摘要:很多厂商都在宣传整合有线和无线局域网安全方案,但是一些网络安全专家,如爱尔兰供电局(The Electricity Supply Board,ESB)的IT安全专家Ruairi Brennan不那么认为。
很多厂商都在宣传整合有线和无线局域网安全方案,但是一些网络安全专家,如爱尔兰供电局(The Electricity Supply Board,ESB)的IT安全专家Ruairi Brennan不那么认为。Brennan说:“隔离有线和无线网络会让安全漏洞仅存在于Wi-Fi网络。”该供电局无线局域网是由60台Aruba网络接入点组成,支持8000到10000个用户,它专门给会议室和其它无法使用有线网络的地方提供无线接入。
在安全方面,ESB使用AirTight的SpectraGuard企业级无线IPS(无线入侵预防产品)和SpectraGuard SAFE终端保护系统,把它们部署在一起后,这些产品可以阻止有线和无线网络的“桥接”。
Brennan说:“如果在局域网上的用户同时接入了外面的无线AP,那将带来很大的安全隐患。你会在一个安全的局域网和无线网络中未知的AP间架起桥梁。”这为受保护的数据提供了非法切入点。
SpectraGuard公司的程序包通过执行认证策略,阻止未经授权的设备接入无线局域网,保障无线局域网的安全。它还可以检测非法AP,防止它们连接局域网,而且它还有集中管理和策略部署功能。SpectraGuard SAFE产品部署在终端,阻止用户在接入有线网络的情况下连入无线局域网,反之亦然。
无线局域网策略集中控制
Atlantic Health医院把由2000台思科AP组成的无线局域网分解成几个独立策略,部署在6家医院。无线局域网为病人提供了免费的公共Wi-Fi,为NICU会议室提供了私人无线接入,为救护车和移动看护者提供了远程接入,为医院医务人员间的移动通信提供了Vocera badges通讯系统,还有遥测报告和其他类型的无线通信。
根据Atlantic Health基础架构支持和服务主管Pat Zinno介绍,Atlantic Health将不会为无线局域网安全使用第三方产品。诸如WPA2加密,认证和非法AP检测的射频监控等安全机制将安装在AP和控制器中,这些都由思科无线定位设备集中管理。它不管接入的是什么设备,都可以按照地理位置部署用户策略和射频容量管理。
思科整合无线网络安全和有线网络入侵检测系统方案,但现在,Atlantic有线和无线安全策略仍然是独立的。Zinno说:“Atlantic Health有线局域网安全没有无线的要求高、也没那么复杂。毕竟,电脑接入网络的端口都是由防火墙保护的。企业还使用了Sourcefire的入侵检测系统产品,监控所有经过网络的流量,”他相信整合迟早会到来。“通过监控有线/无线网络的流量越多,效果越好。”他说。
整合有线和无线局域网安全 从日志和报表开始
负责无线和有线网络安全的网络工程师希望他们的安全事件信息统一而不是他们的安全工具统一。他们想要一个平台可以收集不同的报表,用同一标准展示信息视图,来分析防火墙和服务器上的日志。
Gartner咨询公司著名分析师John Pescatore说:“一套安全事件管理产品可以关联这些事件,帮助企业看清安全隐患,而不是制造混乱。当然是无线局域网安全产品整合到有线安全产品中。”
Zinno说:“因为基本需求的差别,要进一步集成安全策略到极其复杂的网络上是非常困难的。按照用户访问的程序,企业将在有线和无线网络上设置相同的基本策略。然而,企业还应该在有线和无线上分别部署各自的高级安全策略。无线网络经理关注射频接口,它的测试和排除故障技术应该与有线局域网完全不一样。”