WEP+VPN：打造无线网络的安全之门

WEP+VPN：打造无线网络的安全之门

    

    
     无线网络不可抗拒的魅力促使英特尔开始为整个公司遍布全球的8万名员工部署802.11b无线局域网（WLAN）。802.11b无线标准之所以能够从众多标准中异军突起，独获英特尔的青睐，主要在于它提供了无缝的无线连接，能够显著改进网络访问性能、提高公司生产力。
    
     随着英特尔员工开始采用基于最新英特尔迅驰移动计算技术的笔记本电脑，这一措施变得更具实际意义。英特尔公司的员工经常携带笔记本电脑到会议室和其它场所，借助无线网络，他们可随时接入公司网络。项目小组可根据需要随时上网查找文件、访问演示文稿、发送电子邮件和进行Web搜索，而不会打断会议进程。目前，大约有65%的英特尔员工配备了笔记本电脑。
    
     为了部署802.11b网络，英特尔IT部门安装了无线接入点（AP）设备，作为将客户机连接到网络的无线基站。这些接入点使用线缆与服务器相连，覆盖范围可达300英尺（视墙壁和楼层的干扰而定）。具有无线功能的笔记本电脑可通过这些接入点无线接入网络。图1 表示了简单的接入点配置。
    
     最重要的是，英特尔无线网络使用户能够随意漫游，并始终保持与网络的连接。某一员工将笔记本电脑与其办公桌上的主网络或有线网络断开后，即可以通过无线接入点(AP)建立网络连接。如果会议转到另一个会议室举行，用户将可以通过另一个AP再次登录到网络上。用户所使用的网络资源和服务没有任何变化。
    
    
    
     保护象英特尔公司这样庞大的无线网络并非一件易事。英特尔IT部门主要有两个安全目标：
     · 利用强大的身份验证特性防止非法人员访问公司网络。
     · 利用优异的加密性能防止数据在传输过程中被窃听。
    
     802.11b技术规范本身提供了一定程度的保护。其内建的WEP（有线对等保密）协议是对用户进行身份验证和对数据加密的常用方法。WEP打包技术可在传输前将数据打乱，之后使用名为共享密钥验证（shared key authentication）的算法对客户机进行身份验证。理论上只有享有接入点发出的密钥的人员才能破译信号。但在实际使用中，WEP并不能满足英特尔对网络安全的要求。从802.11b数据流中可以获取用于打乱数据的密钥基础结构。这意味着黑客可以重新组织起有效密钥，并利用它们伪装成网络的授权客户，进入到采用WEP保护的802.11b无线网络。经过精挑细选，虚拟专用网（VPN）技术最终获得了英特尔IT部门的青睐。
    
    
    
     虚拟专网（VPN）旨在使客户机系统能够通过公共互联网安全地连接到服务器上。它采用了强大的身份验证和加密机制，并在过去几年里经受住了重重的考验。此外，VPN还能够在两点间建立一个通道，使在互联网上传输的数据避免遭到入侵。
    
     VPN安全方案建立在互联网密钥交换（IKE）协议之上。该协议是IPSec（IP安全的缩写）的一部分，它提供了三种身份验证协议，用以保护数据和通信。IT管理员可以使用密钥加密技术对数据包中的标头和有效负载进行加密，从而使得数据包可以在传输过程中抵御住所有已知的攻击。在互联网密钥交换协议中，可以使用双方之间的预共享私密密钥或标准公共密钥加密技术来对数据包进行加密。此外，互联网密钥交换还支持数字证书，从而在数字证书通过认证机构（如VerSign等）的验证后，可为数据提供另一层的保护。
    
     VPN获得了希望通过公共互联网提供远程网络接入的公司的广泛认可。通过在系统间建立安全链路，它可以使公司摒弃使用众多昂贵的调制解调器。随着宽带互联网接入的不断发展，VPN还将可以提供更快、更安全的远程网络接入。
    
     通过在802.11b网络中部署业经验证的VPN安全机制，企业可以在无线客户机与企业网络之间建立安全的连接。在历经3年多的实际考验之后，VPN成为用户心中最受欢迎的解决方案。英特尔IT部门的研发管理人员称之为久经考验的安全解决方案。
    
     在实际工作中，VPN将在客户机和VPN网关之间建立一对一的安全连接。在802.11b网络中，VPN网关位于无线接入点后面。一般而言，网络的每一客户机均通过一个专用的VPN通道与网络连接。数据包经由无线网络从一台客户机向另一台发送时，首先需经过VPN通道，之后逐次通过接入点和VPN网关。随后数据包将通过无线局域网抵达另一个VPN网关，此处它们将进行加密，之后通过无线接入点发送至接收客户机。通过将VPN网关置于802.11b接入点后面，公司可以确保所有无线传输的信息都在严密保护之下。图3为一个采用VPN技术保护的网络。
    
     然而，VPN技术也是管理层需要解决的挑战之一。鉴于VPN（通道模式下）对标头和有效负载数据均进行加密，因此它无法与传统的加密设备共存。例如，网络防火墙在允许数据进入网络前需要对其进行检查。然而，由于VPN隐藏了数据包的数据，防火墙将使其为有害数据，拒绝放行。
    
     此外，许多网络中使用的网络地址转换（NAT）方案亦可能影响VPN的工作。NAT旨在防止出现两个相同的互联网IP（互联网协议）地址，在通过互联网发送数据包前，它将把电脑在局域网中的IP地址转换成公共地址。这一方法可以有效隐藏客户机系统的IP地址，避免受到攻击。然而，如果转换时数据包已被加密，则VPN接收方将会检测到这一变化，并拒绝接收，从而导致网络连接失败。
    
     现在，在采用端到端的兼容性解决方案的前提下，英特尔公司正将这一解决方案部署于网络之中。例如，选择来自同一厂商的防火墙和VPN解决方案，两者之间的兼容性将相对较高。如网络中存在多个移动和远程通信设备，客户端的VPN应由软件进行控制。在这种情况下，企业的所有终端使用相同的软件将至关重要。
    
    
    
     在无线局域网中部署VPN还有另外一个优势：由于VPN是一种交叉传输解决方案，它可以成为企业用以保护有线和无线网络的唯一技术标准。从本地客户机到员工家庭电脑，再到员工在酒店使用的笔记本电脑，IT部门能够为其提供一个连续统一的安全防护网。
    
     IT部门面临的一个真正挑战为使市场中众多的VPN解决方案实现标准化。有许多解决方案可以提供某种程度的一致性。这一点非常重要，因为在使用不同的VPN解决方案时（根据所涉及的介质而定），可能会引起不必要的麻烦。英特尔IT部门认为这一环境正逐步走向成熟，将可以为IT管理员提供更高的互操作性和跨平台支持。随着这些解决方案的出现，为网络部署适当的VPN技术和相应的管理工作将变得比较简单。然而，管理员仍需谨慎进行规划，以创建一个可以支持所有相关平台和使用模式的解决方案。其中的工作将非常艰辛，但回报亦将令人欣喜。
    
    
    
     借助可最大限度地提高移动性和沟通灵活性的技术，企业将可以显著提高员工的工作效率。802.11b无线标准具有无缝集成、出色数据传输速率和支持多厂商互操作性等众多优势，是部署无线连接的理想选择。通过精心部署，虚拟专用网（VPN）与802.11b无线标准内建的有线对等保密（WEP）协议的完美组合，将可以为公司的无线802.11b环境提供强大的安全保护。虽然在企业中部署VPN方案需要进行仔细的规划和管理，但英特尔的体会是：尽管工作有一定难度，但绝对物有所值。