802.11b无线标准之所以能够从众多标准中异军突起,独获英特尔的青睐,主要在于它提供了无缝的无线连接,能够显着改进网络访问性能、提高公司生产力。
作者:论坛管理 来源:zdnet安全频道 2008年12月17日
关键字: 无线局域网
无线网络不可抗拒的魅力促使英特尔开始为整个公司遍布全球的8万名员工部署基于802.11b标准无线局域网(WLAN)。802.11b无线标准之所以能够从众多标准中异军突起,独获英特尔的青睐,主要在于它提供了无缝的无线连接,能够显着改进网络访问性能、提高公司生产力。
随着越来越多的英特尔员工开始采用基于最新迅驰移动计算技术或英特尔移动式处理器的笔记本电脑,这一措施变得更具实际意义。英特尔公司的员工经常携带笔记本电脑到会议室和其它场所,借助无线网络,他们可随时接入公司网络。项目小组可根据需要随时上网查找文件、访问演示文稿、发送电子邮件和进行Web搜索,而不会打断会议进程。目前,大约有65%的英特尔员工配备了笔记本电脑。
然而保护诸如英特尔等如此庞大的网络并非易事。英特尔主要有两个安全目标:
• 利用强大的身份验证特性防止非法人员访问公司网络。
• 利用优异的加密性能防止数据在传输过程中被窃听。
802.11b技术规范本身提供了一定程度的保护。其内建的有线对等保密(WEP)协议是对用户进行身份验证和对数据加密的常用方法。WEP封装技术可在传输前将数据打乱,之后使用名为共享密钥验证(shared key authentication)的算法对客户机进行身份验证。理论上只有享有接入点发出的密钥的人员才能破译信号。但在实际使用中,WEP并不能满足英特尔对网络安全的要求。从802.11b数据流中可以获取用于打乱数据的密钥基础结构。这意味着黑客可以重新组织起有效密钥,并利用它们伪装成网络的授权客户,进入到采用WEP保护的802.11b无线网络。经过精挑细选,虚拟专用网(VPN)技术最终获得了英特尔IT部门的青睐。
通过在802.11b网络中部署业经验证的VPN安全机制,企业可以在无线客户机与企业网络之间建立安全的连接。在历经3年多的实际考验之后,VPN仍是用户心中最受欢迎的解决方案。英特尔IT部门的研发管理人员称之为久经考验的安全解决方案,对于它能够帮助英特尔大展宏图深信不疑。
工作中,虚拟专用网(VPN)将在客户机和VPN网关之间建立一对一的安全连接。在802.11b网络中,VPN网关位于无线接入点后面。一般而言,网络的每一客户机均通过一个专用的VPN通道与网络连接。数据包经由无线网络从一台客户机向另一台发送时,首先需经过VPN通道,之后逐次通过接入点和VPN网关。随后数据包将通过无线局域网抵达另一个VPN网关,此处它们将进行加密,之后通过无线接入点发送至接收客户机。通过将VPN网关置于802.11b接入点后面,公司可以确保所有无线传输的信息都在严密保护之下。
适用于802.11b无线网络的VPN解决方案:
图:在数据抵达位于无线接入点后面的VPN网关之前,将一直处于加密状态之下。
现在,在采用端到端的兼容性解决方案的前提下,英特尔公司正将这一解决方案部署于网络之中。例如,选择来自同一厂商的防火墙和VPN解决方案,两者之间的兼容性将相对较高。如网络中存在多个移动和远程通信设备,客户端的VPN应由软件进行控制。在这种情况下,企业的所有终端使用相同的软件将至关重要。
使用VPN增强公司网络的安全
在无线局域网中部署VPN还有另外一个优势:由于VPN是一种交叉传输解决方案,它可以成为企业用以保护有线和无线网络的唯一技术标准。从本地客户机到员工家庭电脑,再到员工在酒店使用的笔记本电脑,IT部门能够为其提供一个连续统一的安全防护网。
IT部门面临的一个真正挑战为使市场中众多的VPN解决方案实现标准化。有许多解决方案可以提供某种程度的一致性。这一点非常重要,因为在使用不同的VPN解决方案时(根据所涉及的介质而定),可能会引起不必要的麻烦。英特尔IT部门认为这一环境正逐步走向成熟,将可以为IT管理员提供更高的互操作性和跨平台支持。随着这些解决方案的出现,为网络部署适当的VPN技术和相应的管理工作将变得比较简单。然而,管理员仍需谨慎进行规划,以创建一个可以支持所有相关平台和使用模式的解决方案。其中的工作将非常艰辛,但回报亦将令人欣喜。在VPN的部署过程中,英特尔公司总结出一系列的经验,可供参考。
部署技巧
在网络操作方面,没有绝对的安全。英特尔IT部门每年要花费数千小时来重新修正政策和步骤、部署最新技术和管理网络环境。随着无线网络浪潮的发展,更须小心谨慎。以下为IT管理员在使用无线技术时需谨记的几件事情:
• 掌握和灵活应用专业知识:安全性是一门特殊的学科,它要求您具备独到的见解和丰富的经验。在掌握专门处理安全问题的IT能力的过程中,所有工作都需要认真去思考。
• 测试、测试、再测试:公司应考虑聘请外部顾问对自身的安全设施和政策予以审核和测试。如果您缺乏相关的专业知识,则此不失为一个最有效的办法,将可以帮助您找出网络中最薄弱的环节。
• 关注无线环境:从定义的角度而言,无线网络面临着最大的威胁,几乎任何人都可以借助天线轻松窃取网络流量……甚至在数英里以外也可轻松办到。您的安全政策和部署方案应集中考虑解决这一威胁。
• 寻求标准化:WEP的魅力之一在于它提供了一个保护802.11b网络的通用基础,而与具体厂商或设备无关。相比而言,VPN更为复杂,但公司可以通过尽可能购买单一厂商的产品,实现平稳移植。对于众多大型公司而言,VPN增强的安全性足可以弥补其昂贵的成本这一缺点。
• 小心谨慎:如果被黑客得到密钥,加密将失去其应有的作用。同样,如果攻击者能访问到可信赖的客户机(如员工的家庭电脑),并利用它们来进入您的网络,VPN也将无济于事。因此您需要为员工提供大量有关密码管理和电脑使用方面的培训,以增强您的安全方案。
• 随时准备终止访问:确保您的账户终止程序能在需要时迅速终止访问。如果由于IT流程的缺陷,某一心怀不满或有敌意、并能够访问到敏感或关键系统的员工,在终止雇佣后意外地保留了对网络的访问权,其后果将不堪设想。因此您需要随时做好应对准备。
总结
借助可最大限度地提高移动性和沟通灵活性的技术,企业将可以显着提高员工的工作效率。802.11b无线标准具有无缝集成、出色数据传输速率和支持多厂商互操作性等众多优势,是部署无线连接的理想选择。通过精心部署,虚拟专用网(VPN)与802.11b无线标准内建的有线对等保密(WEP)协议的完美组合,将可以为公司的无线802.11b环境提供强大的安全保护。虽然在企业中部署虚拟专用网(VPN)方案需要进行仔细的规划和管理,但英特尔的体会是:尽管工作颇为艰辛,但物有所值。