很多厂商都在宣传整合有线和无线局域网安全方案,但是一些网络安全专家,如爱尔兰供电局(The Electricity Supply Board,ESB)的IT安全专家Ruairi Brennan不那么认为。Brennan说:“隔离有线和无线网络会让安全漏洞仅存在于Wi-Fi网络。”该供电局无线局域网是由60台Aruba网络接入点组成,支持8000到10000个用户,它专门给会议室和其它无法使用有线网络的地方提供无线接入。
在安全方面,ESB使用AirTight的SpectraGuard企业级无线IPS(无线入侵预防产品)和SpectraGuard SAFE终端保护系统,把它们部署在一起后,这些产品可以阻止有线和无线网络的“桥接”。
Brennan说:“如果在局域网上的用户同时接入了外面的无线AP,那将带来很大的安全隐患。你会在一个安全的局域网和无线网络中未知的AP间架起桥梁。”这为受保护的数据提供了非法切入点。
SpectraGuard公司的程序包通过执行认证策略,阻止未经授权的设备接入无线局域网,保障无线局域网的安全。它还可以检测非法AP,防止它们连接局域网,而且它还有集中管理和策略部署功能。SpectraGuard SAFE产品部署在终端,阻止用户在接入有线网络的情况下连入无线局域网,反之亦然。
无线局域网策略集中控制
Atlantic Health医院把由2000台思科AP组成的无线局域网分解成几个独立策略,部署在6家医院。无线局域网为病人提供了免费的公共Wi-Fi,为NICU会议室提供了私人无线接入,为救护车和移动看护者提供了远程接入,为医院医务人员间的移动通信提供了Vocera badges通讯系统,还有遥测报告和其他类型的无线通信。
根据Atlantic Health基础架构支持和服务主管Pat Zinno介绍,Atlantic Health将不会为无线局域网安全使用第三方产品。诸如WPA2加密,认证和非法AP检测的射频监控等安全机制将安装在AP和控制器中,这些都由思科无线定位设备集中管理。它不管接入的是什么设备,都可以按照地理位置部署用户策略和射频容量管理。
思科整合无线网络安全和有线网络入侵检测系统方案,但现在,Atlantic有线和无线安全策略仍然是独立的。Zinno说:“Atlantic Health有线局域网安全没有无线的要求高、也没那么复杂。毕竟,电脑接入网络的端口都是由防火墙保护的。企业还使用了Sourcefire的入侵检测系统产品,监控所有经过网络的流量,”他相信整合迟早会到来。“通过监控有线/无线网络的流量越多,效果越好。”他说。
整合有线和无线局域网安全 从日志和报表开始
负责无线和有线网络安全的网络工程师希望他们的安全事件信息统一而不是他们的安全工具统一。他们想要一个平台可以收集不同的报表,用同一标准展示信息视图,来分析防火墙和服务器上的日志。
Gartner咨询公司著名分析师John Pescatore说:“一套安全事件管理产品可以关联这些事件,帮助企业看清安全隐患,而不是制造混乱。当然是无线局域网安全产品整合到有线安全产品中。”
Zinno说:“因为基本需求的差别,要进一步集成安全策略到极其复杂的网络上是非常困难的。按照用户访问的程序,企业将在有线和无线网络上设置相同的基本策略。然而,企业还应该在有线和无线上分别部署各自的高级安全策略。无线网络经理关注射频接口,它的测试和排除故障技术应该与有线局域网完全不一样。”
整合有线和无线局域网安全方案,会有人要吗?
诸如SonicWall和Fortinet安全公司销售的整合一体化系统可以为网络简单的小公司提供整合方案。安全公司针对进入无线局域网的流量扩展了他们的UTM(统一威胁管理)系统,包括防火墙,内容监控和入侵检测。
SonicWALL声称可以用“哑”AP提供分布式无线网络,将无线流量连接到集中式有线/无线UTM设备上。
负责远程访问安全的SonicWALL产品线经理Matthew Dieckman说:“所有流量都会回到UTM上,我们可以根据它做出明智的决定。SonicWALL认为无线流量不可信,除非它经过UTM设备扫描。只有这样,它才可以应用和有线局域网流量相同的访问规则。Pescator说:“对于寻找方案价格最低的小公司,一台组合的设备也许就行。另一个方案适合拥有一些小型分支办事处的企业。如果让我负责这些办事处,而且他们只需要一个接入点,我很容易做到,因为我无需在各个分支机构使用独立的安全方案。但是把这套方案扩展到更复杂的网络中却没那么容易。
更大的无线安全问题:各种各样的无线设备
很多企业在采用有线和无线网络安全整合方案上,行动缓慢。因为他们有更紧急的无线安全问题还没解决。
首先,网络部经理更担心如何监控和解决各种无线设备,像智能手机,平板电脑和其他充斥在网络里的无线设备,如自动售货机。Atlantic Health基础架构支持和服务主管Pat Zinno说:“如果我有一个工具,我希望它可以管理网络中所有的无线设备。”除此之外,Atlantic Health网络也受到微波炉和蓝牙设备的干扰。如果某人不小心把一台带有蓝牙的扫描仪放在有Wi-Fi传输的地方,Zinno团队得找出这个设备在哪,目前的工具效果不是很理想。Zinno正在测试思科的CleanAir频谱分析仪。思科称它可以发现无线电干扰问题,找到问题源头,然后自动解决。
工程师还希望无线入侵防御系统设备除了能检测非法接入点,也可以判断企业网络中是否有人违规使用3G或4G。在政府机构和医疗行业,就更得符合法规要求。
虽然整合有线和无线网络安全方案看上去是能让管理更简洁,但是无线网络工程师仍然会要求无线网络功能与企业有线网络不同。除非这些安全规范可以合并到一个完整的系统,企业很有可能继续坚持独立管理两个安全系统。