无线局域网的安全防护
来源:中国IT实验室 更新时间:2007-09-23

 

英特尔移动平台集团副总裁AnandChandrasekher指出,通过完善的设计,当前无线环境中存在的很多问题与障碍都完全是可以克服的。

他称:“我们重点考虑了在无线环境中采取哪些必要措施来改善安全性,首先就是要建立一种可预测的简单无线体验。为此,我们将应用在处理器和芯片组上的验证流程扩展到了无线环境。我们不仅将无线芯片与平台放在一起验证,而且还把它与一系列来自业内领先厂商的接入点放在一起进行验证。”

英特尔在全球有数千名员工对公共无线热点与英特尔?迅驰?移动计算技术的兼容性进行验证,以确保这些热点不仅能够支持该技术,而且还能够充分利用平台中内建的安全特性。

Chandrasekher指出:“我们不仅在接入点领域与VeriSign*、CheckPoint*以及iPass*等业界领先厂商进行了合作,同时还在提供专为英特尔?迅驰?移动计算技术平台进行优化的安全性解决方案领域保持着密切的合作关系。”

今年2月份,英特尔与CheckPoint*软件技术公司宣布达成一项多年协议,双方将合作增强虚拟专用网(VPN)的安全性,与基于英特尔?迅驰?移动计算技术的公司网络易用性。

VPN预计将在未来几年内得到广泛应用,不仅对于公司网络而言,而且还包括任何需要无线连接能力的个人。英特尔计划最终将VPN软件内建于其无线解决方案之中。

更安全的信息通道

VPN是一类可在公共网络中进行配置的虚拟专用网,就好像是穿过公共场所的一条隧道。VPN使用接入控制与端对端加密来在公共网络中构建一个安全的网络,今天已被广为运用到各个领域,从而使人们通过使用互联网基础设施即可远程登录到公司网络上。

就保护无线数据的完整性而言,最有前途的解决方案之一就是使用虚拟专用网。用户接入VPN所需做的一切只是在一个简单的登录界面(如上图所示)输入其个人信息。

Chandrasekher称:“VPN加密提供了一款强大的安全性解决方案,它可在有线与无线连接上提供更为安全的连接能力。”

在该协议下,英特尔与CheckPoint将合作实施与验证具有高度安全性的无线接入解决方案。英特尔称基于英特尔?迅驰?移动计算技术的系统将可以从增强且业经验证的CheckPointVPN-1SecureClient软件中受益匪浅。此款软件包含有集中管理的个人防火墙保护与VPN连接能力。

对于基于英特尔?迅驰?移动计算技术的系统,该解决方案将可以在无线环境中提供VPN自启动功能,同时还可在集成可信平台模块(TPM)技术的系统上提供基于硬件的双因素(Two-factor)鉴权支持。

英特尔?迅驰?移动计算技术包含针对LEAP、WPA(SSN)以及WEP的工业标准和扩展的无线LAN安全支持。由思科与微软所开发的LEAP采用了可扩展鉴权协议(EAP),它可与802.11x结合提供各式各样的鉴权机制,例如远程鉴权拨入用户服务(RADIUS)等。

英特尔称通过部署高级的安全与鉴权技术,例如TCPA(可信计算平台联盟)指定的TPM,企业将可以更好地保护其信息资产。TPM技术不仅可增强无线安全性,同时还可增强整个移动平台的安全性。

在旅行中使用无线笔记本电脑或PDA接入互联网的一般消费者完全不必这么麻烦。但是,他们仍然需要采取一些必要的保护措施(例如启用WEP加密,修改默认的MAC地址ID等),以确保个人数据的安全。由于一些公共热点需要您在登录之前关闭WEP加密功能,因此安装正确配置的个人防火墙与最新的防病毒软件就显得至关重要。

无人可否认无线计算存在安全问题,这也是英特尔为什么要不遗余力地提供尽可能充分的安全支持的原因。但是,只要多一分小心,这些问题并不是不可解决的,无线计算完全可发挥其全部潜力。

安全检查

无论您是在使用公共无线热点,还是仅仅连接到家庭或公司网络,您都需要使用一些基本的原则来保护您的无线连接:

1.在接入点激活MAC地址验证,修改缺省的MAC地址ID和密码;

2.启用128位加密;

3.启用802.11加密;

4.安装个人防火墙,并正确进行配置,确保诸如信用卡号、银行帐号和电子邮件地址等信息不会在未经许可的情况泄露出去;

5.安装防毒软件;

6.如果您需要接入公司、家庭或校园网,则还需要在个人防火墙之外安装虚拟专用网如果您使用笔记本电脑进行工作,并需要通过公共无线热点访问公司网络,则需要请求网络管理员为您建立网线连接。

以下是一些适用于网络管理员的原则:

1.深刻谨记无线网络正在工作之中。它并非向听起来那么简单。由员工或黑客安装的非法接入点能够在您不知情的情况下将一个有线网络转变成无线网络;

2.确保您企业建立了完善的安全政策,全体员工都必须清楚各项规定,并严格予以执行。规定无线网络的注意事项,并对网络使用的设备实施标准化工作,确保采用最新的安全补丁和升级程序;

3.在无线网络之上安装虚拟专用网,最好能够采取其它一些安全措施,如安全令牌和数字证书等。通过将无线网络作为您网络的一种远程接入方式,并将其集成至您的网络安全层中,将可以为员工和合作伙伴提供双重保护的安全远程接入;

4.尽可能使用特定方向的体现,朝向周围360度区域进行广播的全防线天线更容易受到攻击;

5.在您整体安全解决方案中建立入侵检测系统;

6.将无线局域网视为与互联网一样不安全,并采取相应的安全措施。