定位技術增強無線網絡安全

申請免費試用、咨詢電話：400-8352-114

企業(yè)為無線網絡添加物理安全并非易事。

通過內置RFID芯片的員工胸卡和Wi-Fi移動設備，并結合一定的位置算法，可以確定用戶身份，允許其擁有相應級別的網絡訪問權，此舉為無線網絡增加了安全性。

隨著802.11n和網狀網技術的出現，無線網絡開始真正成為有線局域網之外的另一種選擇。不過Wi-Fi想漸成氣候，就必須提供級別更高的安全性和可靠性。它采用了哪些措施來預防未授權訪問？網絡管理員如何防范“看不見”的威脅呢？

雖然Wi-Fi受WPA2和802.11i等標準影響提供了新的無線安全級別，并且得到了新的監(jiān)控及入侵防護工具的支持，但許多企業(yè)對綜合IT安全和物理安全的防御措施日益產生了興趣。 不過，企業(yè)為無線網絡添加物理安全并非易事。企業(yè)如何做到既為員工提供足夠的移動性又能對這種無線自由進行必要的控制呢，這是一對矛盾體。

企業(yè)可能不放心讓員工在無線局域網覆蓋的任何地方都能訪問人力資源、財務或者新產品文檔方面的敏感信息，所以對訪問身份和地點要進行限制。在財務部門提供移動功能，要限制財務部門以外的員工無線訪問財務信息，防止敏感材料被泄露。這時候，基于位置的安全就可以派上用場: 根據某人身份，限制誰可以或不可以訪問無線局域網。定位控制結合訪問權限不但可以添加另一層安全，還可以防止網絡段負荷過大（以及防止拒絕服務攻擊），并且限制訪客在指定地點訪問無線局域網。

如今主要的無線局域網交換機能夠利用無線接入點收集來的數據，分析出筆記本電腦或者移動設備的位置。這種所謂的“定位”服務可用來跟蹤整個企業(yè)里面的資產。比如在醫(yī)院，它們用來確定醫(yī)生和輸血及手術器材的位置。同樣的，這項技術用于安全方面，能夠通過“地理圍欄”（geo-fencing）的方式起到更大的作用?！暗乩韲鷻凇边@個術語主要指根據移動員工或者訪客的地理位置和授權狀況，限制他們對網絡的訪問。

這種“地理圍欄”的工作方式如下: 無線交換機“跟蹤”用戶在大樓內的行蹤，根據用戶的授權狀況以及對方是否在許可的指定區(qū)域，允許或者拒絕對方訪問網絡上的資源。它還確保只有當指定的用戶及其移動設備出示了身份卡，才可以訪問無線局域網和有線網絡的資源。

例如: 無線交換機能夠監(jiān)控訪客，如果訪客與公司其他員工在一起，那么可以授權他們訪問會議室里面的無線局域網; 但如果訪客離開會議室， “地理圍欄”技術就會發(fā)出警報，終止無線局域網訪問權。

如果企業(yè)使用RFID標簽和閱讀器，那么只要用戶通過RFID閱讀器，就能夠被記錄下來，用于一般的資產跟蹤。不過，最準確的位置信息需要借助Wi-Fi三角測量（Wi-Fi triangulation）這種方法來獲得。企業(yè)使用無線局域網接入點以及支持定位功能的無線交換機，只要測量所傳輸數據包的信號強度，或者利用來自三個或者更多接入點的信標來ping（一種網絡命令）連接設備，就能跟蹤網絡上的每一個移動設備。

因為大多數企業(yè)的無線局域網被配置成確保應用擁有最佳吞吐率，因而接入點的覆蓋區(qū)域通常存在大批重疊現象。這意味著，在任何一個位置，移動設備有可能連接到某個接入點，但它仍能看到并且連接到附近的接入點。需要三個接入點才能使用Wi-Fi三角測量術準確測出移動設備在大樓中的方位。這種方法可以把移動設備的位置精度控制在3到5米內，準確性超過90%。

有些企業(yè)結合Wi-Fi、RFID及其他新興技術來獲得更詳細的位置信息。這項技術名為復合技術（compounding）?；厩疤崾牵瑹o線交換機能夠分析兩組數據（Wi-Fi和RFID），為網絡上每個移動設備和用戶描繪出更準確的位置信息。

結合IT安全、身份卡等物理安全工具，以及通過無線局域網實時監(jiān)控移動設備的功能，為網絡另外增添了一道防御的屏障。地理圍欄設起了一道定制、隱形的圍欄，可以隨著每個移動設備一起移動，從而向網絡管理員保證: 每個設備只能訪問網絡上的授權區(qū)域和資源。（ccw-2007年12月24日第49期 B15）