 |
|
茫茫網海中的冷日
發生過的事,不可能遺忘,只是想不起來而已! |
|
|
恭喜您是本站第 1729817
位訪客!
登入 | 註冊
|
|
|
|
對這文章發表回應
發表限制: 非會員 可以發表
發表者: 冷日 發表時間: 2005/6/27 2:12:03
從安全、部署及管理思考企業無線網路
早期企業多從無線基地臺的概念建置無線網路環境,管理上也較少琢磨,大多從安全加密的方式著手,利用WEP或WPA管理無線網路,部署的方式也是依據自身的經驗自行處理,認為無線網路的功能是輔助有線網路,讓網路能擴展到無接縫、無死角,但是這種方式不是浪費成本,無法確保部署的效益,網管人員平日必須處理眾多雜事,若無線環境不容易管理,則投資效益更是大打折扣,駭客也可能利用管理上的疏失,入侵網路並盜取重要資料,因此建置無線網路必須從整體思維出發,不單只是無線基地臺,更必須擴大到後端管理機制,甚至整合有線網路,讓管理網路單純化。
此外,無線網路不像有線網路有路徑可尋,無線溢波讓無線網路的範圍無法控制,只要用戶端在溢波範圍的任何一個角落,都可以利用無線網路連結企業網路,管理上更為複雜,因此,建置時必須考量到安全性的問題,一般大多採用WEP或WPA加密提高無線安全,但是這些安全加密設計不良,可從網路搜尋解碼程式(以WEP 64位元為例,約6到8小時即可破解),因此,企業建置安全無線網路遠比有線網路複雜,但是也唯有提供安全的企業無線網路,才能減少後續維護上的困難,確保資料傳遞的安全性,才能提高企業接收無線網路的效益。
部署正確的無線網路環境,減少設備成本支出
我們這次採訪幾個案例,都是當初沒有考慮清楚無線環境,部署後卻發現問題很多,反而增加後續維護負擔,其中一個是位於民生東路與松江路口的城邦出版集團,早在去年搬入時就已經部署無線網路環境,而當時認為有需要無線網路,因此在每層樓架設1臺Cisco Aironet 1100無線基地臺,透過WPA加密確保無線安全,但是部署無線基地臺的位置,單純只依靠自身經驗,利用樓層平面圖分析中心點位置,自行架設無線基地臺,這種方式無法保證無線網路涵蓋範圍,而且樓層隔間眾多,無線訊號更無法穩定傳輸。
另一個是撼訊科技,早期撼訊科技主要以個人電腦處理資料,後來慢慢轉移為筆記型電腦,因為筆記型電腦能提高工作效率,而且維護也較個人電腦容易,目前公司約80%員工都採用筆記型電腦,雖然當時由外包廠商部署無線環境,但並沒有考慮到用戶端電腦的需求會從有線網路轉移成無線網路,每當所有人都集中在會議室開會時,會議室附近的無線基地臺負載量很高,也無法確保無線網路的品質效益。
因此,部署無線網路必須同時考量涵蓋範圍及同時上線人數,目前主流無線基地臺大多以802.11g或802.11b/g為主,除了涵蓋範圍廣,傳輸效率也較好(802.11a的傳輸效率好,但涵蓋範圍較小;802.11b的涵蓋範圍較廣,但傳輸效率較弱),但卻是採用2.4GHz頻道,此頻道干擾源眾多,例如藍芽、微波爐等,加上臺灣辦公環境樓層眾多,大多採用隔間構成,對無線訊號有一定阻檔層度,因此部署無線基地臺時必須考量的附近干擾物。
此外,是否需要保證最低通道負載能力,也影響部署無線環境結果,雖然一般無線基地臺並不會限制同時使用人數,但無線訊號採用頻寬共享的概念,越多人上線則頻寬效率越差,若要保證頻寬效率,以802.11g為例,實際傳輸速率約20Mbps,每人至少應獲得1Mbps才能提供穩定頻寬的情況下,1臺無線基地臺負載20人同時上線,就已經達到效能極限。所以若再加入同時上線人數的變因,則影響無線基地臺的密度,更提高建置成本,而且無線基地臺密度越高,相互干擾越複雜,如何有效設定無線頻道及訊號,都是建置時必須考量的因素。
集中式管理,減少管理負擔
前端無線基地臺部署完成後,接下來必須考量如何有效管理無線網路,D-Link產品管理暨發展處協理張家瑜表示,部署超過10臺無線基地臺,若沒有有效管理設備的方式,只要某1臺設備有問題,光是發掘原因就必須花費許多時間,而且無線訊號相互干擾因素複雜,無法保證更改某臺無線基地臺設定後,是否會影響其他設備。因此,我們建議在後端架設無線控制閘道器,以集中管理無線網路問題。
無線控制閘道器最基本的功能是人員管理及分析無線基地臺流量,一般企業大多以Windows AD為員工帳號資料庫,無線控制閘道器則能擷取Windows AD帳號,直接提供無線網路使用,不需要額外建置無線網路用戶專用帳號,雖然企業級的無線基地臺也能內建或擷取外部帳號資料庫,但當需要變更帳號資料時,還是必須操作每臺設備,管理上較麻煩。
無線控制閘道器則採用導入的方式,將每臺無線基地臺的訊號導入閘道器,再回傳數值給帳號資料庫,若未來需要變動員工帳號,只需要修改帳號資料庫即可,不需更動任何無線網路設備,只是有些無線控制閘道器無法直接讀取Windows AD(Active Directory)帳號,必須透過RADIUS轉換,專用的RADIUS伺服器約數十萬元,成本昂貴,建議可直接使用Windows IAS(Internet Authentication Service),只要企業有採購Windows伺服器作業系統,就已經包含此功能。
進階強化無線網路安全
除了從認證機制提升無線網路安全外,更必須思考無線網路的使用政策,例如無線加密及認證方式、員工申請無線網路流程及管理非法無線訊號,現在的無線網卡多能提供Ad Hoc能力,使用者經常在不知覺下啟動Ad Hoc,而且電腦還連接企業內部網路,讓駭客從此漏洞入侵公司網路,若控制閘道器單只負責無線網路認證過程,則駭客依然可以取得公司IP位,利用DoS等攻擊癱瘓網路服務,因此網管人員必須取得員工無線網卡的Mac Address,若遭受攻擊即可取得攻擊來源,即時中斷訊號,或更進一步採用802.1x認證方式,提高無線網路安全程度。近來熱門的Wireless IDS/IPS更從無線的角度出發,分析無線訊號封包,只要流量異常,更會自動阻檔無線訊號,只是企業必須花費更多的成本建置外,也會增加網管人員的負擔,可適自行需求使用。
目前無線網路標準逐漸更新,舊款無線基地的韌體也已經無法符合現階段使用(例如不支援802.1x或802.1i等安全認證標準),而且筆記型電腦的普及,也提高無線網路需求量,舊思唯下的無線環境已經無法符合現在企業的需求,網管人員勢必要重新思考規畫無線網路,只是規畫時,必須考慮無線網路部署、管理、維護及安全等面向,才能有效提供無線網路服務。文⊙蘇碩鈞 |
|
