WLAN建置完工 企業全面管理政策與規範才是重點
前言:根據國際調查機構Gartner指出,多數北美中小企業的網管人員指出,「資訊安全」、「無線網路」以及「頻寬升級」是2005年與2006年中小企業最關注的三項議題,由此可見無線網路在企業心中,是極為重視的發展項目。雖然無線網路為未來趨勢,卻也同時存在著令企業無法採納的原因,網路安全便是第一個顧忌,如何打造一個安全且有效管理的無線環境,相信是個讓許多企業MIS傷透腦筋的問題。
在無線技術日漸成熟,設備價格降低,與有經驗的廠商協助之下,企業佈署無線網路環境不再困難重重。當無線設備正式上路使用後,接下來的重頭戲則在於無線網路的管理,該如何有效管理無線網路,對企業MIS與IT部門人員來說,難題才正要開始。
企業究竟該如何有效管理整體的WLAN與分散各地的AP?在評估是否要部署WLAN的過程中,相信許多MIS或IT部門都會被要求,撰寫一份詳盡的 WLAN管理政策白皮書。完整的無線網路管理策略應包含,WLAN建置完成後標準管理流程、突發狀況如何因應,以及責任歸屬等議題,因此如何擬定一套全方位的無線網路管理政策來配合,是企業首要的任務。
管理政策一:使用者認證、權限分割為第一步
企業在規劃管理政策時,可先了解面對的問題有哪些,爾後再逐一解決,如此問題就會變得簡單些。通常令企業擔心的問題,就是無線網路是否會成為有心人士竊取資料的管道,因此有哪些方式,可以避免WLAN導致企業門戶洞開的危機產生,是企業在建置時需要先解決的疑慮。
在有線網路環境,如能直接在企業內部插上網路線進行實體存取,就代表通過了身分認證,不過無線訊號散佈於各處,不必透過實體接取就可使人連上網路,甚至使用網路資源。在無線網路使用者管理部分,最常見的做法則是要求使用者認證,此時企業應該思考有哪些人員可以使用WLAN?如何分辨使用者身分?以及如何劃分不同使用者的權限?
首先,認證方面最常見的作法是企業MIS會提供員工一組帳號與密碼,透過AAA:認證(Authentication)、授權(Authorization)、計算(Accounting)等動作讓使用者能夠登入,而這組帳號與密碼通常會被要求與既有網路架構的認證做緊密結合,方便員工不必記憶多組帳號與密碼,透過單一的認證程序,就能讓員工從無線網路直接登錄到有線網路,進行有線網路上的存取服務。另外,MIS可以依照企業部門不同,將員工分類成多個使用者群組,提供因需求不同的部門所產生差異化的無線網路使用權限。
如果企業願意開放WLAN讓訪客使用,除了員工專屬的帳號之外,還要準備多組專門供訪客使用的帳號與密碼,並限制可供使用的時間與地點,這樣利用切割內部與外部人員的方式,MIS即可透過使用帳號一目了然使用者身分,掌握外來者使用WLAN的一舉一動。
另外,將企業內/外部使用者的上網方式進行切割,也是可行的政策。假使企業員工的使用習慣仍以有線網路為主,則建議讓外來客戶使用無線網路,直接將接取網路的路徑區隔開。反之,當企業內部多數員工已經培養使用WLAN的習慣,儘管拜訪者有使用無線網路的權利,但是MIS可透過網路設定,將訪客先引導至訪客網路(Guest Net),輸入帳號密碼後,直接連上網路,就無法進入企業內部網路,避免不必要的疑慮產生。
管理政策二:無線設備RF管理
在無線硬體設備管理方面,可分為AP實體與發射電波2部分管理,在AP實體管理上,不論是懸掛在天花板還是放在角落的AP,IT人員必須定期巡視,避免 AP遭到破壞。另外使用的AP如不支援乙太網路供電(Power over Ethernet;PoE),基地台的電源管理就十分重要。
除了檢查企業裝設的合法AP之外,MIS還要關注員工「使用行為」;也就是合法使用者私自架設AP的現象,由於市面上部分AP價格便宜且容易安裝,因此可能會有員工或是進入企業的有心人士私自架設非法AP(Rogue AP),進而利用這不起眼的AP竊取機密,造成企業內部資料外洩的情況發生。
儘管企業都會規定禁止員工私自裝設AP,但難免還是有會員工非法私裝AP的情況出現,因此MIS要管理這些非法使的用行為,除了明文規定處罰原則之外,最重要的還是在於找出1套偵測法則,避免日後出現機密外洩的可能。
若企業採用Thin AP加上WLAN Switch的架構,MIS可透過WLAN Switch得知非法AP出現以及找出AP位置的管理設備與維護工具,例如感應(sensor)、偵測監控系統,就可發現是否有非法AP及出現的位置, MIS就可到現場稽核,抓到不符合規定的員工,因此Thin AP十分方便大範圍WLAN環境的管理。
另一方面,由於企業因需求不同會使用不同的功能,必須調整RF的頻率,這些過程與注意事項稱為RF管理。國內外都曾出現有人使用「溢波」連接網際網路,進行線上刷卡竊取財物、下載兒童色情內容的犯罪實例,企業如缺乏危機意識,WLAN很有可能成為有心人士利用的管道,因此無線網路溢波的議題不可輕忽。管理者可採用半攻擊式的方式,刻意發送封包,拒絕或切斷任何企圖連線至某個AP的使用者,以保護企業網路。
另外在干擾部分,由於WLAN使用2.4GHz公開頻段,無需申請使用執照,家中無線電話與微波爐亦在同一頻道上,一旦當使用者增多干擾現象無法避免,要避免鄰近電波干擾,傳統作法可放置鉛板、水泥牆來加以隔絕,但企業為顧及整體形象與辦公大樓美觀,皆不願採用此種方式,所以常見的作法以調高功率,如刻意放置高功率AP達到「蓋台」目的、頻道區隔等方式來強化訊號與避免干擾。
MIS必須了解AP RF的覆蓋範圍,或透過調整指向性天線,控制無線電波發射的方向,與減少電波發送範圍,如此不但可避免讓有心人士利用「溢波」來擷取封包或進行其他犯罪,也可減少對他人無線環境的干擾,達到助人助己的目的。
除了上述幾點之外,跨AP時的漫遊機制也是必需考量的議題,為了讓使用者慢速移動於各AP之間時,不會斷線可繼續使用,網路必須是屬於同個IP子網路、一致與連續的連線應用系統、及固定IP位址,一般而言擁有大範圍廠區的企業、或飯店業者較有此需求,企業可依需求與政策考量,決定是否需要漫遊的機制。
最後,員工宣導教育的問題亦不可忽略,MIS可安排教育課程,向員工表明企業無線網路的使用政策與安全防護的基本概念,強調員工也有共同維護企業資訊安全與無線設備資產的責任,將管理政策由上往下徹底落實,避免風險產生。對於企業而言,認證機制、無線網路RF管理工作是相當重要的任務,MIS唯有不斷更新安全與管理政策,才能確保企業資訊安全。
圖說:網管人員只要透過特殊管理設備,就可以完全掌握無線網路的狀態,以及找出非法AP大略位置。(艾司科技提供)
電子時報 記者詹子嫻/台北 2006/08/02
前言:根據國際調查機構Gartner指出,多數北美中小企業的網管人員指出,「資訊安全」、「無線網路」以及「頻寬升級」是2005年與2006年中小企業最關注的三項議題,由此可見無線網路在企業心中,是極為重視的發展項目。雖然無線網路為未來趨勢,卻也同時存在著令企業無法採納的原因,網路安全便是第一個顧忌,如何打造一個安全且有效管理的無線環境,相信是個讓許多企業MIS傷透腦筋的問題。
在無線技術日漸成熟,設備價格降低,與有經驗的廠商協助之下,企業佈署無線網路環境不再困難重重。當無線設備正式上路使用後,接下來的重頭戲則在於無線網路的管理,該如何有效管理無線網路,對企業MIS與IT部門人員來說,難題才正要開始。
企業究竟該如何有效管理整體的WLAN與分散各地的AP?在評估是否要部署WLAN的過程中,相信許多MIS或IT部門都會被要求,撰寫一份詳盡的 WLAN管理政策白皮書。完整的無線網路管理策略應包含,WLAN建置完成後標準管理流程、突發狀況如何因應,以及責任歸屬等議題,因此如何擬定一套全方位的無線網路管理政策來配合,是企業首要的任務。
管理政策一:使用者認證、權限分割為第一步
企業在規劃管理政策時,可先了解面對的問題有哪些,爾後再逐一解決,如此問題就會變得簡單些。通常令企業擔心的問題,就是無線網路是否會成為有心人士竊取資料的管道,因此有哪些方式,可以避免WLAN導致企業門戶洞開的危機產生,是企業在建置時需要先解決的疑慮。
在有線網路環境,如能直接在企業內部插上網路線進行實體存取,就代表通過了身分認證,不過無線訊號散佈於各處,不必透過實體接取就可使人連上網路,甚至使用網路資源。在無線網路使用者管理部分,最常見的做法則是要求使用者認證,此時企業應該思考有哪些人員可以使用WLAN?如何分辨使用者身分?以及如何劃分不同使用者的權限?
首先,認證方面最常見的作法是企業MIS會提供員工一組帳號與密碼,透過AAA:認證(Authentication)、授權(Authorization)、計算(Accounting)等動作讓使用者能夠登入,而這組帳號與密碼通常會被要求與既有網路架構的認證做緊密結合,方便員工不必記憶多組帳號與密碼,透過單一的認證程序,就能讓員工從無線網路直接登錄到有線網路,進行有線網路上的存取服務。另外,MIS可以依照企業部門不同,將員工分類成多個使用者群組,提供因需求不同的部門所產生差異化的無線網路使用權限。
如果企業願意開放WLAN讓訪客使用,除了員工專屬的帳號之外,還要準備多組專門供訪客使用的帳號與密碼,並限制可供使用的時間與地點,這樣利用切割內部與外部人員的方式,MIS即可透過使用帳號一目了然使用者身分,掌握外來者使用WLAN的一舉一動。
另外,將企業內/外部使用者的上網方式進行切割,也是可行的政策。假使企業員工的使用習慣仍以有線網路為主,則建議讓外來客戶使用無線網路,直接將接取網路的路徑區隔開。反之,當企業內部多數員工已經培養使用WLAN的習慣,儘管拜訪者有使用無線網路的權利,但是MIS可透過網路設定,將訪客先引導至訪客網路(Guest Net),輸入帳號密碼後,直接連上網路,就無法進入企業內部網路,避免不必要的疑慮產生。
管理政策二:無線設備RF管理
在無線硬體設備管理方面,可分為AP實體與發射電波2部分管理,在AP實體管理上,不論是懸掛在天花板還是放在角落的AP,IT人員必須定期巡視,避免 AP遭到破壞。另外使用的AP如不支援乙太網路供電(Power over Ethernet;PoE),基地台的電源管理就十分重要。
除了檢查企業裝設的合法AP之外,MIS還要關注員工「使用行為」;也就是合法使用者私自架設AP的現象,由於市面上部分AP價格便宜且容易安裝,因此可能會有員工或是進入企業的有心人士私自架設非法AP(Rogue AP),進而利用這不起眼的AP竊取機密,造成企業內部資料外洩的情況發生。
儘管企業都會規定禁止員工私自裝設AP,但難免還是有會員工非法私裝AP的情況出現,因此MIS要管理這些非法使的用行為,除了明文規定處罰原則之外,最重要的還是在於找出1套偵測法則,避免日後出現機密外洩的可能。
若企業採用Thin AP加上WLAN Switch的架構,MIS可透過WLAN Switch得知非法AP出現以及找出AP位置的管理設備與維護工具,例如感應(sensor)、偵測監控系統,就可發現是否有非法AP及出現的位置, MIS就可到現場稽核,抓到不符合規定的員工,因此Thin AP十分方便大範圍WLAN環境的管理。
另一方面,由於企業因需求不同會使用不同的功能,必須調整RF的頻率,這些過程與注意事項稱為RF管理。國內外都曾出現有人使用「溢波」連接網際網路,進行線上刷卡竊取財物、下載兒童色情內容的犯罪實例,企業如缺乏危機意識,WLAN很有可能成為有心人士利用的管道,因此無線網路溢波的議題不可輕忽。管理者可採用半攻擊式的方式,刻意發送封包,拒絕或切斷任何企圖連線至某個AP的使用者,以保護企業網路。
另外在干擾部分,由於WLAN使用2.4GHz公開頻段,無需申請使用執照,家中無線電話與微波爐亦在同一頻道上,一旦當使用者增多干擾現象無法避免,要避免鄰近電波干擾,傳統作法可放置鉛板、水泥牆來加以隔絕,但企業為顧及整體形象與辦公大樓美觀,皆不願採用此種方式,所以常見的作法以調高功率,如刻意放置高功率AP達到「蓋台」目的、頻道區隔等方式來強化訊號與避免干擾。
MIS必須了解AP RF的覆蓋範圍,或透過調整指向性天線,控制無線電波發射的方向,與減少電波發送範圍,如此不但可避免讓有心人士利用「溢波」來擷取封包或進行其他犯罪,也可減少對他人無線環境的干擾,達到助人助己的目的。
除了上述幾點之外,跨AP時的漫遊機制也是必需考量的議題,為了讓使用者慢速移動於各AP之間時,不會斷線可繼續使用,網路必須是屬於同個IP子網路、一致與連續的連線應用系統、及固定IP位址,一般而言擁有大範圍廠區的企業、或飯店業者較有此需求,企業可依需求與政策考量,決定是否需要漫遊的機制。
最後,員工宣導教育的問題亦不可忽略,MIS可安排教育課程,向員工表明企業無線網路的使用政策與安全防護的基本概念,強調員工也有共同維護企業資訊安全與無線設備資產的責任,將管理政策由上往下徹底落實,避免風險產生。對於企業而言,認證機制、無線網路RF管理工作是相當重要的任務,MIS唯有不斷更新安全與管理政策,才能確保企業資訊安全。
圖說:網管人員只要透過特殊管理設備,就可以完全掌握無線網路的狀態,以及找出非法AP大略位置。(艾司科技提供)
電子時報 記者詹子嫻/台北 2006/08/02
全站熱搜
留言列表
認識 馬堤 (3)