別只顧升級 802.11ac、企業應重新審視安全政策是否過時
IEEE 802.11ac 的出現到現在已經將近一年時間,雖然無線技術(Adaptive Antenna Array)的速度已大大提升,但是支援千兆(Gigabit)無線網絡的安全標準並沒有任何變化。事實上,802.11g 和 802.11n 仍然都使用 WPA2 的加密協定。新標準的推出,加上流動裝置數量及功能的增長,都會促使網絡管理員重新審視自己網絡的無線安全策略。
你升級了無線網絡的安全策略嗎?
首先了解 IEEE 802.11ac 的功能。802.11ac 相比於 802.11n 的標準有很大改進,支援這個標準的 WLAN 系統能夠支援超過 1Gbps 的數據傳輸速度。在數據傳輸速度方面,802.11ac 有如下特徵:
-舊標準的最大無線頻寬從 40MHz 增加到 80MHz 或者 160MHz。頻寬增加使最大數據傳輸速度加快。
-推出加大 Packet 數據存儲量的改進技術。每一個 Packet 可存儲的數據量加大,並提升數據傳輸速度。
-支援 MIMO 技術,可以在同一個無線頻道上同時發送和接收多個數據流(Data Stream)。新標準最多支援 8 個數據流,單裝置最多可支援 4 個。單裝置傳輸流數量提升至該裝置的總傳輸速度。
-完全支援 Beamforming,這個技術允許一個 AP 通過多個全向天線將其傳輸能量全部聚焦在一個特定的方向上。聚焦信號可以增強信號強度,從而提升離 AP 距離較遠的裝置的連接性能。IEEE 802.11n 標準支援波束成型,但是不同的裝置供應商採用不同的實現方式,因此實用性大打折扣。新標準定義實現方法,方便了不同供應商產品之間的操作。
重新審視安全性
對於一些企業而言,IEEE 802.11ac 的出現並不令他們對無線安全策略作出重大修改。這些企業已經認識到他們的員工都在使用流動裝置,也已經更新他們的安全策略。其中還有許多企業已經通過一些更新解決員工自帶裝置(BYOD)等問題,但是還沒有重新審視自己的策略。也就是說,所有部署 IEEE 802.11ac 的企業都應該明確自己目前的 WAN 是否運行在 5GHz 頻寬上,無論是他們是否已經更新安全策略。802.11n 的標準可以運行在 2.4GHz 或 5GHz 頻寬上。IEEE 802.11ac 則只能運行在 5GHz 頻寬上。如果應用新標準時,企業是第一次使用 5GHz 頻寬,那麼他們有必要更新掃描裝置及其他流程,檢查運行在更高頻寬的惡意 AP 及其入侵企圖。
沒有任何一組流動安全策略適用於所有企業。有些策略與一些特殊的法律息息相關,如醫療保險的法規;其他策略則是保護不同類型的敏感數據,如企業財務記錄或產品規劃與設計。一些企業有流動辦公員工,而另一些企業的員工則在辦公室工作,但是也會在家裡登錄公司系統。每一個企業都需要一種專門針對自己業務設計的安全策略。
隨網絡變化而更新
當無線網絡剛剛出現時,人們只是將它看作是有線網絡的補充。它們適合用來在辦公室外閱讀郵件或在會議上作筆記,但是大多數工作仍然是在員工工作台上通過有線網絡完成。無線網絡徹底改變安全假設條件。通過有線網絡的數據存取員工登錄帳號和乙太網中的端口VLAN 身份來確認,而基於端口的 VLAN 存取已經不適用於無線網絡。相反,無線網絡的存取必須基於最終用戶的身份來完成。
裝置類型也是一個關鍵因素。許多員工都有多個流動裝置,雖然他們可能只允許在個人手機上接收郵件,但是只能使用企業分配和配置的手提電腦去存取。此外,位置可以用來控制存取。安全軟件可以使用各種手段來確定員工位置,如 GPS 數據或網絡路由(Tracert)跟蹤。員工在家裡限制存取的數據,而在辦公場所就可以解除約束。當員工走出辦公室和走進公司餐廳時,他們就無法存取詳細的財務信息。
BYOD 策略也需要重新評估。每隔幾個月時間就有新裝置發佈,而且它們的功能也越來越複雜。幾年前制定的策略現在可能已經無法適應新環境。IEEE 802.11ac 大大提升無線網絡容量,但是它只是代表無線技術發展的最新動態。毫無疑問,還會有更多具有更複雜功能的標準出現。但是,底線是不變的:網絡安全經理必須定期檢查無線安全策略,了解不斷發展的技術,理解應該如何調整才能更有效地利用這些新功能。