無線網路架構的世代演進
前言:本專題首先整理出無線網路架構的發展趨勢,從第一代需要管理分散於各地的無線網路橋接器(WLAN Bridge),接著發展出無線網路閘道器(WLAN Gateway),將無線網路基地台(Access Point;AP)所收到的資訊傳送至閘道器進行集中認證。而近幾年來,各大廠商皆致力於以無線網路交換器為主的「Thin AP+WLAN Switch」架構,強調安全性更佳且更易於管理,因此,本文將為讀者說明此架構究竟有何過人之處。接下來,再比較不同架構在資訊安全管理上的差異性,以及企業與組織應該如何依照本身不同的需求,選擇適當的無線網路設備,並列舉目前市場上的主要解決方案供應商。
建置無線網路環境時,除了要考量連線品質,必須慎選WLAN架構的硬體設備外,安全性更是一大重點,因此,本文將針對長期安全、進階安全與基本安全等方向,說明如何透過多層次的防護,來達到更全面的安全戒備,其中包括目前十分熱門的無線入侵防禦系統,並分析比較不同類型的無線入侵防禦設施。
此外,也採訪對資訊安全有高度嚴謹需求的壽險業-南山人壽,在該公司的案例中,可以看出跨國集團如何統籌資源,進行最有效益的集中管理與規劃。而早期即投入無線網路架構的醫療單位-台北榮總,其教學中心單是實體網路環境的使用人數,就高達5,000多人,我們將分享其佈建無線網路環境的甘苦談,以其所獲得的寶貴經驗做為借鏡。最後,則是統整出目前無線網路架構WLAN Switch的市場發展趨勢,以及未來的技術研發方向,供有意導入無線網路環境的企業參考。
無線網路架構的發展趨勢,由早期至今,大致可區分為3個不同世代,期間的特色與差異點分述如下。
第一代:無線網路基地台
早期企業佈建無線網路,大都是透過部署無線網路基地台的方式進行,當時的資訊人員為了確認無線訊號的強弱,多半會帶著手持設備或筆記型電腦到處偵測訊號,以決定架設無線AP的位置。當時所謂的無線網路資訊安全,僅在於AP上是否有良好的硬體晶片,來提供加/解密運算的安全功能,或是能否具備多重服務群組名稱(Service Set Identifier;SSID),以便依據不同的使用者身分進行流量的區隔。
可想而知,當企業欲延伸無線網路的建置範圍,或增加無線網路上線人數時,唯有透過增加AP才能辦到。然而,AP的數量增加之後,網管人數卻沒有增加,這時,負責管理的網管人員,除了要面對眾多的AP,同時還要針對各個AP版本採取不同的設定,要想做好AP的升級與管理,彷彿是不可能的任務,更遑論要針對不同的使用者需求(例如員工可以連上公司內網,而外來訪客只能瀏覽網際網路)採取差異化設定。
此外,在當時的無線網路環境中,所採用的大多是WEP靜態加密技術,然而WEP已被證實,駭客只要花幾分鐘便可破解,因此,在管理上還要搭配VPN來保護WEP的加密,或是透過Token認證。不過,使用Token免不了會有使用者遺失或忘記攜帶等問題,似乎難以同時兼顧安全與便利性,在此管理需求下,能夠集中管理的無線網路閘道器便應運而生。
第二代:無線閘道器
透過無線網路閘道器,可進行認證以及存取控制,使得無線網路資源不會被濫用,而且無線網路閘道器置於有線網路與無線AP中間,屬於L2資料連結層,相當於無線網路防火牆的功能。這類產品強調能整合既有的網路架構,以及各種不同版本的AP,對於早期已投入無線網路佈建的企業來說,透過這樣的設備,的確能滿足集中管理的需求,而先前已佈建的AP等硬體設備,也不需要全部淘汰;使用者若要連上無線網路,不必再追著MIS人員問WEP Key才能登入,透過設定SSID亦可做到簡單的使用者存取權限管理,設定使用者連線政策。
然而,隨著無線網路使用環境的擴大,在現實上不見得每個佈建有AP的資料連結層L2環境,都可擺放1台無線網路閘道器,並且以inline的方式來連接,除非請有經驗的系統整合商為企業環境進行整體設計與規劃,否則在拉線時,多半有一定的困難度。
另外,AP與無線網路閘道器各自分開獨立運作,在分開管理上多少會造成不便;再加上駭客技術日新月異,對於網路上的安全威脅程度日益提高,只透過無線網路閘道器進行控管,勢必無法滿足企業對於安全的需求。因此,在2003年底至2004年初之際,「Thin AP+WLAN Switch」無線網路架構被提出,台灣也在2004年底陸續有廠商推出解決方案,無線網路交換器將逐漸成為無線網路環境佈建的主流。
第三代:精簡型基地台與無線網路交換器
以精簡型AP(Thin AP)與無線網路交換器(WLAN Switch)所構成的無線網路解決方案,是將Thin AP定位為只單純執行無線訊號的接收與傳送,而傳統上由Fat AP所負責的認證、加密與封包資料存取等工作,則改由WLAN Switch進行中央控管,若是較大型的WLAN環境,WLAN Switch可再傳送資料給後端認證伺服器Radius Server或AAA Server,以取得使用者認證資料,此一模式即所謂輕型無線網路存取協定(Light Weight Access Point Protocol;LWAPP)。
Thin AP能跨越L2與L3的設備主動連回無線網路交換器,克服了過去無線網路閘道器在佈建上的問題;另外在資料安全性方面,由WLAN Switch集中控管的模式,能確保資料從Client端到AP端,以及從AP到後端認證伺服器的過程中全部加密,會比過去只管前端使用者到AP端的模式安全。
比起Fat AP,WLAN Switch解決方案強調除了提供連線(Connectivity)服務外,更注重管理上的便利(Management)、支援行動通訊(Mobility)以及安全性(Security)。無線網路交換器的主要功能整理如下:
•統籌管理AP(Connectivity & Management)
Thin AP簡化原本Fat AP上的功能,大幅提升管理上的方便性,網管人員不需逐台對AP進行組態設定,只要管理1個Switch系統即可。在AP版本的管理及政策的設定上,都更容易達成一致性的管控。
•監控無線安全(Security)
目前的無線網路交換器解決方案,除了提供無線網路基本的連線功能外,也會加上多重安全防護,例如無線入侵防禦Wireless IDS/IPS,強調能偵測非法AP,並加以阻斷連線;而產品也多半附加提供如VPN及防火牆等功能。
•管理無線頻率(Security & Management)
此一方案可偵測外來的無線攻擊,以及內部違反規定的WLAN使用,例如員工私接AP的問題。無線網路交換器解決方案,能監控頻道間互相干擾的問題,並依照連線上的使用率,進行動態調整,達到負載平衡的功能,甚至當其中1個無線AP失效時,其他AP能夠增加功率、改變頻率作為補強,使整個無線訊號達到最佳化。
•提供無線漫遊(Mobility)
當使用者欲在子網路間移動,並同時存取無線網路時,WLAN Switch方案可讓使用者在無線網路環境中無縫隙地移動(Seamless Handover),進行無線漫遊。目前的解決方案多半強調可提供使用者在單一網域下,於行進間執行應用程式連線而不中斷,並且只要單次登入即可。
解決方案應根據市場需求進行調整
在2004年底至2005年初,無線網路交換器解決方案剛出爐之際,由於其價位不算便宜,再加上強調可提供功能完整的解決方案,因此市場初期定位為中大型企業與組織。然而,隨著市場上其他需求的出現,無線交換器供應商之一的Aruba,也提出模組化的解決方案,可隨企業的實際需求,採購不同的模組,並推出各種機型供不同規模的中小型企業或組織使用。
事實上,目前無線網路產品的發展,其界線已經逐漸模糊,上述所列舉的第二代與第三代產品,在功能上多已整合,舉例來說,以Wireless Gateway起家的Bluesocket,強調其產品BlueSecure不僅有網路閘道器的功能,也能搭配BlueSecure IPS提供專屬的Sensor及Controller,達到無線入侵防禦的功能;而Aruba也表示,其Wireless Switch可當作Gateway使用,能夠與他牌的AP並存。由此可見,供應商為了搶奪從局部AP環境轉向需求全方位防護的進階用戶,可說使出了渾身解數,畢竟要跨越單點建置到全面建置的過程,客戶IT部門需要做更深入的考量。
以上概要性地介紹了3個世代的無線網路架構,雖然Thin AP為目前較新的無線網路技術,同時能提供較安全的連線環境,然而,並非第一代純AP架構或第二代無線閘道器模式的無線網路環境就落伍了,選用第一代或第二代方式佈建無線網路環境的企業,仍然能透過其他多層次防護的方式,確保無線網路環境的安全,因此企業仍應考量本身的環境與需求,來選擇最適合的方案。
經銷Cisco、BlueSocket與AirMagnet等多種無線網路解決方案的麟瑞科技,有著豐富的系統整合經驗,該公司產品應用開發處產品經理田習庸,對於目前正打算規劃無線網路的企業提出建議:「企業在選擇無線網路解決方案時,除了要符合目前的需求外,應同時考量此一產品未來的擴充性,以及最重要的穩定性」。
無線網路設備的價格起伏落差大,光是1台AP,就有數倍的價差,田習庸表示,企業應將未來的需求考量在內,即使將來要加強某一功能,也只要直接在產品上執行政策(Enforce Policy)即可,而不需要另外尋找其他解決方案。由於市場上各家無線網路產品,莫不強調其創新技術與功能,但是田習庸認為,企業在選擇時,應該回歸到無線網路最重要的需求-網路穩定度的表現。
電子時報 記者張維君/台北
前言:本專題首先整理出無線網路架構的發展趨勢,從第一代需要管理分散於各地的無線網路橋接器(WLAN Bridge),接著發展出無線網路閘道器(WLAN Gateway),將無線網路基地台(Access Point;AP)所收到的資訊傳送至閘道器進行集中認證。而近幾年來,各大廠商皆致力於以無線網路交換器為主的「Thin AP+WLAN Switch」架構,強調安全性更佳且更易於管理,因此,本文將為讀者說明此架構究竟有何過人之處。接下來,再比較不同架構在資訊安全管理上的差異性,以及企業與組織應該如何依照本身不同的需求,選擇適當的無線網路設備,並列舉目前市場上的主要解決方案供應商。
建置無線網路環境時,除了要考量連線品質,必須慎選WLAN架構的硬體設備外,安全性更是一大重點,因此,本文將針對長期安全、進階安全與基本安全等方向,說明如何透過多層次的防護,來達到更全面的安全戒備,其中包括目前十分熱門的無線入侵防禦系統,並分析比較不同類型的無線入侵防禦設施。
此外,也採訪對資訊安全有高度嚴謹需求的壽險業-南山人壽,在該公司的案例中,可以看出跨國集團如何統籌資源,進行最有效益的集中管理與規劃。而早期即投入無線網路架構的醫療單位-台北榮總,其教學中心單是實體網路環境的使用人數,就高達5,000多人,我們將分享其佈建無線網路環境的甘苦談,以其所獲得的寶貴經驗做為借鏡。最後,則是統整出目前無線網路架構WLAN Switch的市場發展趨勢,以及未來的技術研發方向,供有意導入無線網路環境的企業參考。
無線網路架構的發展趨勢,由早期至今,大致可區分為3個不同世代,期間的特色與差異點分述如下。
第一代:無線網路基地台
早期企業佈建無線網路,大都是透過部署無線網路基地台的方式進行,當時的資訊人員為了確認無線訊號的強弱,多半會帶著手持設備或筆記型電腦到處偵測訊號,以決定架設無線AP的位置。當時所謂的無線網路資訊安全,僅在於AP上是否有良好的硬體晶片,來提供加/解密運算的安全功能,或是能否具備多重服務群組名稱(Service Set Identifier;SSID),以便依據不同的使用者身分進行流量的區隔。
可想而知,當企業欲延伸無線網路的建置範圍,或增加無線網路上線人數時,唯有透過增加AP才能辦到。然而,AP的數量增加之後,網管人數卻沒有增加,這時,負責管理的網管人員,除了要面對眾多的AP,同時還要針對各個AP版本採取不同的設定,要想做好AP的升級與管理,彷彿是不可能的任務,更遑論要針對不同的使用者需求(例如員工可以連上公司內網,而外來訪客只能瀏覽網際網路)採取差異化設定。
此外,在當時的無線網路環境中,所採用的大多是WEP靜態加密技術,然而WEP已被證實,駭客只要花幾分鐘便可破解,因此,在管理上還要搭配VPN來保護WEP的加密,或是透過Token認證。不過,使用Token免不了會有使用者遺失或忘記攜帶等問題,似乎難以同時兼顧安全與便利性,在此管理需求下,能夠集中管理的無線網路閘道器便應運而生。
第二代:無線閘道器
透過無線網路閘道器,可進行認證以及存取控制,使得無線網路資源不會被濫用,而且無線網路閘道器置於有線網路與無線AP中間,屬於L2資料連結層,相當於無線網路防火牆的功能。這類產品強調能整合既有的網路架構,以及各種不同版本的AP,對於早期已投入無線網路佈建的企業來說,透過這樣的設備,的確能滿足集中管理的需求,而先前已佈建的AP等硬體設備,也不需要全部淘汰;使用者若要連上無線網路,不必再追著MIS人員問WEP Key才能登入,透過設定SSID亦可做到簡單的使用者存取權限管理,設定使用者連線政策。
然而,隨著無線網路使用環境的擴大,在現實上不見得每個佈建有AP的資料連結層L2環境,都可擺放1台無線網路閘道器,並且以inline的方式來連接,除非請有經驗的系統整合商為企業環境進行整體設計與規劃,否則在拉線時,多半有一定的困難度。
另外,AP與無線網路閘道器各自分開獨立運作,在分開管理上多少會造成不便;再加上駭客技術日新月異,對於網路上的安全威脅程度日益提高,只透過無線網路閘道器進行控管,勢必無法滿足企業對於安全的需求。因此,在2003年底至2004年初之際,「Thin AP+WLAN Switch」無線網路架構被提出,台灣也在2004年底陸續有廠商推出解決方案,無線網路交換器將逐漸成為無線網路環境佈建的主流。
第三代:精簡型基地台與無線網路交換器
以精簡型AP(Thin AP)與無線網路交換器(WLAN Switch)所構成的無線網路解決方案,是將Thin AP定位為只單純執行無線訊號的接收與傳送,而傳統上由Fat AP所負責的認證、加密與封包資料存取等工作,則改由WLAN Switch進行中央控管,若是較大型的WLAN環境,WLAN Switch可再傳送資料給後端認證伺服器Radius Server或AAA Server,以取得使用者認證資料,此一模式即所謂輕型無線網路存取協定(Light Weight Access Point Protocol;LWAPP)。
Thin AP能跨越L2與L3的設備主動連回無線網路交換器,克服了過去無線網路閘道器在佈建上的問題;另外在資料安全性方面,由WLAN Switch集中控管的模式,能確保資料從Client端到AP端,以及從AP到後端認證伺服器的過程中全部加密,會比過去只管前端使用者到AP端的模式安全。
比起Fat AP,WLAN Switch解決方案強調除了提供連線(Connectivity)服務外,更注重管理上的便利(Management)、支援行動通訊(Mobility)以及安全性(Security)。無線網路交換器的主要功能整理如下:
•統籌管理AP(Connectivity & Management)
Thin AP簡化原本Fat AP上的功能,大幅提升管理上的方便性,網管人員不需逐台對AP進行組態設定,只要管理1個Switch系統即可。在AP版本的管理及政策的設定上,都更容易達成一致性的管控。
•監控無線安全(Security)
目前的無線網路交換器解決方案,除了提供無線網路基本的連線功能外,也會加上多重安全防護,例如無線入侵防禦Wireless IDS/IPS,強調能偵測非法AP,並加以阻斷連線;而產品也多半附加提供如VPN及防火牆等功能。
•管理無線頻率(Security & Management)
此一方案可偵測外來的無線攻擊,以及內部違反規定的WLAN使用,例如員工私接AP的問題。無線網路交換器解決方案,能監控頻道間互相干擾的問題,並依照連線上的使用率,進行動態調整,達到負載平衡的功能,甚至當其中1個無線AP失效時,其他AP能夠增加功率、改變頻率作為補強,使整個無線訊號達到最佳化。
•提供無線漫遊(Mobility)
當使用者欲在子網路間移動,並同時存取無線網路時,WLAN Switch方案可讓使用者在無線網路環境中無縫隙地移動(Seamless Handover),進行無線漫遊。目前的解決方案多半強調可提供使用者在單一網域下,於行進間執行應用程式連線而不中斷,並且只要單次登入即可。
解決方案應根據市場需求進行調整
在2004年底至2005年初,無線網路交換器解決方案剛出爐之際,由於其價位不算便宜,再加上強調可提供功能完整的解決方案,因此市場初期定位為中大型企業與組織。然而,隨著市場上其他需求的出現,無線交換器供應商之一的Aruba,也提出模組化的解決方案,可隨企業的實際需求,採購不同的模組,並推出各種機型供不同規模的中小型企業或組織使用。
事實上,目前無線網路產品的發展,其界線已經逐漸模糊,上述所列舉的第二代與第三代產品,在功能上多已整合,舉例來說,以Wireless Gateway起家的Bluesocket,強調其產品BlueSecure不僅有網路閘道器的功能,也能搭配BlueSecure IPS提供專屬的Sensor及Controller,達到無線入侵防禦的功能;而Aruba也表示,其Wireless Switch可當作Gateway使用,能夠與他牌的AP並存。由此可見,供應商為了搶奪從局部AP環境轉向需求全方位防護的進階用戶,可說使出了渾身解數,畢竟要跨越單點建置到全面建置的過程,客戶IT部門需要做更深入的考量。
以上概要性地介紹了3個世代的無線網路架構,雖然Thin AP為目前較新的無線網路技術,同時能提供較安全的連線環境,然而,並非第一代純AP架構或第二代無線閘道器模式的無線網路環境就落伍了,選用第一代或第二代方式佈建無線網路環境的企業,仍然能透過其他多層次防護的方式,確保無線網路環境的安全,因此企業仍應考量本身的環境與需求,來選擇最適合的方案。
經銷Cisco、BlueSocket與AirMagnet等多種無線網路解決方案的麟瑞科技,有著豐富的系統整合經驗,該公司產品應用開發處產品經理田習庸,對於目前正打算規劃無線網路的企業提出建議:「企業在選擇無線網路解決方案時,除了要符合目前的需求外,應同時考量此一產品未來的擴充性,以及最重要的穩定性」。
無線網路設備的價格起伏落差大,光是1台AP,就有數倍的價差,田習庸表示,企業應將未來的需求考量在內,即使將來要加強某一功能,也只要直接在產品上執行政策(Enforce Policy)即可,而不需要另外尋找其他解決方案。由於市場上各家無線網路產品,莫不強調其創新技術與功能,但是田習庸認為,企業在選擇時,應該回歸到無線網路最重要的需求-網路穩定度的表現。
電子時報 記者張維君/台北
全站熱搜
留言列表
認識 馬堤 (3)