|
如果你想開辟一方無線的凈土��,就要利用好最新的安全工具��,時刻讓你的用戶獲得無線局域網的安全狀況信息�。
在Sunnybrook醫療科學中心���,信息技術主管 Oliver Tsai 都能看到這樣一幕幕場景:剛入學的醫科新生們個個都攜帶著最新潮的配備無線模塊(Wi-Fi)的手提電腦�����,然而這些嶄新的電腦卻無法接入Sunnybrook的無線網絡系統�����,在這樣的情況面前���,孩子們百思不得其解���。
同樣的情景也發生在中心的醫生�、業務經理和其他人身上,這些專業人士的電腦上裝有自動探測電視廣播信號并從無線局域網(WLAN)接收信號的新配件。Tsai是這家位于多倫多的理論醫療科學中心的信息技術總管���,他說:“他們可以看到哪些功能被提供,但由于安全問題,只有在設備被適當安裝之后他們才能訪問中心的網絡系統。”這種可遠觀而不能近玩焉的境遇使用戶感到非常郁悶�����,但Tsai說����,如果這只是一種暫時現象的話�����,無線網絡使用所包含受挫感是必要的。
當今配有黑莓手機(blackberry,無線電子郵件接收器)的工作人士們���,不管是醫科學生、CEO還是辦公室一族���,都紛紛大聲疾呼,希望在工作時能享受一個更為理想的無線接入服務環境�����。毫無疑問他們覺得�,既然公司為他們提供了內置無線網卡的手提電腦��,自己在使用網絡時就沒有理由再被束縛在辦公桌上�����。
無線是否已經讓你畏縮?
我們需要大致了解一下一些領先的無線局域網產品制造商的情況�,以及他們的加密術��、認證和入侵監測產品。
現在的情況是��,信息技術管理人員依然對無線局域網持懷疑態度��。原因在于無線網絡存在著被廣泛認識到的諸多安全夢魘����,比如說拒絕服務攻擊和網絡系統漏洞等等����。Nick Selby是一位來自451集團的企業安全分析師(The 451 Group一家關注IT創新的信息技術產業分析公司),他說:“他們被恐懼壓倒了。”而Forrester Research(全球兩大研究公司之一����,鑒別和分析科技趨勢和其對經濟的影響)2005年12月的一份報告也證實了Selby的說法:不論何種產業���,安全問題是探索無線技術道路上最大的絆腳石���。
但是有些恐懼是基于往事記憶的�����。Selby說:“在早期,該項技術的采納方被安全難題給嚇倒了����,而如今大部分安全難題已得到解決。”現在���,新的認證和加密協議(例如用戶接入為802.1x,先進加密標準為802.11i)提供的安全保障更加有力�。同時�,無線產品銷售者還提供入侵探測產品和整體架構方案��,使企業無線網絡能像有線網絡一樣安全可靠�。
Selby緊接著說:“要明白���,你為安全而付諸實踐的大部分工作努力都應該來自銷售方�����。問題在于要激發他們的熱情和積極性��。” Gartner(科技市場研究公司)就聲稱,無線局域網是眼下眾多安全因素中最被過分夸大的IT安全威脅之一�。
因此�,為了2006年及其更遙遠的將來���,現在有五個無線安全法則可以信賴�����,它們將會幫助CIO和用戶最有效地利用無線局域網�����,而不用擔心會有噩夢降臨���。
著手計劃
要追溯問題出現的最初原因:你為什么需要一個無線局域網��?誰人將懷著什么目的去使用它��?必要的內部與外部安全裝置是什么����?盡早考慮這些問題����,CIO可以決定他們的無線局域網需要達到的安全程度。
Bill Tomcsanyi是托蘭斯紀念醫學中心(Torrance Memorial Medical Center)的信息主管���,他去年的原始計劃初衷真的是以急救科為起點搭建一個無線網絡嗎?當他把更多的目光投向此時彼時的安全裝置的時候�,當他關注他的臨床醫生和管理人員所能實現的效率和安裝網絡的相對低價等因素的時候����,他就越發想到要使網絡覆蓋整個醫院和校內的其他建筑����。他的確把這個想法付諸了實踐。Tomcsanyi說:“無線絕對是我們五年信息科技計劃一個不可或缺的組成部分�����。最后我們將為患者提供更為快捷的治療�����,同時消除所有可能的潛在錯誤��。”
一旦CIO知道自己要的是什么,隨之而來的挑戰就是量化基礎設施投資和預期收益�����。但不要期望會給出什么硬指標��。調研機構Current Analysis的一位研究主管Joel Conover說:“我們沒有能力來衡量為什么這些網絡值得投資。” (Current Analysis是一家競爭響應解決方案提供商�,它為高速發展的企業市場領域提供快速的�����、戰略性的和有實際指導作用的智能解決方案。)與此相反,收益是一個最為突出的軟指標����,包括了生產力和生產效率的提高等內容���。用戶可以在無線網絡覆蓋區內去任何有無線接入點(AP)的地方(會議室���、戶外院子和自助餐廳)接入網絡�����。有時甚至在沒有硬性的投資回報指標(ROI--return on investment)的情況下,一些CIO仍然能找到無線局域網所具備的足夠的價值。Steve McDonald是Optimus Solutions(一家擁有920萬美元資產的綜合軟件硬件并進行轉售業務的公司)的IT副總裁����,他說:“(我們的用戶)可以與Lotus Notes(美國Lotus公司出品的著名群體系列軟件)以及CRM和ERP集成軟件時刻保持通信��。而且能做到改動簡單明了,接入連貫一致。” McDonald已將25,000平方英尺的空間覆蓋上9個網絡容量為802.11b/g的接入端口�����。
但是Ellen Daley,Forrester Research的首席分析師,在總結了當今無線局域網調度的一致意見后提出:“對于企業中每個網絡的主要數據使用權限而言��,無線網絡只是有線網絡的一個附加品����,而非替代品�。而且這是一個多余的成本。” 相比之下,從無線局域網產品銷售商處得到的回收數據還是令人樂觀的�����。例如�����,北電公司(Nortel�����,唯一同時提供支持GPRS、CDMA2000和UMTS三種先進技術的無線數據網絡供應商。)認為���,如果組織安裝的是典型的配有802.11a/ b/g的網絡,那么一年內可以實現2-3%的生產力進步和無線局域網的投資回報。
沒有規矩�,不成方圓
不管是勤勉的辦公室一族��,抑或是來訪的承包商,他們并非懷有惡意把自己無線路由器插入到以太網端口����。但CIO的責任就是讓用戶們了解這種做法的后果:這個淘氣的接入端口現在正埋伏在防火墻保護的背后��,不能被眾多的入侵探測系統探測到。如果有人用簡易而廉價的手動裝置或者激活無線的筆記本輕輕觸動電波信號的話����,接入端口就可能與信號相聯接并能全權使用企業的網絡���。Daley說:“你必須為你的無線局域網制定安全策略���,包括允許使用的時間,使用限制����,或著咨詢師與合伙人在必要情況下的訪客使用權限�。”
CIO不能對無線局域網安全策略需要具備的用戶教育程度作太高的估計�����。使用者無須知曉如何分辨介質訪問控制(MAC--Media Access Control)地址和服務集合標識符(SSID-- Service Set Identifier)�����,但他們必須明辨是非。比如���,他們必須了解因受騙而訪問一個錯誤(具有潛在惡毒目的)且不屬于公司的接入端口。Selby說:“用戶在這種自由度許可范圍內保持對新風險的警覺是非常必要的���。”
其次,CIO們一致認為任何新的無線安全策略必須與現有的有線安全策略相吻合��。Bryon Fessler 是俄勒岡州波特蘭(Portland)大學IT副總裁兼CIO�����。他認為:“我們在有線環境里所遵循的準則��,在無線的進程中也應被遵從。”自去年以來�,Fessler在校園的三幢大樓內大規模鋪設了50個無線接入端口��,并計劃在未來至少再鋪設25個。他抓住任何機會(面對面交流�����、電子郵件和其他聚會)來確保4500名學生���、全體教員和學校其他成員能理解其無線局域網安全策略背后的動機�。比如,為什么學生的手提電腦必須在經過隔離����、殺毒檢查并授予安全認證后才能連接入無線局域網�。
時刻認證
無線網絡安全教育結束之后��,安全策略實施者就會讓加密技術及時跟進——它們彌補了安全教育離席后的空白����。
認證是CIO們的第一道防線��。簡而言之�����,它能確保要求獲得網絡傳輸信號的客戶是其本人,并且被允許使用無線網絡����。
如今�����,802.1x標準是認證用戶的高端技術中的一種。它用于端口認證���,這種認證源于有線網絡的世界,并由于有線等效加密(WEP-- wired equivalency protocol)的不足而被翻新用于WLAN.基于802.1x的協議叫做EAP(extensible authentication protocol)�����。它使用經過加密的渠道在設備與網絡之間交換信息(用戶名和密碼)��。根據無線網絡賣主Aruba,盡管入侵者能夠監測在空氣中的數據交換,但他無法截獲加密通道內的數據信息����。由于EAP是用于有線網絡的�,推行一種統一的網絡策略就顯得很有吸引力���。它的相互認證的能力給了用戶更多的保護��,從而確保他們看到的網絡是合法的���,而不是黑客的欺騙性接入端口(欺騙性端口被稱為“邪惡雙子星”)���。
Sunnybrook女子學院醫療科學中心的Tsai使用了受保護的EAP來對公司的無線數據網絡訪問進行認證����。由于Tsai的系統有一個微軟工作組提供幫助��,這樣他就能充分利用支持EAP的Windows XP操作系統調節內置設置����。
另一個連接有線與無線世界的認證方案叫做NAC(network admission control)�。這個方案由Cisco領銜,是一項基于網絡的安全策略。它確保想要登陸無線網的機器是受到信任的�,同時免受計算機網絡蠕蟲����、病毒和間諜軟件的侵害�����。在波特蘭大學��,Fessler用NAC來檢測新的設備��,進行診斷�����,然后允許用戶進入有線和無線局域網。他的系統還使用了一種Active Directory數據庫來驗證用戶并準許他們進入ERP系統或學生數據庫���。他還說這運用了信任及檢測的思維方式�,并且在開放的校園網絡環境中得到了很好的運用����。在這樣的環境中學生們普遍接受著技術自由觀念的洗禮。
成功加密
認證與加密是密不可分的���。在三月份,當Wi-Fi聯盟宣布所有的無線網絡產品必須有WPA2(對802.11的最強加密規范)后,這兩者都得到了很有必要的發展推進。WPA2代表Wi-Fi Protected Access 2,并且是期待已久的WPA(早期WEP標準的替代物)的繼承者。“WPA還存在一些問題��,但WPA2很好的彌補了這些缺陷���。” 451 集團的Selby說道����。
鑒于認證是確保設備與網絡間的相互信任,加密是確保鏈接與數據傳輸的安全,“因此懷有惡意的人是無法查看數據包的��。” Tomcsanyi說道���。內部有WPA2的手提電腦和接入端口使用了先進的加密標準來提供最高級的安全���。
如果CIO們想深入到無線網絡的技術圖表和接入端口����,他們肯定是辦不到的�����。但是由于日臻成熟的賣主技術��,加密計劃就顯得相當簡捷易懂。只要打開WPA2就行了����。“這聽起來像是個非常復雜的情況���,但它并非如此���。” Optimus Solutions的McDonald說道�����。
當然,認證與加密的基本原理需要一個工業級技巧的用戶名和攻擊者不能輕易猜到的密碼����,像八個或八個以上的文字�����,或者字母與漢字的混合。在當今時代�,這種概念的貢獻應當是不言而喻的����。但是就像Daley所說的,“你會驚奇地發現很多公司并沒有這么做���。”這種說法得到了安全產品制造廠商Kaspersky Labs(卡巴斯基實驗室)的支持���。他估計70%的無線局域網絡沒有使用任何以一種數據加密��。
識別壞人
過去的幾年內��,在安全上的一個重大轉折便是無線局域網已從防御型轉變為主動進攻型。CIO們不應該坐等著去被攻擊。新技術能夠在壞人進行破壞之前察覺、定位并阻止攻擊��。Tsai 認為:“在企業環境里能擁有管轄自己網絡的工具是非常重要的��。”
對那些仍然拒絕無線局域網的CIO們來說�,他們最好應當通過檢測自己的無線電來確認安全���。“在沒有安裝無線網的環境里安裝無線網絡傳感器是很奇怪的事,” 451 Group的Selby說道��,“但是擁有一種搜尋惡意網絡的方法是很有必要的���。”
Sunnybrook的Tsai已經在多倫多地區的三個獨立醫院環境(兩個在市內����,一個在郊區)中擴展了300個接入端口。他使用了一種已經被運用在Symbol的無線局域網產品中的探測掃描技術����。他的實踐經驗證實了密集的城市地區比郊區更危險的想法�����。“在被辦公樓和公寓包圍的市區醫院地帶,存在相當數量的惡意探測���,” Tsai說道,“而在郊區我們檢測到的這種行為就非常少�����。”
但是入侵探測系統(IDSs)并不總那么新��。事實是該系統綜合體上的新防御部件在危險顯現之前就把它們去除了。在托蘭斯醫學紀念中心��,Tomcsanyi已經有了一個探測系統�����,并且將于今年第三季度安裝一個新的防御裝置����。“這是更有效的先發制人的方法�。” Tomcsany說。使用從 Aruba那樣的賣主得來的新技術后,接入端口既可以用作電波頻率連接器又可以用作預防入侵的無線傳感器����。這樣就可以省去安裝接入端口和一個獨立的入侵探測系統的費用了���。(但是����,Tomcsanyi說他打算繼續使用相互協調的多重安全系統��,比方說今年晚些時候要安裝的Cisco的新入侵防御系統���。)
“任何不監測其無線局域網的人在將來將會遇到麻煩�。” Fessler說道�。而他本人已經在他的Cisco基本架構中使用了一種來自AirSpace公司(最近被Cisco收購)的探測與防御產品。
隔離通訊
盡管對一些有安全意識的CIO來說這看似可能是一個瘋狂的想法�,但是許多IT業的經理正在日益對公眾開放他們的無線網絡��。這里的公眾是指那些想在辦公樓內上網和接收郵件的客戶和企業合作人。Tomcsanyi 說在衛生保健領域能對病人和其他訪問者提供無線訪問是一項很有價值的資產����。
據Tomcsanyi 說,托蘭斯醫學紀念中心 有211個接入端口遍布其醫院的五個大樓建筑內�����。它們能夠提供百分之百的無線覆蓋��。該中心還能對公眾提供無線局域網接入服務����,因為它能在網絡結構中隔離通訊�。
依照Cisco公司的說法,無線訪客網絡既能夠提供便捷的訪問又能夠免除IT工作人員對每個用戶認證的需要����。訪客網絡使用了一種開放的安全方法���。該方法被隔離在一種特殊的SSID上(每個無線局域網的域名)�。此SSID發送訊息到一種網絡上��,而該網絡只能訪問大眾網��。Tomcsanyi把不斷提高的病人滿意度水平歸因于對無線局域網的訪問�����。
盡管無線網絡在短時間內有了很大發展,但如今CIO們需要認識到���,安全機制已經遇到了大量無線電信號過分公開的混亂。“在過去��,為了獲得無線的暢通連接�,你不得不犧牲一些安全措施和程序,” Fessler說道�����,“但如今我沒有必要再做出那樣的犧牲了��。”
《CIO》Thomas Wailgum文, Nosa 編譯
The mainpoints of the article:
Today‘s mobile phone and BlackBerry-equipped workers are clamoring for even greater wireless access while on the job. It‘s nearly certain that their company-issued laptop has a Wi-Fi chip built-in, and they see no reason to be shackled to their desks anymore. Yet IT executives are still distrustful of wireless LANs because of perceived security nightmares such as wireless denial-of-service attacks and network breaches.
Start Planning: First questions first: Why do you need a WLAN? Who‘s going to use it and for what purpose? And what are the necessary internal and external safeguards? By answering those questions early, CIOs can also determine just how much security their WLAN will need.
Write the Book: You have to define the policy for your wireless LAN: when people can use it, the restrictions on use, or guest-access use for consultants and partners. Next, CIOs all agree that any new wireless policy must dovetail with the existing wired policy.
Always Authenticate:Where wireless education ends, authentication and encryption technologies step in as the enforcers of policy—they‘re the teeth when all the talking stops. Authentication is one of CIOs‘ first lines of defense.
Encrypt Well:Authentication and encryption go hand-in-hand
Sniff Out Bad Guys:A significant security mindshift during the past several years has been the change from a defensive WLAN posture to one that is more offensive. CIOs shouldn‘t sit back and wait to be attacked; new technologies can detect, locate and shut down attacks before they do damage.
Segregate Traffic:While wireless networking has come far in a short time, CIOs now need to realize that the security mechanisms have finally caught up with much of wireless‘s blistering hype.
|
