企业无线局域网安全:802.11和无线网络的无缝漫游(四)

日期: 2009-08-24 作者:Lisa Phifer翻译:王波 来源:TechTarget中国 英文

无线安全岛   WWANs和WLANs通常都采用不同的措施来验证和保护数据传输。企业WLAN安全主要是关于维持企业网络(有线和无线)安全不被滥用和攻击;企业WWAN安全的重点是保护企业数据,因为它通过公共网络。   WLANs内,管理员使用802.1x控制企业网络的使用,其次是802.11i(AES)加密,以确保保密性和完整性。其他的方法可以用于不同的用户群体或者应用,例如,WPA-PS为了手持设备,如VoIP电话,或受控的门户为了访客。

然而,所有的这些措施开始和结束都在本地网络,仅仅确保了那个网络周边很细的长条——即无线边缘。   相反,工作人员通过WWANs连接,使用安全的远程访问方法:S……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

无线安全岛

  WWANs和WLANs通常都采用不同的措施来验证和保护数据传输。企业WLAN安全主要是关于维持企业网络(有线和无线)安全不被滥用和攻击;企业WWAN安全的重点是保护企业数据,因为它通过公共网络。

  WLANs内,管理员使用802.1x控制企业网络的使用,其次是802.11i(AES)加密,以确保保密性和完整性。其他的方法可以用于不同的用户群体或者应用,例如,WPA-PS为了手持设备,如VoIP电话,或受控的门户为了访客。然而,所有的这些措施开始和结束都在本地网络,仅仅确保了那个网络周边很细的长条——即无线边缘。

  相反,工作人员通过WWANs连接,使用安全的远程访问方法:SSL保护的网络门户,TLS加密的电子邮件连接,和/或虚拟专用网络(VPN)隧道。这些方法被开发用以实现商务旅客、远程工作者和加班工作人员基于互联网的接入。因此,他们是独立于网络,旨在几乎全程通过隧道保密数据到达他们的最终目的地。

  对于坚持单一无线网络类型的用户来说,选择很简单。但是,当移动用户在不同的网络之间漫游时,混淆和破坏就会出现。首先,在任何特定时间,应该使用哪种无线服务。其次,从一个网络附着点转移到另一个所产生的影响。最后,在独立的安全岛之间跳跃所带来的后果。

  移动VPNs弥补了这个缺口

  企业管理员如何确保移动PDAs和笔记本电脑漫游在不同无线网络时始终安全和有效?默认情况下,许多公司开始要求无处不在的WWAN连接(和安全性)。这往往导致了在蜂窝网络无法穿透的建筑物内,连接缓慢和断续连接。而且,即便在蜂窝网络工作,公司也会怒于支付运营商WWAN接入的费用,它相比WLANs拥有更高的速度。

  合乎逻辑的下一步——使用简单的连接管理器以削减从WWAN到WLAN——引发了一系列的新问题。当用户从一个网络附着点漫游到另一个时,应用会话必须被迅速修正,同时尽量减少中断。普通的VPNs不能解决这一需要;他们实际上可能会要求隧道重建,这使事情变得更糟。

  另一方面,移动VPNs明确的目的是用来解决无关联的无线和有线网络之间的缺口。像传统的VPNs,移动VPNs使用认证的、加密的隧道来保证业务数据传送于不可信网络的安全。另外,移动VPNs可以提供以下功能:

  •网络独立性:移动VPNs可以运行于几乎任何公共或私人网络,其中包括拨号、小区宽带连接、以太网LAN、WLANs、WWANs、卫星数据网络、甚至非IP无线网络。

  •网络透明度:移动VPNs通过提供一个稳定的安全环境、应用程序接口和用户体验,试图消除网络差异。从工作人员的角度看,连接就是简单的上传和下载。从管理员的角度看,连接总是提供相同的安全性。

  •网络持续性:当设备在网络间漫游,他们便失去了IP地址和身份验证状态。移动VPNs通过分配每个客户端它们自己的虚拟IP地址来解决这个问题,这些虚拟IP地址在物理IP地址改变时仍然不变。这种持续的地址避免了漫游产生的连接重置和重新认证。

  •挂起/恢复透明度:智能电话、PDAs和笔记本在不忙的时候,会处于睡眠状态,以节省电力。移动VPN网管充当代理来暂停设备、唤醒设备并恢复通信,而不必重新建立VPN隧道或重复用户登录。

  •应用持续性:所有工作日,大多数无线用户会遇到覆盖率盲点——电梯、隧道、飞机和其它没有蜂窝网覆盖的地区。许多移动VPN网管可以对应用信息排队,以便之后对那些没有到达设备的信息进行重新传输。这使应用程序频繁的生存或者甚至长时间中断——例如,在抵达后,移动电话服务恢复,便立刻透明恢复一个在登机前打开的下载。

  •基于策略的漫游:如今,大多数笔记本电脑和智能手机都拥有多个网络接口;一些移动VPNs可以基于漫游政策,管理服务的可用性。例如,信号强度、连接速度、定价、使用预算、本地网络安全性和企业参数选择都可能是选择最优服务的因素。移动VPN连接管理人员可能会在适当的时候触发漫游——一些甚至使用“先合后断”的逻辑来避免连接期间切换带来的损失。

  •网络自适应策略:虽然移动VPNs努力将网络差异从用户和应用程序侧隐藏起来,系统管理员可能想考虑策略之下网络的特点。例如,当漫游到一个已知热点或推迟例行的OS和AV更新,同时链接到低速或者高速的无线链路时,一些移动VPNs可以自动操作门户登陆。

  移动性和安全性:过去,现在和未来

  移动VPNs的初衷是针对公共安全人员、效用、劳动力提供、卫生保健提供者和其他需要将移动性、安全性和生产力简单结合以满足业务目标的职业。但是,如今增加使用的移动设备和高速无线服务的可用性可能会结合起来对移动VPNs产生更大的影响。

  以下公司提供的产品提供之前列举的一些移动VPN功能,包括Agito, AppGate, BirdStep, Columbitech, DiVitas, IBM, Identiprise, Microsoft, Mobile Aware, Motorola, NetMotion Wireless, Radio IP, Smith Micro, 和Trellia.但是,移动VPN产品是一个多元化的市场。其中的一些专注于单一的OS(例如,Win32笔记本电脑或者Windows Mobile手持设备),另一些则涉及panopoly的移动操作系统。一些侧重于基于政策的连接管理,一些则侧重于应用程序持续,还有一些两者都做。有些针对激活统一通信(UC),而其他的是无线数据中心。

  总之,企业必须紧盯着移动VPN产品,以确定他们做的有多好或者不符合移动劳动力的需求。例如,那些使用Windows Mobile 6.1的智能手机将发现他们已经有一个嵌入式移动VPN客户端,通过Microsoft SC-MDM进行管理。然而,嵌入式客户端不能够扩展以支持其他的平台,也可能没有满足每个公司对安全性、网络自适应、或者应用程序持续性的要求。

  此外,考虑到新出现的需求,比如与你所选择的移动设备管理、网络访问控制、和/或统一通信架构相兼容的能力;当使用高速链接(特别是802.11n标准)的可量测性;对延迟敏感和双向应用的支持,如IP语音和网真。不可否认,这些问题模糊了移动VPN网关和其他用于满足更广阔业务需求的平台之间的界限。不要以为移动VPNs必须(或应该)做这一切。但是,确实要考虑如何使这些移动VPN促成更多的无缝安全漫游,同时,适应于全部劳动力移动性体系结构。

作者

Lisa Phifer
Lisa Phifer

Lisa Phifer owns Core Competence Inc., a consultancy specializing in safe business use of emerging Internet technologies.