如何让无线网络更安全

发表于:2007-05-25来源:作者:点击数: 标签:安全无线网络如何
由于对安全性存在怀疑,所以很多公司对于移动办公没有信心。但是无线技术还是在不断取得进步。 当许多公司发现很难控制办公室员工的IT应用时,你如何使他们相信让员工拥有远程访问控制权限是一个好的想法? 对所有的笔记本电脑、无线网络以及远程管理软件制
由于对安全性存在怀疑,所以很多公司对于移动办公没有信心。但是无线技术还是在不断取得进步。  


当许多公司发现很难控制办公室员工的IT应用时,你如何使他们相信让员工拥有远程访问控制权限是一个好的想法?

对所有的笔记本电脑、无线网络以及远程管理软件制造商和零售商来说,这是一个两难的选择。有太多的因素需要考虑。为用户提供一个移动的解决方案,使得公司员工能够远程访问公司网络并不是一件很轻松的事情。

当然,现实中确实有太多的问题存在。比如员工将他们的笔记本电脑丢在出租车后备箱中,而使得黑客嗅探到那些保护不够的数据。类似这样的问题都让那些谨慎的客户觉得移动网络只是个概念,无法投入实际应用。

通常情况下,人们都有充分的理由对远程访问安全性不信任。不幸的是远程设备的安全性也做的还远远不够。人们已经证明,位于底层的无线基础设施和不安全的有线等效加密(WEP)安全协议中存在着无数的安全漏洞。

另外,还有你的员工:你真的相信他们会非常负责的保护塞满了公司数据的价值2000英镑的笔记本电脑吗?因为现在仍然有人不那么负责任。即使在你和你的员工之间通过一个非常安全的SSL VPN来传输来往的信息,一旦价值2000英镑的笔记本电脑在落入其他人手中,你也无法保证该通道传输信息的安全性。

D-Link的市场通信主管Bal Phull 表示,“市场中对于远程访问的需求越来越多,许多人的认为这种技术是一种不错的技术,但是他们认为这只是与IT部门相关。另外由于文化上存在差异,使人们接受在移动中办公的理念还需要一段时间,而且速度没有想象的那么快。”

“但是,我们从零售商处还是看到了一些令人鼓舞的迹象。虽然有许多公司仍然认为如果看不到自己的员工,这名员工就有可能不努力工作。这是一个信任的问题。事实上一个远程工作的员工每天花在工作上的时间可能会更多。”

LAN 2 LAN的销售主管Gary Duke表示,“所有公司都存在的第一个问题是,他们认为可能会因此而丧失知识产权。这种想法和那些不让公司的员工将存储有公司信息的设备、存储卡带出办公室的想法是一样的。但是,已经有很多公司实现了简单的远程访问电子邮件以及客户关系管理方面的应用。”

Ingram Micro的网络销售主管Kevin Vine也同意这种看法。“如果仅仅允许访问电子邮件、客户关系管理或者公司的日常事务方面的应用,还是有很多公司愿意朝着这个方向努力,甚至有些公司已经实现了这样的应用。”

他表示,“如今,从我们的零售商处得到的一些反馈表明,他们想要推出更多企业应用访问的服务。但是,要实现这个目的,他们需要在服务质量和安全性方面有所保证。移动办公需要解决的两个主要问题是:无线网络设施以及远程网络的安全性;增加移动设备如笔记本电脑的安全性。”

无线网络的安全一直是安全领域没有很好解决的一个问题。最基本的事实是数据的传输是通过无线电波来实现的,而这种传输方式很容易被中途截取。并且,如同病毒作者和防病毒公司的关系一样,黑客们已经走在了无线网络的安全标准的前面。多年以前,无线网络主要还是用于家庭之中而不是用于工作场所。

这也就可以解释为什么早期的无线技术标准802.11几乎没有将重点放在安全性、可扩展性以及网络管理等方面。对于家庭用户来说,如果仅仅使用一个无线路由器或者通过微波来管理两台PC以及一个笔记本电脑之间的连接的话,看起来也就没有考虑这些方面的必要。

谢天谢地,形势总是在不断前进,虽然前进的速度缓慢。随着等待已久的安全标准802.11i在六月被采用,无线网络也就有了一个强壮的安全标准集合,从而允许公司推出具有有线网络安全性的无线网络。

由于相应的产品最近才出现,因此,明年市场上才会真正的大量出现带有增强安全性的无线产品。到那时,渠道合作伙伴和提供商面临的主要工作是消除留在商业客户脑海中的各种负面因素。

3Com 的产品经理Scott Rivers 表示,“除了支持移动用户外,目前的无线网络还可以满足人们的日常业务、基本的应用等方面的需要。”

“然而,许多IT管理员认为无线网络缺乏有线网络的安全性,这是无线网络没有被广泛采用的原因。由于无线网络受到数字化威胁的次数和严重性在不断增加,因此只有当无线网络能够真正提供充分的保护,大多数公司才有可能会采用无线网络。”

“事实证明这种担心是正确的。Wi-Fi标准是为消费者和企业所设计的一种容易实现的标准。所有Wi—Fi认证的设备上使用的都是40位共享密钥的有线等效加密(Wired Equivalent Privacy,WEP),它为用户提供基本的安全性,但这种实现方法并不是一个端到端的安全解决方案。”

“对于大多数的SoHo(小办公室或者在家办公)以及那些想要防止其他用户偶然窃听无线网络或者防止那些由黑客发起的寻找开放无线系统的企业用户来说,这个级别的安全性足够了,但是对于大多数的企业和组织来说,它还无法满足他们的需求。”

虽然目前很多新产品都支持更快并且更出色的802.11g协议,但是目前大多数无线局域网还都是基于802.11b协议来构建的。他们所提供的安全仍然是基于WEP的,但是最近有很多针对WEP的攻击。

但是,必须要记住的是,最初创建这种无线网络的时候,大都是用于家庭的,那时的数据安全性不是一个问题。

虽然WEP能够提供40位的加密,但是,黑客只要拥有笔记本电脑、天线以及一些从网上下载的工具,就可以快速截取通过无线电波传送的数据包,从而获得进入公司网络的后门的方法。

他们可能确实需要花费很多时间,但是完成这些攻击工作之后,剩下的就是从相互信任的专业人士的移动设备上盗取数据。

所以,在有线等效加密受到众人的打击并且在公司对其失去信心的时候,电气与电子工程师协会(IEEE)在2002年末引入了Wi—Fi保护访问(WPA)——这是新发布的802.11i安全标准的一个子集,802.11i 目前工作的不错。

WPA使用临时密钥完整性协议(TKIP)来实现加密,同时使用扩展认证协议(Extended Authentication Protocol)来实现认证和密钥分发。另外,还使用消息完整性验证(MIC)来防止伪造消息。

对于无线网络中发送的需要加密的数据,TKIP可以动态的改变加密密钥——也就是每个数据包使用的密钥都各不相同。由于目前大多数的产品都支持WPA,并且官方版本的802.11i已经出现,因此WLAN的安全将可以大大提高——提高到让大多数企业都感到可以接受的水平。

在802.11i协议中,使用了高级加密标准(AES),这个标准使得不够安全的40位的WEP变成一个能够提供从128位到256位等多种级别的安全协议。通过使用AES,无线网络世界终于实现了有线网络的安全性。

新升起的明星——VPN
现在,你可以通过无线连接安全的访问数据,那你用什么方法来实现这种安全的呢?大多数公司都喜欢选择某种形式的VPN技术。一般说来,有两种形式的VPN:IPSec VPN以及快速升起的新星——SSL VPN。

IPSec VPN使用web作为传输媒体,这使得公司能够节约大量的钱财,因为这样一来,他们不需要支付专门的网络费用就可以进行远程连接。

对于大多数公司来说,在公司的防火墙上添加一个安全的网络连接方式是可以接受的。但是也有人说,要实现远程访问,在移动设备上安装和配置IPSec VPN客户端的方式可能是比较昂贵的,而且可能还存在着技术上的挑战。通常情况下,用户不仅可能将安装工作弄得一团糟,还可能无法正确配置软件,所以使用这种技术的VPN会增加相应的管理成本。

这也是会出现SSL VPN的原因。这种VPN技术也是使用web作为传输媒体,但是SSL VPN不要求远程用户在他们的笔记本电脑上安装或者配置客户端软件。另外,和IPSec VPN所不同的是,它也不需要重新配置防火墙来允许他们进行通信,因为SSL VPN使用的是防火墙已经打开的端口来进行安全web通信的。

市场研究公司Yankee Group声称,使用SSL要比IPSec便宜45%,并且要比拨号访问要便宜72%。Duke表示,“SSL VPN的出现,使得移动用户眼前一亮。在桌面上不需要做任何修改,因为没有必要安装任何东西,并且所有的维护工作都是由IT部门来实现的。”

“银行也是使用这样的技术来为你提供在线银行服务的。”

根据大多数主要的市场观察者的意思,销售额的飞速增长从一个侧面反映出SSL的普及。市场调查公司Synergy Research Group在一份报告中指出,在2004年的第一季度,SSL VPN的销售额与2003年的同一时期相比增长了220%。

Datamonitor曾经预测,SSL VPN将是防火墙、VPN市场上需求增长最快的产品,它将从2003年的一亿二千万美元增长到2007年的10亿美元以上。InStat/MDR指出,尽管2003年在技术方面的投资增长恢复缓慢,但是SSL VPN的销售还是增长了160%。

分析师声称,企业认为这是“为他们忠实的移动用户提供安全的远程访问”的最好方式。

那么硬件方面会有什么变化?尽管使用PDA和智能手机的用户在增多,但是笔记本电脑仍然是大多数公司中的移动用户使用的最多的关键设备。如今作为一种标准配置,要求新的笔记本电脑必须带有无线连接的能力,因此对于这种移动需求来说,有很多用户已经完成设备的配备。

脆弱的连接
问题是即使为你的员工提供了一个安全的笔记本,他们仍然有很多可能无法正确的利用这些安全手段。从将这些安全的笔记本丢在酒店到使用愚蠢而简单的口令,这些统统都将被视为是不安全的脆弱连接。

去年,国际CSI组织(Computer Security Institute,计算机安全学会)发现,被攻击的公司网络中57%的原因都是由于计算机被盗,并且这些被盗的笔记本电脑平均造成的财政损失为89,000美元。

这就是笔记本电脑提供商为了减少用户的担心,一定把安全作为系统一部分的原因。从在芯片和操作系统内部构建安全到绑定安全软件以及引入高级安全技术手段如在产品中使用生物技术等等,现在笔记本的安全已经在考虑使用用户的指纹来实现它的安全性。

Intel的Centrino笔记本芯片现在支持更为安全的无线802.11标准版本,这样一来,即使你在不用的时候忘了关闭你的无线连接,也不会造成数据的被盗。

笔记本电脑提供商还在他们的产品中引入了生物技术。美国的Gateway以及IBM最近都在他们的特定型号的笔记本电脑上添加了指纹扫描设备。将这种技术和唯一的用户口令或者安全令牌结合在一起,每个用户就可以得到一个量身定做的安全的笔记本电脑。

虽然这种技术原来很昂贵,但是如今指纹扫描器却相对比较便宜。和其他的移动安全问题一样,这也为零售商提供了另一个绑定服务的机会。到最后,它就不会象无线硬件设备或者笔记本电脑和PDA那样带来利润了。

Vine表示,“整个无线领域中存在着大量的机会,从售前的咨询建议到售后的服务。另外还有大量的与无线相关的安全问题。”

“在这个领域的安全不再是问题了,现在已经有零售商能够拿出很好的无线安全解决方案,只是需要另外再添加一些硬件产品而已。”

Duke也同意这种看法,“对于公司来说, 最大的问题是他们一直在考虑安全问题从而使得他们一直处于无线网络的外围——配置这种网络的技术现在已经不很昂贵,并且作为零售商,你还需要将服务打包在其中。我们希望这个包是一个安全的包。”他表示。

“企业要能识别登录到系统中的人的身份。这个额外的包就是零售商可以赚钱的地方。”

在过去,只有大公司才考虑网络安全方面的问题,Rivers表示,“如今,大家都知道了可能存在的威胁。事实上,安全问题现在变成了小公司最关注的问题。对于中小企业来说,零售商可以采取咨询的方法,并且要让他们很好的理解安全技术。”

如今的零售商看起来更应该像是一个中小企业的IT主管。毕竟,与售后服务合同相比较而言,销售以及安装所赚到的只是很小的一部分。”他表示。

原文转自:http://www.ltesting.net