很多廠商都在宣傳整合有線和無線局域網(wǎng)安全方案,但是一些網(wǎng)絡安全專家,如愛爾蘭供電局(The Electricity Supply Board,ESB)的IT安全專家Ruairi Brennan不那么認為。Brennan說:“隔離有線和無線網(wǎng)絡會讓安全漏洞僅存在于Wi-Fi網(wǎng)絡。”該供電局無線局域網(wǎng)是由60臺Aruba網(wǎng)絡接入點組成,支持8000到10000個用戶,它專門給會議室和其它無法使用有線網(wǎng)絡的地方提供無線接入。
在安全方面,ESB使用AirTight的SpectraGuard企業(yè)級無線IPS(無線入侵預防產(chǎn)品)和SpectraGuard SAFE終端保護系統(tǒng),把它們部署在一起后,這些產(chǎn)品可以阻止有線和無線網(wǎng)絡的“橋接”。
Brennan說:“如果在局域網(wǎng)上的用戶同時接入了外面的無線AP,那將帶來很大的安全隱患。你會在一個安全的局域網(wǎng)和無線網(wǎng)絡中未知的AP間架起橋梁。”這為受保護的數(shù)據(jù)提供了非法切入點。
SpectraGuard公司的程序包通過執(zhí)行認證策略,阻止未經(jīng)授權的設備接入無線局域網(wǎng),保障無線局域網(wǎng)的安全。它還可以檢測非法AP,防止它們連接局域網(wǎng),而且它還有集中管理和策略部署功能。SpectraGuard SAFE產(chǎn)品部署在終端,阻止用戶在接入有線網(wǎng)絡的情況下連入無線局域網(wǎng),反之亦然。
無線局域網(wǎng)策略集中控制
Atlantic Health醫(yī)院把由2000臺思科AP組成的無線局域網(wǎng)分解成幾個獨立策略,部署在6家醫(yī)院。無線局域網(wǎng)為病人提供了免費的公共Wi-Fi,為NICU會議室提供了私人無線接入,為救護車和移動看護者提供了遠程接入,為醫(yī)院醫(yī)務人員間的移動通信提供了Vocera badges通訊系統(tǒng),還有遙測報告和其他類型的無線通信。
根據(jù)Atlantic Health基礎架構支持和服務主管Pat Zinno介紹,Atlantic Health將不會為無線局域網(wǎng)安全使用第三方產(chǎn)品。諸如WPA2加密,認證和非法AP檢測的射頻監(jiān)控等安全機制將安裝在AP和控制器中,這些都由思科無線定位設備集中管理。它不管接入的是什么設備,都可以按照地理位置部署用戶策略和射頻容量管理。
思科整合無線網(wǎng)絡安全和有線網(wǎng)絡入侵檢測系統(tǒng)方案,但現(xiàn)在,Atlantic有線和無線安全策略仍然是獨立的。Zinno說:“Atlantic Health有線局域網(wǎng)安全沒有無線的要求高、也沒那么復雜。畢竟,電腦接入網(wǎng)絡的端口都是由防火墻保護的。企業(yè)還使用了Sourcefire的入侵檢測系統(tǒng)產(chǎn)品,監(jiān)控所有經(jīng)過網(wǎng)絡的流量,”他相信整合遲早會到來。“通過監(jiān)控有線/無線網(wǎng)絡的流量越多,效果越好。”他說。
整合有線和無線局域網(wǎng)安全 從日志和報表開始
負責無線和有線網(wǎng)絡安全的網(wǎng)絡工程師希望他們的安全事件信息統(tǒng)一而不是他們的安全工具統(tǒng)一。他們想要一個平臺可以收集不同的報表,用同一標準展示信息視圖,來分析防火墻和服務器上的日志。
Gartner咨詢公司著名分析師John Pescatore說:“一套安全事件管理產(chǎn)品可以關聯(lián)這些事件,幫助企業(yè)看清安全隱患,而不是制造混亂。當然是無線局域網(wǎng)安全產(chǎn)品整合到有線安全產(chǎn)品中。”
Zinno說:“因為基本需求的差別,要進一步集成安全策略到極其復雜的網(wǎng)絡上是非常困難的。按照用戶訪問的程序,企業(yè)將在有線和無線網(wǎng)絡上設置相同的基本策略。然而,企業(yè)還應該在有線和無線上分別部署各自的高級安全策略。無線網(wǎng)絡經(jīng)理關注射頻接口,它的測試和排除故障技術應該與有線局域網(wǎng)完全不一樣。”
整合有線和無線局域網(wǎng)安全方案,會有人要嗎?
諸如SonicWall和Fortinet安全公司銷售的整合一體化系統(tǒng)可以為網(wǎng)絡簡單的小公司提供整合方案。安全公司針對進入無線局域網(wǎng)的流量擴展了他們的UTM(統(tǒng)一威脅管理)系統(tǒng),包括防火墻,內(nèi)容監(jiān)控和入侵檢測。
SonicWALL聲稱可以用“啞”AP提供分布式無線網(wǎng)絡,將無線流量連接到集中式有線/無線UTM設備上。
負責遠程訪問安全的SonicWALL產(chǎn)品線經(jīng)理Matthew Dieckman說:“所有流量都會回到UTM上,我們可以根據(jù)它做出明智的決定。SonicWALL認為無線流量不可信,除非它經(jīng)過UTM設備掃描。只有這樣,它才可以應用和有線局域網(wǎng)流量相同的訪問規(guī)則。Pescator說:“對于尋找方案價格最低的小公司,一臺組合的設備也許就行。另一個方案適合擁有一些小型分支辦事處的企業(yè)。如果讓我負責這些辦事處,而且他們只需要一個接入點,我很容易做到,因為我無需在各個分支機構使用獨立的安全方案。但是把這套方案擴展到更復雜的網(wǎng)絡中卻沒那么容易。
更大的無線安全問題:各種各樣的無線設備
很多企業(yè)在采用有線和無線網(wǎng)絡安全整合方案上,行動緩慢。因為他們有更緊急的無線安全問題還沒解決。
首先,網(wǎng)絡部經(jīng)理更擔心如何監(jiān)控和解決各種無線設備,像智能手機,平板電腦和其他充斥在網(wǎng)絡里的無線設備,如自動售貨機。Atlantic Health基礎架構支持和服務主管Pat Zinno說:“如果我有一個工具,我希望它可以管理網(wǎng)絡中所有的無線設備。”除此之外,Atlantic Health網(wǎng)絡也受到微波爐和藍牙設備的干擾。如果某人不小心把一臺帶有藍牙的掃描儀放在有Wi-Fi傳輸?shù)牡胤剑琙inno團隊得找出這個設備在哪,目前的工具效果不是很理想。Zinno正在測試思科的CleanAir頻譜分析儀。思科稱它可以發(fā)現(xiàn)無線電干擾問題,找到問題源頭,然后自動解決。
工程師還希望無線入侵防御系統(tǒng)設備除了能檢測非法接入點,也可以判斷企業(yè)網(wǎng)絡中是否有人違規(guī)使用3G或4G。在政府機構和醫(yī)療行業(yè),就更得符合法規(guī)要求。
雖然整合有線和無線網(wǎng)絡安全方案看上去是能讓管理更簡潔,但是無線網(wǎng)絡工程師仍然會要求無線網(wǎng)絡功能與企業(yè)有線網(wǎng)絡不同。除非這些安全規(guī)范可以合并到一個完整的系統(tǒng),企業(yè)很有可能繼續(xù)堅持獨立管理兩個安全系統(tǒng)。