 |
|
茫茫網海中的冷日
發生過的事,不可能遺忘,只是想不起來而已! |
|
|
恭喜您是本站第 1729818
位訪客!
登入 | 註冊
|
|
|
|
| 發表者 |
討論內容 |
冷日
(冷日) |
發表時間:2005/6/27 2:13 |
- Webmaster
- 註冊日: 2008/2/19
- 來自:
- 發表數: 15773
|
- [分享]部署安全的無線網路3階段
部署安全的無線網路3階段
企業安全無線網路包括從身分認證、偵測訊號到阻檔訊號等3個階段,不同階段對應到不同層面的產品,包括無線閘道器、無線基地臺、WLAN交換器、Wireless IDS/IPS等設備,採購前先評估企業本身需要哪種等級的安全,再依據預算成本分析,較能選購適合的解決方案,我們整理3階段的特色,提供採購時參考規畫。
第1階段:人員身分認證
這是一般建置無線網路的方式,透過閘道器整合帳號資料庫,利用認證(Authentication)、授權(Authorization)及計費(Accounting),確保人員能正確登入網路,也能自定使用者權限或結合802.1x方式,提高無線網路安全,此外,還能分析網路流量,保護無線網路抵擋DoS等攻擊,一般通常採用網頁認證方式,前端部署無線基地臺後,將驗證方式導入後端架設控制閘道器即可,使用者連線無線基地臺後,會強迫導入無線閘道器的認證網頁,確認人員資料,並提供相關網路服務,Hot Spots、中小企業、區域醫院大多採用此方式,價格從十多萬元到上百萬元,可選擇廠商有D-Link、傳象、傳易、Bluesocket等。
第2階段:偵測無線訊號
透過閘道器認證身分後,若需要分析無線訊號的來源資料,則可採用偵測無線訊號產品(類似Wireless IDS),某些廠牌的無線基地臺(例如Planet、Orinoco)已具備此功能,不需要採購相關設備。若大量部署需要集中搜集、分析並管理訊號,可架設後端管理系統,擷取訊號資料並以報表呈現,而且像Cisco WLES配合Cisco Aironet無線基地臺,還能集中操作各基地臺的設定,減少需要操作每臺設備的麻煩,但這類型產品只能提供警示能力,若遭受攻擊,則只能透過後端閘道器處理,並沒有主動反制能力。
第3階段:阻檔非法訊號
這階段的產品,除了具備前兩階段產品特質外,更能從無線網路主動反制攻擊,包括WLAN交換器與專門Wireless IPS,WLAN交換器配合Thin AP,Thin AP可做為傳輸模式及偵測模式,可自動分析偵測無線訊號外,若發現非法訊號,更能依據管理政策攔截或阻檔訊號傳遞,缺點是所有設備必須採用同一品牌產品,彈性較小;Wireless IPS則提供硬體感應器,透過聽(Listen)封包的概念分析資料,也能依據公司政策,阻檔訊號傳遞,只是不具認證、訊號管理等能力,必須搭配無線閘道器使用,而且需要操作數臺設備,較為繁雜,適合對安全等級要求較高的企業,例如高科技公司、政府學校、軍事單位等組織,WLAN交換器廠商有AireSpace、Aruba、3com、NEC,Wireless IPS則有AirMagnet、AirDefense、BlueSecure IPS。文⊙蘇碩鈞 |
|
|
|
討論串
|
[分享]從安全、部署及管理思考企業無線網路 (冷日