构建安全的无线局域网
使用射频(RF)技术,无线局域网通过空气发送和接收数据,最大限度减少了对有线连接的需要。它的优势就在于能够轻松快速安装。例如,员工能够很轻松地改变无线局域网设备的位置,从而让办公室布局焕然一新。在发生紧急情况(如自然灾难)时,谁还有时间拔掉电话线和其它线缆?无线局域网使这一切不复存在,从而将破坏降低到最低限度。小巧便携的无线局域网基站可以在最短的时间内安装完毕。基站或接入点是无线局域网的桥梁,将无线局域网客户连接到网络上。
安全方面的考虑
安全性是广泛部署无线局域网需要考虑的主要问题之一。因为无线局域网使用无线电波传输数据信号,所以较易受到攻击。无线电波能够穿透墙壁和隔板,使黑客有机会截获电波并进入未受保护的公司局域网。
尽管无线局域网不是100%安全,但是有许多解决方案能够提供安全保护,如虚拟专用网(VPN)、IPSec加密和利用IEEE 802.1x的EAP(可扩展鉴权协 议)。所有这些解决方案都使实施者能够享受到使用无线局域网的优势,而不必牺牲安全性。VPN是目前市场上最安全的解决方案,能够阻止无线黑客入侵公司局域网或从汽车、建筑物内、甚至建筑物附近截取机密信息。
以保护无线局域网安全为己任的网络管理员应该慎重考虑鉴权和保密性。无线局域网无线电波在整个企业内部传播,有时会传播到企业外部,使保护网络安全成为一项艰巨任务。
鉴权
鉴权是通过使用数字**或令牌识别服务器用户的过程。为了获得更出色的安全性,企业可以在每个彼此鉴权的用户和服务器处部署相互鉴权机制,以阻止所谓的“内部用户攻击”。利用相互鉴权,没有必需数字**的黑客将不能通过鉴权程序,从而不被允许访问无线网络。目前市场中的大多数无线基站都支持 EAP 802.1x鉴权。利用EAP,企业可以选择实施TLS(传输层安全)或TTLS(隧 道传输层安全)协议来保护鉴权服务器和无线用户之间的相互鉴权。
除了使用EAP 802.1x,企业还可以部署VPN来支持鉴权和加密要求。通常的 做法是将无线局域网设置成单独的局域网部分,并通过VPN网关将该部分连接到公司局域网上。利用VPN,所有无线用户在得到许可访问公司局域网之前首先由 VPN网关进行鉴权。VPN网关只向拥有机器中所具有的有效软件**或令牌的用户授权。客户机到VPN服务器的数据包使用IPSec加密。因此黑客将无法**这些数据包的内容。这些安全措施需要额外的程序(如要求用户登录VPN网关、在所有无线机器上安装VPN客户端程序)。
保密性
IEEE 802.11标准使用有线等效保密(WEP)加密技术。它的基础是使用40位 密钥和RC4加密算法。不知道WEP密钥的用户将发现自己被排除在网络通信之 外。
