集中管理的WLAN架构如何增进无线网络安全?


就无线网络安全而言,瘦接入点的未来是什么?

瘦接入点是一种误称,因为这个含义是这种接入点比“胖接入点”功能要少一些或者更袖珍一些。而这两种含义都是不正确的。实际上,瘦接入点与一个无线局域网交换机或者控制器配合使用提供额外的功能,包括单独的胖接入点没有的功能。

例如,思科Aironet 1100系列接入点是“胖”接入点,因为这些接入点在分散式无线局域网中自主地工作。思科Aironet 1100系列轻型接入点是“瘦”接入点,因为它们需要思科无线局域网控制器的设置和监视,它们都是集中管理的无线局域网的一份子。有些接入点(例如,Aironet 1200系列接入点)在这两种无线局域网架构中都可以使用。

集中管理的无线局域网架构如何能够提高无线网络的安全呢?

·集中的管理有助于保持一致的策略设置,并且能够减少引起安全突破的错误,例如,当一个胖接入点不被人注意地重新设置为厂商的默认设置的时候。

·由于无线局域网控制器与所有合法的接入点进行通信,它能够很容易地发现工作在距离合法的接入点非常近的地方的不明的“假冒”接入点。

·如果一个瘦接入点出现故障或者遇到干扰(例如,由于遇到DoS攻击),这个控制器能够自动调整,把接入点转到一个空闲的频段,或者把那个接入点的工作量转移到另一个接入点。

·根据瘦接入点的产品架构,数据也许能通过,也许不能通过一个无线局域网交换机。当通信通过同一台2层或者3层交换机的时候,数据通道处理可以在那里进行。例如,当一个无线基站通过转接从一个“主”接入点到这个“被访问的”接入点的通信而在子网之间漫游的时候,可以提供一个持续存在的VPN隧道。

·一个无线局域网控制器能够存储安全参数,并且可以在瘦接入点之间共享。例如,当一个控制器存储由802.1X身份认证程序建立的成对主密钥(PMK)时,802.11i密钥缓存是行的。无论什么时候一个基站漫游到另一个接入点,存储PMK的那个接入点可用来避免802.1X重新进行身份识别。

·集中的监控能够很容易地在与安全有关的事件在网络上出现时把这些事件联系起来,并且启动策略变化(手工或者自动)对这些事件做出反应。

·最后,如果有人偷窃一个胖接入点,窃贼很容易把包含敏感的设置文件的硬件卖掉。瘦接入点就不担心这种问题,令窃贼很失望。

随着产品的成熟,你可以期待着能够利用这种架构优势的更安全的产品,例如。更有选择地减轻一些安全处理的工作量以确保更安全地漫游,使用仅有监视器功能的接入点作为无线入侵传感器,并且随着管理系统更好地处理他们所掌控的信息和接口,新的产品能够进行更高级的安全事件分析并且自动做出反应。

相关内容