無(wú)線(xiàn)安全技術(shù)大揭秘

針對用戶(hù)和用戶(hù)權限不統一的情況，Eric Wu表示，由于傳統的認證和授權功能是分別設在兩個(gè)設備上，這樣授權用戶(hù)就有可能在兩個(gè)設備缺乏溝通的情況下獲得更高的權限，威脅到局域網(wǎng)的安全。針對這種問(wèn)題，目前的認證和授權功能都是設在同一個(gè)設備上。用戶(hù)身份一經(jīng)認證，通過(guò)一個(gè)存取記號通知授權功能模塊，用戶(hù)的權限就被設定，不會(huì )出現用戶(hù)身份和用戶(hù)權限不統一的情況，有效保證了無(wú)線(xiàn)網(wǎng)絡(luò )的安全。

無(wú)線(xiàn)入侵檢測和保護

目前可以在互聯(lián)網(wǎng)上下載到很多無(wú)線(xiàn)入侵和攻擊的工具，這些工具對無(wú)線(xiàn)網(wǎng)絡(luò )造成了很大的威脅，可以使AP無(wú)法征程工作，甚至可以突破無(wú)線(xiàn)網(wǎng)絡(luò )的安全措施，非法盜取網(wǎng)絡(luò )資源。另外一個(gè)問(wèn)題就是因為用戶(hù)購買(mǎi)的AP，在接入有線(xiàn)網(wǎng)絡(luò )鐘后，可能會(huì )自動(dòng)創(chuàng )建一些“軟”AP。這些不安全的AP在缺乏安全機制的情況下自動(dòng)在企業(yè)的局域網(wǎng)中出現。若是外部入侵者利用這些軟AP實(shí)現惡意目的，企業(yè)將遭受巨大的損失。而且這種事情發(fā)生時(shí)，員工可能并不知道已經(jīng)遭受攻擊，無(wú)意之中促成了攻擊。

針對這種情況，出現了一些嘗試入侵軟件。就是人為的將這些入侵軟件帶入企業(yè)局域網(wǎng)內部。但是這些入侵軟件具有一些特定的功能，包括跟測、防御和定位功能。也就是說(shuō)，這些入侵軟件在接入局域網(wǎng)之后，可以跟蹤入侵者的動(dòng)態(tài)，并且進(jìn)行防御，同時(shí)還可以定位入侵者的動(dòng)作和位置。

另外，針對病毒入侵的情況，無(wú)線(xiàn)終端病毒防護的第一步是準入檢查，當無(wú)線(xiàn)終端連接試圖訪(fǎng)問(wèn)網(wǎng)絡(luò )時(shí)，無(wú)線(xiàn)系統要求用戶(hù)在認證之前下載一個(gè)小程序，這個(gè)程序將對終端的安全配置進(jìn)行檢查，不能通過(guò)檢查的終端將被策略禁止訪(fǎng)問(wèn)網(wǎng)絡(luò )，也可設置成將無(wú)線(xiàn)用戶(hù)重定向到一臺升級服務(wù)器，經(jīng)過(guò)一系列程序之滿(mǎn)足安全機制后，該無(wú)線(xiàn)終端才可以進(jìn)入認證環(huán)節進(jìn)行用戶(hù)的認證。

宣文威認為，當無(wú)線(xiàn)終端通過(guò)了準入檢查，但是如何對無(wú)線(xiàn)終端發(fā)出數據進(jìn)行有效的檢查和監控是更加進(jìn)一步的病毒防護手段。 ZoneFlex系列產(chǎn)品簡(jiǎn)化了安全需要的配置，就可在整個(gè)系統范圍支持非法接入點(diǎn)入侵檢測，并能通過(guò)網(wǎng)絡(luò )將這些接入點(diǎn)客戶(hù)端設備列入黑名單。當多個(gè)接入點(diǎn)的位置十分接近時(shí)，Ruckus產(chǎn)品則可以自動(dòng)控制每個(gè)接入點(diǎn)的功率和信道設置，從而確保最佳的覆蓋范圍和連貫性。

防止盜竊引起的安全威脅

無(wú)線(xiàn)網(wǎng)絡(luò )中的AP不像有線(xiàn)網(wǎng)絡(luò )中的路由器和交換機一樣，是放在比較隱秘的機柜或者專(zhuān)門(mén)的機房里面。無(wú)線(xiàn)AP可能是在天花板上或者屋內的任何位置，方便用戶(hù)接入。這也就帶來(lái)了一定的安全威脅。例如，有惡意的人將AP拿走。傳統的無(wú)線(xiàn)網(wǎng)絡(luò )，采用的是胖AP，瘦客戶(hù)端形式。胖AP指的是集成了全部功能的AP，這些功能包括了加密解密、過(guò)濾防護等等，而瘦AP與之對應，就是只有無(wú)線(xiàn)功能的設備。在胖AP結構下，一旦有人將AP拿走，就可以通過(guò)解密，得到AP中的金鑰。獲得了這個(gè)金鑰之后，就可以登陸公司網(wǎng)絡(luò )，竊取公司機密信息。而在瘦AP環(huán)境下，加密解密以及防火墻等安全措施可以通過(guò)一個(gè)單獨的安全設備來(lái)實(shí)現，除了顯而易見(jiàn)的成本降低之外，提升了AP的性能，還提升了安全性能與安全管理的方便性。在瘦AP環(huán)境下，用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò )的需求通過(guò)AP傳遞到AP之后的防火墻上，由防火墻進(jìn)行統一的身份驗證，并且賦予用戶(hù)不同的權限，這種良好的身份認證以及其他的統一安全管理將有效的規避大量的安全問(wèn)題。

Eric Wu在談及此問(wèn)題時(shí)表示：“傳統的無(wú)線(xiàn)網(wǎng)絡(luò )，接入網(wǎng)絡(luò )的金鑰是放在了AP中，一旦AP被人拿走，就可以破解得到這個(gè)金鑰。這樣他就可以接入該公司網(wǎng)絡(luò )，竊取信息。而Aruba的產(chǎn)品中，AP的功能得到了簡(jiǎn)化，只是起到了一個(gè)接入的作用。所有與安全和其他控制信息有關(guān)的功能都放在了無(wú)線(xiàn)控制器（Controller）中?！?這樣，即使AP丟失或遭盜竊，也不會(huì )擔心會(huì )丟失信息。

良好的成本控制、便捷的網(wǎng)絡(luò )管理以及可控可管理的安全特性，都讓無(wú)線(xiàn)網(wǎng)絡(luò )的發(fā)展前景無(wú)限寬廣。而隨著(zhù)全球筆記本出貨量超越臺式機以及802.11n的全面普及，無(wú)線(xiàn)網(wǎng)絡(luò )正在越來(lái)越廣泛的存在于我們的身邊。相比于家庭網(wǎng)絡(luò )，企業(yè)網(wǎng)絡(luò )擁有更多的終端，更復雜的網(wǎng)絡(luò )管理，也對無(wú)線(xiàn)這種便捷廉價(jià)的網(wǎng)絡(luò )接入方式有著(zhù)更強烈的需求。未來(lái)的無(wú)線(xiàn)網(wǎng)絡(luò )發(fā)展方向就是瘦AP方式，無(wú)線(xiàn)網(wǎng)絡(luò )的控制措施將不在A(yíng)P中實(shí)施，都放在無(wú)線(xiàn)控制器中進(jìn)行，簡(jiǎn)化的AP更易于部署和管理。不管對個(gè)人用戶(hù)還是企業(yè)用戶(hù)，他們最擔心的無(wú)線(xiàn)網(wǎng)絡(luò )的安全問(wèn)題也隨著(zhù)安全技術(shù)的不斷發(fā)展而得到解決。目前，無(wú)線(xiàn)廠(chǎng)商都在無(wú)線(xiàn)網(wǎng)絡(luò )的安全方面下了大成本，也推出了比較有效地無(wú)線(xiàn)安全措施。例如上述的幾種技術(shù)，通過(guò)幾種技術(shù)的結合，可以有效地解決無(wú)線(xiàn)網(wǎng)絡(luò )的安全問(wèn)題。未來(lái)，無(wú)線(xiàn)網(wǎng)絡(luò )的目標不是為了取代有線(xiàn)網(wǎng)絡(luò )，而是和有線(xiàn)網(wǎng)絡(luò )結合為用戶(hù)帶來(lái)最好的體驗。