VLAN為保護無線網絡開了個好頭��,但是還不夠�����,還需要驗證機制�����。
市場數據可以從一個側面反映WLAN急劇增長的勢頭:據In-Stat/MDR聲稱�����,全球Wi-Fi客戶機(移動PC��、PDA和手機)的銷售額在2004年增長了66%��;Wi-Fi硬件(接入點和交換機)今年的銷售額有望超過60億美元�����;如今交付的便攜式電腦有90%配備WLAN卡��。而到2004年年底�����,Voip用戶的數量激增了8倍��,超過了100萬��。
IDC無線分析師Abner Germanow認為����,對于治理WLAN上的VoIP流量而言,共用的安全和治理架構仍是一項進行中的工作�����,有待完善��。他說:“許多WLAN廠商把虛擬局域網(VLAN)作為治理VoIP流量的首選的解決方案��?�!盫LAN讓網絡工程師能夠對流量進行劃分����,這樣某個VLAN上的用戶只能看到該VLAN上的流量。
權宜之計
VLAN的確為防范WLAN的兩大安全威脅—破壞性接入點和會話欺騙(session spoofing)提供了行之有效的對策��,因為它可以集中控制802.1X驗證,防止破壞性接入點偽裝成授權的WLAN入口通道����。VLAN還能利用客戶機和服務器加以保護的加密隧道,粉碎會話欺騙的陰謀�����?����?蛻魴C和服務器都使用散列值對自己進行驗證����。
但是,VLAN只是一個不錯的權宜之計��,它可以創建子網�����,從而劃分不同類型的LAN流量��,如VoIP�����。Germanow說,“因為網絡上沒有大量的設備�����,但這僅僅是開始階段����。到了某個階段�����,VLAN權宜之計不再管用�����,這時企業就需要尋求其他方案��?�!?
企業在融合無線和有線網絡的安全和治理之前�����,應當先做好預備工作。研究公司伯頓集團的無線安全主管Michael Disabato認為����,第一步應當是對融合的無線和有線網絡存在的安全和治理問題進行風險分析。他說����,一個重要目的就是“確定所有用戶的一系列共同的驗證、訪問和授權策略��?����!?
無線和有線網絡能夠融合成共用的安全和治理基礎設施��,其動因是由于當初許多企業竭力保護WLAN�����,以免遭到訪問靈活�����、敞開的無線熱點地區移動用戶面臨的獨特威脅。Disabato說:“無線LAN長期以來就需要強驗證����,因為無線會話面臨種種威脅。如今��,這種強驗證及治理的應用范圍擴大到了有線LAN��?�!?
融合兩個LAN架構����,為用戶保護及治理兩種大不相同的基礎設施提供了具有成本效益的手段����。而可以猜測的投資回報將對推動無線網絡技術的爆炸式增長起到要害作用。
必要的強認證
對融合的治理和安全框架而言��,最主要的方案就是�����,為敏感的應用和數據提供更有效的訪問控制����。Germanow說:“每家交換機和接入點廠商都有針對訪問和身份治理的安全策略����?����!?
思科在2004年公布的網絡準入控制(NAC)計劃就是旨在集成來自多家WLAN廠商的安全和配置治理信息(許多廠商支持NAC����,其中包括Sophos)。Germanow說:“思科為有線和無線網絡提供了整合式安全架構��,從而可以提供遵從法規所需的控制級別�����?����!?
伯頓集團的Disabato贊同Germanow對VLAN的看法�����。Disabato 說:“企業一定要小心,切忌部署的VLAN過于細化����。每個部門都部署一個VLAN反而達不到目的,因為這會給網絡治理帶來沉重的負擔�����,從而會減少安全帶來的回報��?���!?
他又說:“一旦你確定了公司的需求����,VLAN是個出色的技術解決方案。應當把作為安全解決方案的VLAN的成本同其具有的好處做一比較�����。除非你進行了預備工作�����,并考慮了某項技術與業務環境之間的關系,否則就不要購買這項技術�����?����!?
Disabato還支持身份作為整合式的安全和治理解決方案����。他問道:“一旦你確定了答應誰可以訪問網絡,那么該如何為他們提供配置服務并加以控制呢�����?”對整合式的有線/無線架構而言����,理想的安全解決方案將包括某種用戶策略治理,該策略治理能夠控制訪問和授權��,以便遵從法規�����;并且其應用范圍可以擴大到為VoIP提供細化授權。
基于角色的安全和基于規則的角度進行一定程度上的結合將會是最佳方法��。單純的VLAN是基于角色的方法����,應當把針對授予有線和無線用戶的不同級別權限的規則作為其補充手段。據分析師聲稱��,身份治理的全球銷售額預計會從2004年的7.38億美元猛增至2008年的102億美元����。
