Airespace无线局域网安全解决方案
Airespace无线安全框架
完善无线局域网技术,服务关键业务应用
自1999年初业界批准802 11b标准以来,有一个问题始终是在企业网络中广泛部署无线局域网(WLAN)的主要障碍,即安全性问题。尽管多数网络管理员和最终用户都很清楚应用无线网络在提高工作效率方面的优越性,但很少有IT主管愿意选择使用无线方式传输重要数据,因为这种方式自身存在着安全隐患。业界在提高无线网络安全性方面的首次尝试是制定有线等价协议(WEP),但此次努力并没有在多大程度上消除人们的顾虑。相反在被几位天才的伯克利大学工科学生攻破之后.许多企业都确信部署无线网络的时机尚未成熟。
简言之.原有的无线局域网解决方案在安全性方面尚存在很大的改进空间。要让企业应用无线网络,充分利用无线技术的优势,必须使用新的安全手段:这种安全手段必须足够灵活,能够适应IT主管面向多种用户和所使用的各种客户端设备的安全需求。此外,它应该稳定可靠.能够充分保护敏感的企业数据。Airespace的无线安全框架可以提供所需的全部功能。
保护您的无线空间:不利因素与有利因素
图1:在传统的WLAN方法中,WLAN安全性是分离的
首先说不利因素;与有线网络相比,WLAN的安全性不容易管理,甚至更加不安全;在无可奈何的情况下,很多IT部门已经向将未授权接入点带入工作场所的员工发出"禁入"命令。许多正在部署(或已经部署)无线网络的管理员。依靠现有的虚拟专用网(VPN)技术来提供一定水平的网络安全。不幸的是这种简单叠加的方法在用于大型无线局域网环境时就显得捉襟见肘.具体原因如下:
· 多数现有VPN解决方案的设计目的是支持低速连接.数量有限的远程用户因此不适合
处理整个企业无线网络要求的通信量。
· 这种'拿来主义'的方法要求IT主管重新考虑其网络上的通信流量.因为将有更多的数
据通过VPN网关进入骨干网。网络需要额外的。
· 安全和管理网元,包括设备和软件包。
· 现有IP VPN解决方案不能解决无线技术特有的安全性问题接入点和蓄意频率干扰。
· 远程接入解决方案并不能提供整个系统的策略协调和实施.而这正是企业范围解决方
案所要求的。
· 现有VPN解决方案的设计无法支持多种操作环境和客户端。
现在讲有利因素;Airespace提供新的安全框架可以提供系统化的无线安全手段它把无线局埔网作为关键业务网络来看待.而不仅是提供远程接入服务。Airespace解决方案提供的管理工具统一了网络基础结构1-3层的安全手段,
图2:Airespace为实现无线安全性提供了一个统一的框架
Airespace安全框架
Airespace提供了一个包含五个方面的安全框架可以简化管理快速变化且种类各异的WLAN安全问题的复杂度,并满足甚至是最为偏执的企业无线网络的综合安全需求。它包含一系列集成的工具和功能 以满足大型企业和服务提供商的虽严格的安全要求。与Airespace安全框架有关的五个部分包括。
(1) 硬件证书一所有接入点、交换机之间的通信都进行加密。所有硬件都带有X.509证
书。
(2) 板载VPN终止一Airespace交换机可以安全地终止来自业界领先的IPsec客户端的VPN
通信.从而缓解远程接入VPN网关的衰竭现象,提供优于传统远程接入解决方案的性
能。
(3) 控制和管理无线子系统一Airespace解决方案持续监控RF域,以检测干扰和潜在安全
漏洞。
(4) 统一的安全策略一Airespace安全框架带有一个综合策略引擎,使网络管理员能够快
速提供网络1-3层的各种安全策略,同时又能兼顾到不同的用户组和不同种类的、变
化的应用环境。
(5) 高级策略实施一Airespace安全框架可以在同一个接入点上支持多种安全策略.避免
了昂贵的并且会降低网络性能的额外接入点。所有策略都集中管理、本地实施,不
需要添加专用客户端软件。
1. 发布安全策略,而不是安全碎片
并不是在系统部署时才建立安全机制,而呈在系统制造时就建立安全机制。为了满足苛刻的安全要求,Airespace在制造过程就向每件产品中插入了X 509证书。因此无论是有线通信还是无线通信Airespace组件之间的所有通信都是安全的。这一点与其他内部安全机制结合在一起,就可以使系统免受各种拒绝服务{D。5}和破坏性攻击的影响即使在系统第一次启动时也不例外、系统组件都附带有一个证书,因此Airespace解决方案可以自动检测网络中的授权和未授权接入点这不仅在最大程度上确保了安全性 而且可以使管理员无须向网络数据库手动添加接入点。就这一点而言.Airespace解决方案不仅提供了安全性 还有助于减轻部署无线网络的工作负荷
2.无线VPN能够发挥所需作用
传统VPN体系结构的设计用于以相对低速的连接提供安全远程接入。为此。VPN网关通常都部署在网络边缘,只能同时支持数量有限的用户。尽管这种方法在小型部署中已见成效(Airespace支持这些环境中的VPN通道)但它不能扩展到企业的关键无线网络中,原因有以下几点:
· 用现有VPN技术支持无线用户将对VPN集中器造咸额外的压力。多数情况下,这些设备
的设计初衷并不呈用于同时处理成百上千的网络用户。
· VPN集中器位于企业网络的边缘。由于IPsec通信需要穿过企业网络才能到达边缘的集
中器.所以很容易造成骨干网拥塞的问题。
· 由于每个企业用户的无线网络和远程接入网络都需要VPN软件,所以客户端管理工作
将变得更加繁重。
· 当VPN通信回送到边缘集中器时.将出现延迟 它会造成不可避免的超时或不断要求重
新验证。除了比较麻烦之外,还会妨碍部署时间敏感性的应用业务(例如,语音、视
频和实时数据)。
Airespace解决方案通过在无线网络内直接终止VPN会话解决了这些问题。因此可以为无线和远程接入部署不同的VPN基础结构。IPsec通信不必再回送到网络边缘。从而确保以最小限度的操作得到最佳性能的网络{例如,减少拥塞和滞后时间}。Airespace认识到许多领先的新的安全技术{如WPA}都需要专门的硬件加速才可以高效地运行。
Airespace平台在整个系统中都采用了专用硬件。不仅用于在第2层加速安全性处理,还用于确保满足时间敏感性的应用业务的要求。如IP语音(Voice over IP)。多播和视频。而且。Airespace的VPN解决方案是专门针对无线用户设计的。而移动性是无线用户的本质特点。因此,有别于传统的VPN方法,Airespace提供的"VPN跟随"解决方案可以让用户在网络程度上确保了网络灵活性,并满足了无线需求。"VPN跟随"解决方案可以与业界领先IPsec供应商的客户端协同工作,所以不需要额外的管理(或成本)。
3.RF介质是共享介质,但却是安全的
作为共享介质,无线通信的安全性天生就低于有线基础结构。Airespace凭借AireWave Drector"软件来解决这个问题。该软件是用于在无线环境中确保安全性的一组综合管理工具。它可以持续监视无线空间寻找未授权的用户。除了能确定未授权用户的位置。管理员还可以通过AireWave Director软件实施拒绝未授权AP接入这些网络的策略.并在适当的时候生成警报。AireWave Director软件也可以实时监视对无线网络的干扰。检测到干扰后,可以使用Airespace解决方案来确定其来源并采取纠正措施。例如,当干扰来自泄漏的微波炉或蓝牙电话时,其响应措施则需要同来自恶意客户端发出的DoS攻击区别开来,网络管理员可以通过该管理系统予以区别对待。第三个潜在安全漏洞是有未授权客户端试图通过骗取SSID或密码来攻击系统。Airespace系统将自动跟踪试图进入网络的未授权用户,并将其列入黑名单。持续入侵者:降不允许连接到临近的接入点,或者整个Airespace域中的任何接入点及交换机。网络管理员可以决定这类用户在黑名单中保留多长时间,并在需要时将其重新连入网络。
4.发布安全策略,而不是安全碎片
Airespace安全框架的关键特征在于认识到了不同的客户端有着不同的安全要求,而它则具有支持多种安全方案的能力。因此。从安全性出发,Airespace解决方案被设计为支持各种不同类型的环境。例如,IP语音(VoIP)客户端可能需要WEP支持,以便能访问相应的网络资源.移动PC可能需要IPsec和TKIP/WPA;PDA缺少PC处理资源,因此可能只支持IPsec客户端。Airespace安全框架的设计宗旨就是要将所有这些不同的客户端设备以无缝的方式融合在一起。
Airespace安全框架提供了独一无二的功能。可以在整个网络基础结构的1-3层集成并管理安全策略。通过将无线通信、数据链略和网络安全技术整合到一千统一的结构中。来部署这样一个综合的解决方案。具体而言,Airespace安全框架支持下列各层的安全协议和技术;
· 层1(射频)-可实时监视无线空间,寻找未授权的接入点和干扰源,并采取合理的防
范措施。
· 层2-WEP、WPA、8021X
· 层3-VPN/Ipsec、DES、3DES、AES、支持802.1X验证、RADIUS和TLS。
· 通过SS、SSH、SNMP V2/V3和X.509证书进行安全管理。
5.大处着眼,小处着手
使用Airespace安全框架中的安全策略引擎,网络管理员可以快速:阵安全策略推广至独立接入点或接入点组,从而避免了必须将安全策略逐一配置各个接入点(通过SSID)这个当前市场的难题。在Airespace独有的正在申请专利的结构里。单个接入点可以同时支持多达16种安全策略,这样就可以在降低设备部署的相关成本同时达到最大限度的灵活性。
例如,在单个Airespace 1200接入点上执行的Airespace软件框架可以同时支持128位WEP、802.1x和WPA。管理员可以针对不同用户组选择不同的安全策略。井在单个接入点上使所有这些用户都保持活动状态:而另一接入点可能仅支持开放internet接入和64位WEP。新兴的技术可以通过软件升级添加到Airespace接入点,不需要进行彻底升级,这有助于网络管理员以经济有效的方式为现在和以后的业务需求做准备。
Airspace安全策略实施方法具有双重价值
简化并控制安全策略过程一与现有接入点方法不同,网络管理员可以将用户策略快速分配或重新分配至网络中的设备,而无需一一配置。
免去额外的接入点及冲突的接入点一现今的接入点基础结构成本高,管理和维护费用昂贵。例如,要将三种不同的策略分到无线网络的某一区域,管理员不得不在相近的距离间布置好几种不同的接入点。这种方式不但花费高,而且有可能在不同的接入点间造成相互干扰(最终会导致网络性能下降)。
总而言之:保护您的无线空间
如前所述,现今刚起步的端点安全手段极其复杂而且"羽翼未丰",不足以支持无线网络的大规模企业部署。Airespsce安全框架是第一个使管理员可以将无线网络变得与有线网络一样安全的系统:企业可以籍此将无线技术搬出实验室,走入局域网,支持所有关键的语音、视频和数据业务应用。有了Airespace的安全无线解决方案.各种规模和类型的企业都可以让无线空间运转起来
|
