定位技術(shù)增強無線網(wǎng)絡(luò)安全

申請免費試用、咨詢電話：400-8352-114

企業(yè)為無線網(wǎng)絡(luò)添加物理安全并非易事。

通過內(nèi)置RFID芯片的員工胸卡和Wi-Fi移動設(shè)備，并結(jié)合一定的位置算法，可以確定用戶身份，允許其擁有相應(yīng)級別的網(wǎng)絡(luò)訪問權(quán)，此舉為無線網(wǎng)絡(luò)增加了安全性。

隨著802.11n和網(wǎng)狀網(wǎng)技術(shù)的出現(xiàn)，無線網(wǎng)絡(luò)開始真正成為有線局域網(wǎng)之外的另一種選擇。不過Wi-Fi想漸成氣候，就必須提供級別更高的安全性和可靠性。它采用了哪些措施來預(yù)防未授權(quán)訪問？網(wǎng)絡(luò)管理員如何防范“看不見”的威脅呢？

雖然Wi-Fi受WPA2和802.11i等標(biāo)準(zhǔn)影響提供了新的無線安全級別，并且得到了新的監(jiān)控及入侵防護(hù)工具的支持，但許多企業(yè)對綜合IT安全和物理安全的防御措施日益產(chǎn)生了興趣。 不過，企業(yè)為無線網(wǎng)絡(luò)添加物理安全并非易事。企業(yè)如何做到既為員工提供足夠的移動性又能對這種無線自由進(jìn)行必要的控制呢，這是一對矛盾體。

企業(yè)可能不放心讓員工在無線局域網(wǎng)覆蓋的任何地方都能訪問人力資源、財務(wù)或者新產(chǎn)品文檔方面的敏感信息，所以對訪問身份和地點要進(jìn)行限制。在財務(wù)部門提供移動功能，要限制財務(wù)部門以外的員工無線訪問財務(wù)信息，防止敏感材料被泄露。這時候，基于位置的安全就可以派上用場: 根據(jù)某人身份，限制誰可以或不可以訪問無線局域網(wǎng)。定位控制結(jié)合訪問權(quán)限不但可以添加另一層安全，還可以防止網(wǎng)絡(luò)段負(fù)荷過大（以及防止拒絕服務(wù)攻擊），并且限制訪客在指定地點訪問無線局域網(wǎng)。

如今主要的無線局域網(wǎng)交換機能夠利用無線接入點收集來的數(shù)據(jù)，分析出筆記本電腦或者移動設(shè)備的位置。這種所謂的“定位”服務(wù)可用來跟蹤整個企業(yè)里面的資產(chǎn)。比如在醫(yī)院，它們用來確定醫(yī)生和輸血及手術(shù)器材的位置。同樣的，這項技術(shù)用于安全方面，能夠通過“地理圍欄”（geo-fencing）的方式起到更大的作用?！暗乩韲鷻凇边@個術(shù)語主要指根據(jù)移動員工或者訪客的地理位置和授權(quán)狀況，限制他們對網(wǎng)絡(luò)的訪問。

這種“地理圍欄”的工作方式如下: 無線交換機“跟蹤”用戶在大樓內(nèi)的行蹤，根據(jù)用戶的授權(quán)狀況以及對方是否在許可的指定區(qū)域，允許或者拒絕對方訪問網(wǎng)絡(luò)上的資源。它還確保只有當(dāng)指定的用戶及其移動設(shè)備出示了身份卡，才可以訪問無線局域網(wǎng)和有線網(wǎng)絡(luò)的資源。

例如: 無線交換機能夠監(jiān)控訪客，如果訪客與公司其他員工在一起，那么可以授權(quán)他們訪問會議室里面的無線局域網(wǎng); 但如果訪客離開會議室， “地理圍欄”技術(shù)就會發(fā)出警報，終止無線局域網(wǎng)訪問權(quán)。

如果企業(yè)使用RFID標(biāo)簽和閱讀器，那么只要用戶通過RFID閱讀器，就能夠被記錄下來，用于一般的資產(chǎn)跟蹤。不過，最準(zhǔn)確的位置信息需要借助Wi-Fi三角測量（Wi-Fi triangulation）這種方法來獲得。企業(yè)使用無線局域網(wǎng)接入點以及支持定位功能的無線交換機，只要測量所傳輸數(shù)據(jù)包的信號強度，或者利用來自三個或者更多接入點的信標(biāo)來ping（一種網(wǎng)絡(luò)命令）連接設(shè)備，就能跟蹤網(wǎng)絡(luò)上的每一個移動設(shè)備。

因為大多數(shù)企業(yè)的無線局域網(wǎng)被配置成確保應(yīng)用擁有最佳吞吐率，因而接入點的覆蓋區(qū)域通常存在大批重疊現(xiàn)象。這意味著，在任何一個位置，移動設(shè)備有可能連接到某個接入點，但它仍能看到并且連接到附近的接入點。需要三個接入點才能使用Wi-Fi三角測量術(shù)準(zhǔn)確測出移動設(shè)備在大樓中的方位。這種方法可以把移動設(shè)備的位置精度控制在3到5米內(nèi)，準(zhǔn)確性超過90%。

有些企業(yè)結(jié)合Wi-Fi、RFID及其他新興技術(shù)來獲得更詳細(xì)的位置信息。這項技術(shù)名為復(fù)合技術(shù)（compounding）?；厩疤崾?，無線交換機能夠分析兩組數(shù)據(jù)（Wi-Fi和RFID），為網(wǎng)絡(luò)上每個移動設(shè)備和用戶描繪出更準(zhǔn)確的位置信息。

結(jié)合IT安全、身份卡等物理安全工具，以及通過無線局域網(wǎng)實時監(jiān)控移動設(shè)備的功能，為網(wǎng)絡(luò)另外增添了一道防御的屏障。地理圍欄設(shè)起了一道定制、隱形的圍欄，可以隨著每個移動設(shè)備一起移動，從而向網(wǎng)絡(luò)管理員保證: 每個設(shè)備只能訪問網(wǎng)絡(luò)上的授權(quán)區(qū)域和資源。（ccw-2007年12月24日第49期 B15）