無線網絡一度被認為是黑客和惡意攻擊的游戲場。然而,無線網絡正在快速地成為比有線網絡更安全的通信手段。
通過使用VPN、WPA(Wi-Fi保護接入)和采用802.1x的WPA2等加密和身份識別技術,無線局域網等于不安全的局域網的理論已經過時了!
位于猶他州Midvale的市場研究公司BurtonGroup的高級分析師BillTerrill表示,在很多情況下,你的無線網絡比你的有線網絡更安全!
Terrill說,無線網絡的安全漏洞一般不是產品不安全的結果,而是網絡管理員沒有使用合適的工具發揮他們的優勢的結果。他說,對WLAN最大的威脅是那些沒有打開安全功能和監視網絡的網絡管理員。企業沒有無線網絡安全措施是沒有道理的。
CoreCompetence公司副總裁和SearchNetworking.com網站專家LisaPhifer表示,他們最大的威脅是WLAN有可能被當成入侵公司有線網絡的一個途徑。
評估這些威脅
Phifer說,這種擔心說明,欺騙性接入點檢測系統越來越受歡迎,以阻止防火墻內部的雇員安裝欺騙性接入點或者防止雇員意外地連接到臨近的或者正在實施攻擊的接入點。她說,欺騙性的接入點可繞過現有的網絡防御措施!
Phifer表示,一個機構對這些活動的主要防御措施是無線活動監視和事件反應。目前,有很多無線入侵檢測和防御系統能夠幫助企業發現在空中、企業駐地內部和附近正在發生什么事情!
Phifer說,有些產品還提供了自動反應能力,如使用無線或者有線遏制技術切斷可疑的欺騙性接入點或者使用本地工具跟蹤那個接入點!
黑客在很大程度上已經不像過去那樣令人們擔心了。802.11i、802.1x和WPA2等協議最近對無線安全的改善已經消除了人們最擔心的數據保密性的威脅,并且提供了一些實施更嚴格WLAN接入管理和用戶身份識別的簡單方法!
Phifer說,然而,這些改進主要是改善了合法的無線活動的安全。這些改進對于防止欺騙性接入點、配置錯誤的站點或者針對WLAN本身實施的拒絕服務攻擊沒有做任何事情。攻擊者仍然可以利用這些所有這些安全漏洞,例如,使用拒絕身份識別或者802.1x登出數據包風暴來中斷WLAN的正常運行!
Terrill也贊成這樣的觀點。他說,因為WLAN的安全很好,黑客再也不能進入了。黑客不能進入你的網絡,但是,黑客能夠中斷你的網絡,這也是一個潛在的問題!
黑客中斷你的網絡的方法之一是向一個公司網絡的用戶發送斷開連接的數據包。這些數據包迫使這些用戶同時登出并且同時重新登錄。這樣將使服務器過載,造成網絡中斷!
位于馬薩諸塞州Burlington的無線網絡入侵檢測系統廠商Blusesocket公司負責市場營銷的副總裁DaveDanielson說,這種威脅不再是帶著黑色滑雪面具的黑客蹲在企業的停車場中企圖入侵企業網絡的那種情況了!
Danielson補充說,目前大多數入侵企業無線網絡的事件都是由錯誤造成的。如果未經授權的用戶不遵守適當的流程,他們對企業網絡就是有害的。不使用可用的工具的人是最大的威脅!
監控無線電頻率
Bluesocket公司本星期推出一種新的集中的無線電頻率傳感器。這種設備通過觀察、監視無線電頻率并且通過確認無線電頻率的安全來保護網絡!
Danielson說,集中的傳感器能夠監視一個四層樓大小的城市區域,而分布式傳感器能夠覆蓋大約100米的范圍。這個傳感器發現和報告異常狀況!
他說,還有一些保證網絡安全的基本步驟。無線電頻率保護是必要的和重要的解決方案。一些人認為,一層層的建筑物壁壘是保護網絡安全的要塞和護城河。無線模糊了整個要塞的感覺。
Trapeze網絡公司本星期推出了一種新的安全功能。這是在Trapeze無線接入點中集成了AirDefense傳感器。Trapeze負責全球市場營銷的副總裁BruceVanNice說,這種集成的功能能夠每周7天每天24小時地監視網絡中的故障點。
同樣,位于馬薩諸塞州Andover的Enterasys公司也推出了一種新的無線安全產品,包括AP4102統一接入點、AP1002薄接入點和8400無線交換機。
Enterasys無線產品經理PabhuKavi昨天表示,這些新產品將保證通信流的類型正確并且是在授權的各方之間進行的。
Kavi說,這些新產品可以對無線網絡容易受病毒感染的端口采取封鎖和級別限制措施,并且向用戶提供安全政策規定他們能夠訪問什么和不能訪問什么!
在一個經過恰當的設置的網絡中,安全是很嚴密的。但是,無線網絡中仍有大量的應用還沒有采取嚴密的安全措施。一般的感覺是,如果你在一個公司內部訪問一個網絡,你就是一個可信賴的用戶。我們認為,安全不僅僅是最新的加密和身份識別工具。
Kavi表示,Enterasys公司的產品與眾不同的特點是能夠檢測欺騙性的接入點、隔離這些接入點并且自動關閉這種接入點連接的端口,以防止受到攻擊。
Kavi說,在取得這些進步之前,無線網絡是很容易受到攻擊的目標!
成功地確保WLAN安全的關鍵
Danielson表示,保證WLAN安全的三個關鍵措施是觀察、監控和保護。你不僅要保證善意用戶的安全。你還需要保證無線電頻率遠離黑客和間諜的安全。你必須要查看無線電頻率并且監視它們,以確保它們的安全!
Terrill表示,還有Aruba網絡和思科Aironet等一些主要的廠商提供安全工具包能夠驗證登錄到無線網絡的大多數設備。這些工具包都配置了最新的病毒保護、防火墻和掃描其它安全漏洞的工具。包括無線電頻率傳感器在內的其它產品也提供了保護措施,但是,需要有人對傳感器檢測到的異;顒幼龇磻。
他說,無線方面的安全基本上是非常牢固的,如果你使用無線安全工具并且使用地正確的話。這些安全完全是常識和使用現有的工具!
然而,Phifer表示,沒有任何網絡是完全安全的,盡管采用了所有的保護措施也是如此。她說,任何安全計劃的目標都是根據商業需求和成本把風險降低到可以接受的水平。我強烈地認為,大多數公司都能夠使他們的無線應用更安全。但是,我也認為,這樣做需要勤奮的努力和計劃。