无线网络为用户带来了极大便利,例如用户可以在会议中通过笔记本电脑获取即时的信息访问,也可以在办公室安静的角落在限期前完成工作。但是有利必有弊,无线局域网也为整个网络带来了巨大的安全威胁。然而互联网安全解决方案厂商Check Point 公司的专家表示,商业广泛使用无线网络访问是不可逆转的潮流,所以正确的态度不是因嗝废食,而是设法降低使用无线局域网的安全风险。
Infonetics Research发布的一份研究报告称,无线网络安全、外联网连接和互联网边界(Internet boundary)将会是未来几年网络安全领域最大的增长领域。Infonetics首席分析员和研究报告的主要作者Jeff Wilson提到,安全市场增长受到综合技术革新的驱动,无线网络的增长,让无线安全成为市场增长最快的领域之一。
Check Point 北亚地区总裁曾志铭表示,用户可从五方面降低无线局域网的风险:
关注破坏性热点
公司网络的最大潜在风险是来自含有凶猛破坏程序(rogue)的无线访问点(wireless access point),这不一定是刻意回避安全策略的偷偷摸摸行为,例如有些员工会自行购买一些无线访问器材,令其工作更为便利,而这些器材的费用及使用复杂程度都不高。防范这些不受管理的WAP 并不困难,有许多工具可供选择,例如特制的WLAN传感器、数据包监察器等,这些都可以保障网络不受非法WAP影响。
保护端点安全,从而保障网络
用户必需紧记一点,无线局域网的安全性并不是绝对可以信任的。网络的各个端点就像暴露在远程宽带连接般面对各种威胁。端点至少要有一个个人防火墙作保护。对于服从安全政策的可信用户,应该把他们放置在可以访问内部网络的虚拟局域网中。而对于那些客人或者不符合安全政策的用户,则只容许他们访问互联网。
把网络分区
企业应该使用一个功能强大的边界防火墙把无线局域网与固线网络分隔,虽然WAP会提供基本的访问控制,但其保障度并不能满足当今网络环境的需要。采用边界防火墙的另一个优点是可以让无线局域网和边界的安全政策一致。
采用IPSec 代替无线局域网加密
无线局域网以前采用的有线等效加密(Wired Equivalent Privacy, 简称WEP)和Wi-Fi受保护访问(WPA)效果未如理想,改用802.11i 及WPA2协议后情况需有改善,但弊端是有许多无线局域网设备仍不能支持新标准,除非用户能在整个企业范围内推行802.11i,否则采用一个IPSec加密政策来管理用户访问敏感信息较为可取,因为IPSec经过验证有效,并且已经在许多笔记本电脑上使用。
考量风险度
无线局域网安全应该是企业的风险分析的一部分。企业应该考量下列问题:面对那些风险?是否有适当的步骤来侦测破坏性访问端点?一旦未经授权的人连接到了公司的无线局域网及内部网络,公司承担的法律责任为何? 总而言之,安全保护措施是与风险度及网络面对的威胁密不可分。