,从而将破坏降低到 低限度。小巧便携的无线局域网基站可以在 短的时间内安装完毕。基站或接入点是无线局域网的桥梁,将无线局域网客户连接到网络上。

  安全方面的考虑安全性是广泛部署无线局域网需要考虑的主要问题之一。因为无线局域网使用无线电波传输数据信号,所以较易受到攻击。无线电波能够穿透墙壁和隔板,使黑客有机会截获电波并进入未受保护的公司局域网。

  尽管无线局域网不是100%安全,但是有许多解决方案能够提供安全保护,如虚拟专用网(VPN)、IPSec加密和利用IEEE 802.1x的EAP(可扩展鉴权协议)。所有这些解决方案都使实施者能够享受到使用无线局域网的优势,而不必牺牲安全性。VPN是目前市场上 安全的解决方案,能够阻止无线黑客入侵公司局域网或从汽车、建筑物内、甚至建筑物附近截取机密信息。

  以保护无线局域网安全为己任的网络管理员应该慎重考虑鉴权和保密性。无线局域网无线电波在整个企业内部传播,有时会传播到企业外部,使保护网络安全成为一项艰巨任务。

  鉴权鉴权是通过使用数字证书或令牌识别服务器用户的过程。为了获得更出色的安全性,企业可以在每个彼此鉴权的用户和服务器处部署相互鉴权机制,以阻止所谓的“内部用户攻击”。利用相互鉴权,没有必需数字证书的黑客将不能通过鉴权程序,从而不被允许访问无线网络。目前市场中的大多数无线基站都支持EAP 802.1x鉴权。利用EAP,企业可以选择实施TLS(传输层安全)或TTLS(隧道传输层安全)协议来保护鉴权服务器和无线用户之间的相互鉴权。

  除了使用EAP 802.1x,企业还可以部署VPN来支持鉴权和加密要求。通常的做法是将无线局域网设置成单独的局域网部分,并通过VPN网关将该部分连接到公司局域网上。利用VPN,所有无线用户在得到许可访问公司局域网之前首先由VPN网关进行鉴权。VPN网关只向拥有机器中所具有的有效软件证书或令牌的用户授权。客户机到VPN服务器的数据包使用IPSec加密。因此黑客将无法破解这些数据包的内容。这些安全措施需要额外的程序(如要求用户登录VPN网关、在所有无线机器上安装VPN客户端程序)。

  保密性IEEE 802.11标准使用有线等效保密(WEP)加密技术。它的基础是使用40位密钥和RC4加密算法。不知道WEP密钥的用户将发现自己被排除在网络通信之外。

  不幸的是,现在有很多方法可以算出WEP加密密钥。一旦密钥被人获得,它就可以用于破解信息。有很多工具可以攻击WEP加密。英特尔建议使用支持802.11a和802.11b WLAN的VPN解决方案增强无线安全性。

  IEEE 802.11TGi (任务组I)委员会已经制订了临时密钥完整性协议(TKIP),作为过渡解决方案。TKIP像WEP一样基于RC4加密,但以另一种方式实施,解决了WEP目前存在的脆弱性。它提供了快速更新密钥的功能。利用TKIP,随着各个厂商计划推出TKIP固件补丁,消费者在无线局域网硬件上的投资将得到保护。

   后,IEEE 802.11TGi正在开发一个使用AES (高级加密标准)的新协议,以实施更强大的加密和信息完整性检查。IEEE 802.11i预计将采用IEEE 802.1x鉴权。

  正在进行的开发

  互操作性和漫游尽管802.11a和802.11b是在不同频带上工作,但同时支持802.11a和802.11b的双模基站已经在市场中出现,使两种网络中的用户能够进行通信。英特尔公司已经推出了支持802.11a和802.11b技术的双模无线网卡。这些产品设能够推动从2.4GHz 802.11b网络向更快的5GHz 802.11a WLAN过渡。

  Intel Pro Wireless Proset Utility允许用户创建不同的无线简档,以在不同的无线局域网位置使用,而自动简档扫描功能还使用户能够选择在每个位置所使用的适合简档。

  漫游可以分为三类:在企业内不同基站之间漫游;在同一运营商提供的不同热点(hotspot)之间漫游;以及在不同运营商提供的热点之间漫游。

  在一个企业无线局域网中,在不同接入点之间的漫游被作为802.11b协议的一部分进行处理。当在同一运营商提供的不同热点之间漫游时,用户可能需要在新热点重新登录,以便在新热点与前一热点相距较远时获得一个新的IP地址。例如,如果您离开酒店的热点漫游到相距10千米之遥的机场热点,您就可能需要重新登录。

  然而,如果用户在由不同运营商服务的不同国家或地区的不同热点之间漫游,在各热点运营商之间必须达成双方协议。此外,运营商们的后端设备必须能够跟踪漫游用户,以进行计费。

  有时,需要第三方公司作为清算机构并提供必要的鉴权和计费服务,以支持在不同运营商运行的热点之间的漫游服务。无线局域网基础设施提供了基本的互联网连接。使用VPN建立返回公司网络的安全隧道的外出用户还应安装杀毒软件及个人防火墙,以使他们的数据链路在漫游期间免受黑客攻击。

  即将推出的解决方案IEEE 802.11工作组正在制订802.11i标准。这个安全标准将包括增强的加密格式和鉴权机制,如RADIUS、Kerberos和IEEE 802.1x。IEEE 802.11i的许多安全增强特性都可以通过固件升级来完成,而有些必须通过硬件来完成。

  802.11i将解决无线安全问题。大多数制造商都将在这些标准制订完毕时进行实施。此外,他们还必须提供在不同厂商的无线局域网产品之间的互操作性,并确保他们的产品符合802.11i标准。

  未来之路

  企业无须等到802.11i安全标准 终完成才开始部署无线局域网。随着无线局域网覆盖的热点数量的不断增长,公司移动员工均装备了VPN客户机以宽带接入,无线连接已成为一个日益普及和安全的解决方案。

  公众接入无线局域网现在已经部署在机场、酒店、会议中心,甚至是饭馆中。这些热点使带有支持802.11b的电脑的员工能够通过共享11Mbps链路连接到基于互联网的服务和公司网络。

  在等待802.11i标准问世的同时,管理员们应部署无线VPN作为过渡解决方案。VPN将提供比基于WEP的加密机制更强大的安全性。

  无线局域网补充了现有的有线解决方案。采用现有有线解决方案的企业应该在公共地点(如会议室、会场、食堂或餐厅)部署一个无线局域网。因为用户在这些场所也能够自由地检索信息,工作效率大大提高。

  附录:无线局域网的发展

  像所有IEEE 802标准一样,802.11标准也是以ISO模型 低的两层为中心:物理层和数据链路层。所有局域网应用、网络操作系统或协议(包括TCP/IP)在符合802.11-标准的WLAN上运行都将像在以太网上运行一样轻松。目前已有多个标准制订完成或正在制订之中,以满足用户对带宽和安全性不断增长的需求。

  802.11a–802.11a是802.11标准家族的扩展,在5GHz频带工作。该标准使用正交频分多路复用编码方案,而不是802.11b的直接序列扩频传输技术,利用8个无重叠信道提供高达54Mbps的速度。

  802.11b or Wi-Fi–作为高速无线标准的发展结果,802.11b提供了完全类似以太网的数据速率-11Mbps,并已经成为公司内部无线局域网网络的主要标准。它工作在2.4GHz频带,支持3个无重叠信道。

  802.11g–802.11g标准的草案已经完成,但尚未得到IEEE的批准和联邦通信委员会的批准。802.11g使用与802.11a相同的编码方案,并将能提供与802.11a相同的速度。它在2.4GHz频谱内工作,将可兼容现有的802.11b基础设施。

  蓝牙技术-英特尔是蓝牙标准的主要推动者和支持者。蓝牙技术是覆盖范围为10米的个人域网络的理想解决方案。像802.11b一样,蓝牙也在2.4GHz频谱内工作(全球均可使用这一频谱),并使用扩展频谱技术提供高达1Mbps的传输速度。

  用户应选择 适合其企业需要的标准。802.11b标准是常规办公环境或无线家庭网络的理想选择。更高带宽的802.11a则适用于需要视频点播或视频数据流应用(如电子学习)或CAD-CAM设计应用的用户。然而,802.11g还需要进一步完善,因此不同的802.11g产品之间还可能存在互操作问题。