集中式无线局域网(WLAN)架构的应用极大降低了成本并简化了无线系统管理、安全和升级任务,使其得到了普遍应用和快速发展。
特别是,随着802.11n和Mesh技术的推出,无线网络正在成为有线以太网的可选替代品。但是对于取代有线网络而言,Wi-Fi必须提供高安全性和可靠性。那么有哪些措施可以防止非法访问?网络管理员如何监控那些“看不见”的东西呢?
虽然一些标准如Wi-Fi WPA2和802.11i能够提供全新水平的无线安全能力并且得到了新的监视和入侵保护工具的支持,但企业更感兴趣如何将IT安全和物理安全的优点结合在一起。
遗憾的是企业很难为无线网络设置增加物理安全的防范措施。那么,企业如何平衡在为自己的员工和访客提供移动技术便利的同时,提供对这种难以管理的自由性进行必要检查之间的矛盾呢?
例如,企业不希望员工访问的敏感信息,如人力资源、财务或新产品文档,虽然它们也在无线局域网可达范围内。财务部门实现移动很有意义,需要限制除财务部门以外的无线访问,以阻止其他人可能看到敏感资料。
这就是基于定位的安全技术发挥作用的根本所在:基于用户的位置限制WLAN访问权限。这样,除了增加了一个安全层,定位控制再加上访问权限还可以防止网络单元的过载(并且阻止“拒绝服务”的攻击),以及限制访客在哪里可以访问网络。
当今先进的WLAN交换机可以通过采用无线接入点采集的数据来报告便携机或移动设备的位置。这些所谓的“定位”服务已经被广泛应用于跟踪企业的资产。例如,在医院,它们被用来定位医生、输血设备和外科手术设备的位置。但是,该项技术能够以“地理围栏”的形式在安全方面发挥更大的作用。“地理围栏”这一术语主要指基于移动员工和访客的地理位置以及授权状态等因素,从而限制对网络访问的活动。
用户的身份基于一种或多种ID(如RFID访客牌和移动Wi-Fi设备)来建立,同时采用定位算法来确定具体ID的位置,这样就实现了对某人适当的网络访问级别的设定。其基本的前提是围绕每一个移动设备和每名用户建立了一个虚拟的访问围栏。这就是它的工作原理。无线交换机“跟踪”用户在楼内的行动,根据他的授权状态和是否在指定的允许区域,来认可或拒绝他对网络资源的访问。
另外,它还设定了只有当ID卡(物理安全)符合提供给指定的用户和他的移动设备时,才能访问无线局域网和网络资源,这样就极大地降低了某人使用其他用户的便携机或移动设备访问网上非授权信息的可能性。
再举一个例子,无线交换机能够对访客进行监视,当他在会议室与公司其他员工在一起时允许访问WLAN,而离开会议室之后的访问则予以拒绝。同时,“地理围栏”还可以在访客离开允许区域后发出告警信息,并终止WLAN访问。
采用RFID标签和阅读器,企业可以记录用户何时通过某个RFID门和阅读器,以进行总体资产跟踪。但是,最准确的定位信息一般是依靠称之为Wi-Fi三角定位的技术来获得。这样,采用WLAN接入点和支持位置功能的无线交换机,企业可以通过以3个或更多接入点为信标,测量发射物体的信号强度或对设备进行探测,来跟踪网络中的每一个移动设备。
因为大多数企业的无线局域网在进行配置时都是为了确保最优的应用吞吐量,所以通常在接入点覆盖范围方面有很大的交叠。这意味着在任意地点,一个移动设备都能与某个接入点连接,但同时仍然可以看到和连接附近的其它接入点。采用Wi-Fi三角定位方法对移动设备定位时,需要楼内的3个接入点。该方法有3到5米的定位误差,准确度超过90%。
有些企业组合使用Wi-Fi、RFID和其它新技术来得到更加详细的位置信息,称之为复合法。其基本前提是通过无线交换机分析来自各方的数据(Wi-Fi和RFID)来生成网络中每一个移动设备和用户的更加精确的位置图像。
IT安全、物理安全工具如ID卡,以及WLAN上移动设备实时监视等手段的综合使用,把网络的防护和智能辨认功能提升到更高的层次。其中的“地理围栏”可以创建一个伴随每一个移动设备移动的客户化的无形围栏,使网络管理员能够确保每一个设备仅能访问网络上的被授权的区域和资源。(作者为摩托罗拉企业移动解决方案事业部企业无线局域网部门副总裁兼总经理)