VLAN为保护无线网络开了个好头,但是还不够,还需要验证机制。
市场数据可以从一个侧面反映WLAN急剧增长的势头:据In-Stat/MDR声称,全球Wi-Fi客户机(移动PC、PDA和手机)的销售额在2004年增长了66%;Wi-Fi硬件(接入点和交换机)今年的销售额有望超过60亿美元;如今交付的便携式电脑有90%配备WLAN卡。而到2004年年底,VoIP用户的数量激增了8倍,超过了100万。
IDC无线分析师Abner Germanow认为,对于管理WLAN上的VoIP流量而言,共用的安全和管理架构仍是一项进行中的工作,有待完善。他说:“许多WLAN厂商把虚拟局域网(VLAN)作为管理VoIP流量的首选的解决方案。”VLAN让网络工程师能够对流量进行划分,这样某个VLAN上的用户只能看到该VLAN上的流量。
权宜之计
VLAN的确为防范WLAN的两大安全威胁—破坏性接入点和会话欺骗(session spoofing)提供了行之有效的对策,因为它可以集中控制802.1X验证,防止破坏性接入点伪装成授权的WLAN入口通道。VLAN还能利用客户机和服务器加以保护的加密隧道,粉碎会话欺骗的阴谋。客户机和服务器都使用散列值对自己进行验证。
但是,VLAN只是一个不错的权宜之计,它可以创建子网,从而划分不同类型的LAN流量,如VoIP。Germanow说,“因为网络上没有大量的设备,但这仅仅是开始阶段。到了某个阶段,VLAN权宜之计不再管用,这时企业就需要寻求其他方案。”
企业在融合无线和有线网络的安全和管理之前,应当先做好准备工作。研究公司伯顿集团的无线安全主管Michael Disabato认为,第一步应当是对融合的无线和有线网络存在的安全和管理问题进行风险分析。他说,一个重要目的就是“确定所有用户的一系列共同的验证、访问和授权策略。”
无线和有线网络能够融合成共用的安全和管理基础设施,其动因是由于当初许多企业竭力保护WLAN,以免遭到访问灵活、敞开的无线热点地区移动用户面临的独特威胁。Disabato说:“无线LAN长期以来就需要强验证,因为无线会话面临种种威胁。如今,这种强验证及管理的应用范围扩大到了有线LAN。”
融合两个LAN架构,为用户保护及管理两种大不相同的基础设施提供了具有成本效益的手段。而可以预测的投资回报将对推动无线网络技术的爆炸式增长起到关键作用。
必要的强认证
对融合的管理和安全框架而言,最主要的方案就是,为敏感的应用和数据提供更有效的访问控制。Germanow说:“每家交换机和接入点厂商都有针对访问和身份管理的安全策略。”
思科在2004年宣布的网络准入控制(NAC)计划就是旨在集成来自多家WLAN厂商的安全和配置管理信息(许多厂商支持NAC,其中包括Sophos)。Germanow说:“思科为有线和无线网络提供了整合式安全架构,从而可以提供遵从法规所需的控制级别。”
伯顿集团的Disabato赞同Germanow对VLAN的看法。Disabato 说:“企业一定要小心,切忌部署的VLAN过于细化。每个部门都部署一个VLAN反而达不到目的,因为这会给网络管理带来沉重的负担,从而会减少安全带来的回报。”
他又说:“一旦你确定了公司的需求,VLAN是个出色的技术解决方案。应当把作为安全解决方案的VLAN的成本同其具有的好处做一比较。除非你进行了准备工作,并考虑了某项技术与业务环境之间的关系,否则就不要购买这项技术。”
Disabato还支持身份作为整合式的安全和管理解决方案。他问道:“一旦你确定了允许谁可以访问网络,那么该如何为他们提供配置服务并加以控制呢?”对整合式的有线/无线架构而言,理想的安全解决方案将包括某种用户策略管理,该策略管理能够控制访问和授权,以便遵从法规;并且其应用范围可以扩大到为VoIP提供细化授权。
基于角色的安全和基于规则的角度进行一定程度上的结合将会是最佳方法。单纯的VLAN是基于角色的方法,应当把针对授予有线和无线用户的不同级别权限的规则作为其补充手段。据分析师声称,身份管理的全球销售额预计会从2004年的7.38亿美元猛增至2008年的102亿美元。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
Fortinet发布最新全球信息安全调查报告 中国用户最担心无线安全
近日,全球高性能网络安全解决方案厂商Fortinet发布了2015年最新的全球信息安全调查报告,无线网络安全成软肋。
-
警惕针对Wifi的五大无线攻击
Wifi网络极大地方便了我们的生活,但是,大家是否知道,使用这些Wifi存在某些安全风险,而这些风险又会导致我们的信息或者财产损失呢?
-
Sophos收购Cyberoam 扩充网络安全、UTM和新一代防火墙的产品线
Sophos成功收购Cyberoam Technologies,将Cyberoam的UTM、新一代防火墙与Sophos目前在UTM和无线网络安全解决方案结合在一起,进一步扩充和深化Sophos在网络安全方面产品组合。
-
专家揭露iOS应用程序漏洞 并描述了问题的广泛性
两个移动设备安全专家最近发现了一个简单的编码漏洞,它普遍存在于苹果iOS平台上的应用程序中。