“對無線網絡而言,安全性仍然是各類公司最關心的頭號問題。只有加深對無線局域網安全的了解,并大力推廣某些最佳實踐經驗,才能充分享受無線網絡帶來的各種便利。只有提高了安全性,使數據安全有了保障,使用者才會放心地使用。”——Jupiter Research研究主管Julie Ask
前景之爭
21世紀伊始,關于“無線”與“有線”局域網發展趨勢的爭論便已開始,迄今為止,這一辯論正有愈演愈烈之勢。
積極的觀點認為:無線局域網必將取代有線局域網。有關調查機構預計,隨著無線局域網的普及,到2009年全球WLAN設備市場收入將增長120%,達到38億美元規模。同時,分析師們也紛紛對消費級無線應用,最終將影響企業級應用發展的前景表示了樂觀態度。原因很簡單:當習慣使用移動辦公的員工數量發展到相當的規模時,企業將被“一次性”地推向無線網絡。
而不同的觀點則堅持:從特性上來說,由于無線網絡是通過無線電波在空中傳輸數據,所以在無線電波覆蓋區域內的任何一個無線用戶都能接收到這些數據,這顯然為信息安全埋下巨大了隱患。因此,無線網絡僅能作為有線網絡的有效補充,特別是在企業網絡的建設中,絕不可委以重任。
可見,隨著無線局域網市場、應用整體規模的高速增長,們對于其安全性的擔憂始終伴隨左右。事實上,這甚至已成為妨礙無線局域網普及的最大障礙之一。
無線安全特性
無線局域網和有線局域網的實現形式迥異,這也就決定了它們有著不同的安全特性。
雖然在面向Internet的接入時,有線網絡于無線網絡的安全性問題大體相同,但是,單就網絡內部而言,有線局域網面臨的潛在威脅要明顯小于無線局域網,且技術也更加成熟。因此,前者安全性相對更高。而無線局域網則不然,它一方面要接受來自外部用戶的挑戰,另一方面,其網絡內部還要防范“客人”隨時不請自到。
“無線局域網遇到的最大安全問題是惡意接入公司無線局域網的外部用戶。第二個問題是內部假冒接入點,第三個問題則是加密。”Jupiter Research的研究助理Ina Sebastian說。
其中,假冒接入點的問題在無線網絡中比較普遍。比如,在家里使用無線網絡的員工可能希望獲得與工作地點相同的自由度。他/她可能會購買便宜的接入點,然后在未經允許的情況下將接入點插入網絡,這種接入點就稱為假冒接入點,大部分假冒接入點都是由員工而不是惡意入侵者安裝的。即使是企業批準的接入點,如果配置不當,也可能帶來安全風險。
然而,查獲假冒接入點并不難,可以使用相應的工具。如果網管人員每天對新的無線接入點實施掃描,就能及早找出假冒接入點。相比起來,實施安全無線局域網加密和驗證的解決方案更為關鍵。
華碩網絡設備:完善的加密和驗證機制
驗證的作用無非是為了最大限度防止非授權用戶接入并使用無線網絡,唯一的登錄名和密碼是驗證的基礎,但也可以利用其它工具提高驗證的安全性和可靠性。最保險的驗證是在用戶與驗證源之間執行每用戶、每進程相互驗證。
而加密則是為了保證數據不被非法讀取,而且在接入點和無線設備之間傳輸的過程中不被修改;加密要求發送方和接收方都擁有密鑰,才能對傳輸數據進行解碼。多數安全加密都使用非常復雜的密鑰或算法,而且密鑰必須定期更換才能有效保護數據。當然,隨無線設備實際采用加密和驗證解決方案的不同,必然提供不同級別的安全防護。
目前,華碩網絡的無線設備(包括無線路由器、無線AP以及無線網卡)已全面支持WPA和WP2加密技術。并在其無線路由器產品中全部加入了RADIUS服務器認證及NAT/SPI防火墻功能。
支持WPA和WP2加密技術
我們知道,WEP(Wired Equivalent Protection,有線對等加密)是最早在無線網絡中使用的加密技術,早期決大多數甚至現在不少無線設備都采用的是這一技術對數據進行加密處理。但由于該協議在制定時相當倉促,所以遺留了很多安全隱患,以至即使不同黑客也可以輕松攻破。所以WEP只能對無線網絡提供十分有限的保護。
而華碩無線設備上采用的WPA和WPA2則是Wi-Fi Alliance專為企業、中小企業和小型辦公室/家庭辦公室無線局域網開發的標準安全認證方法,它能夠通過相互驗證對每個用戶進行驗證,是一種先進的加密方法。WPA提供企業級加密,作為第二代Wi-Fi安全特性的WPA2則支持政府級加密。
具有RADIUS服務器認證功能
相對來說,普通用戶對于RADIUS會比較陌生。其實,這是個AAA協議,也就是通常所說的認證、授權和計費協議。它也是目前大多數ISP用來認證用戶接入的協議。在無線安全方面,RADIUS典型的使用設備的MAC地址,有時候是用戶名和密碼組合來認證用戶,給設備授權和對網絡鏈接計費。由于其需要一臺RADIUS服務器,因此一般應用于大單位。對于防止非法用戶的接入,使用RADIUS認證非常有用。
提供NAT/SPI防火墻
NAT防火墻雖然和SPI防火墻同為防火墻,但它們的實現途徑不盡相同。NAT防火墻是一種常用的網絡安全工具,它建立專用網,網內的計算機可以主動跟外網建立連接、收發數據,但來自外網的連接通常會被阻止。NAT防火墻隱藏了內網上的計算機,保護它們免受外網的入侵和未授權訪問,提高了安全性。
SPI防火墻是在外網的數據包進入內網之前先對其進行檢查的一種技術。它在默認情況下拒絕所有來自外網的請求,并且通過防火墻的發自內網請求的連接動態地維護所有通信的狀態(連接),只有對內網請求回復的連接并符合安全要求的數據包才能通過防火墻進入內網。相比NAT防火墻, SPI防火墻的安全性更高。
此外,華碩的無線路由器產品還全部包含了MAC存取控制、IP地址過濾、網域存取控制等多項技術,為用戶提供了更完美的存取權限。支持目前流行的DoS檢測,保證了防火墻的正常運轉。這些華碩無線網絡設備所特有的高安全特性和技術聯合在一起,為無線局域網提供了全方位的安全保護,讓企業用戶能夠隨心所欲地遨游網絡。
無線網絡安全:明日之光
作為一種新興的商業工具,無線網絡是我們用肉眼所不能看到的。但是,當我們說到無線網絡的安全保護時,卻絕對不能因為看不到就想不到。因為,對那些希望部署無線網絡的企業來講,安全性毫無疑問是至關重要的。并且,有市場研究公司預計,WLAN還將進一步向教育和醫療等市場挺進。未來WLAN將用作課堂教學工具和用于改進教師和學生之間的溝通,醫生也將配備支持WLAN的設備,方便醫生在診斷時輸入和檢索數據。此外,金融和專業服務等垂直市場也將大量采用WLAN。而這些都要基于無線網絡安全性的妥善解決才能實現。
就像Infonetics Research的無線局域網(LAN)首席分析師Richard Webb說的那樣:“為改善安全功能,源廠商們已經作了大量的工作。另外,用戶對無線網絡的了解也越來越深入。但是,各種威脅依然層出不窮,各廠商必須繼續努力,才能消除人們對無線局域網不安全的誤解。”幸運的是,現在無論是用戶對安全知識的了解,還是華碩網絡這樣技術廠商提供的解決方案,都在不斷進步當中,且日趨成熟。無線網絡已經具有了比較全面的安全功能,及妥善保護,企業能夠放心地享受無線網絡帶來的各種便利再不只是憧憬。
(新聞稿 2007-02-10)