【TechTarget中国原创】早期的无线局域网经常再次使用远程访问虚拟专用网 (VPN)客户端,克服WEP和相关的安全装置的局限性。但是,假设Wi-Fi安全性已经得到了提高,VPN在企业无线网中是否依然起到很大作用?在无线网中使用VPN的实际作用和局限性是什么呢?本文中,TechTarget中国的特约专家讨论了如何充分利用VPN,以及如何消除无线局域网漫游和VPN信道之间的冲突。
VPN如何起作用
VPN信道一直都用于在诸如因特网之类的不受信任网络中提供数据的机密性和完整性。今天,许多公司使用信道来确保从远程工作者到公司网络边缘的VPN网关过程中信息流的安全。这个网关可以认证用户身份并控制可以达到的目的地。
今天,VPN也正在强化终点安全的执行。在准许访问网络之前,会检查远程设备是否遵从法规。比如,可公共PC的工作者能仅允许检查电子邮件,而公司笔记本电脑的工作者则允许访问敏感的服务器。没有打补丁或者感染了特洛伊木马的笔记本电脑可能被导向到了检疫服务器,进行修补。
无线网用户可受惠于这些相同的安全措施。
- 诸如有线等效保密(WEP)或者Wi-Fi网络安全存取(WPA)的版本1或者版本2,VPN信道可以隐藏通过无线电波发送的信息流。WEP/WPA仅仅保护空中的连接,而VPN信道可以向任何干扰网络扩展。虽然这可能“在校内”并不重要,但是在使用住宅区无线局域网或者热点无线局域网时,这一点是很关键的。
- 像WEP-企业版本、VPN网关都可以验证无线网用户,采用密码、双因素令牌、智能卡、或者证书。但是802.1X对局域网提供了要么全有要么全无的访问,而Layer 3 VPN和Layer4 VPN则可以限制可到达的目的地和应用程序。对拥有广泛不同的用户社区的大型无线局域网来说,更为精细的策略在是非常重要的。
- 依赖这种产品,WPA-企业版本和VPN都可以强化终端的安全性。然而,VPN使用一个代理器平台,跨越不同的网络(本地或者远程),可以更容易地实施一系列持久连续的规则。
- 最后,这两种技术都需要客户端配置、用户身份管理、以及(某些情况下)软件安装。VPN产品比802.1X产生的时间长一些,因此,许多VPN产品拥有更详尽的中央政策管理和更广泛的客户端操作系统/平台的支持。
VPN如何阻止
有许多VPN信道标准,包括点对点信道协议(PPTP)、因特网协议安全(IPSec)和安全套接层协议(SSL)。VPN产品和安全特性有很大的不同,并且直接影响到它们是否能满足你的无线需求以及满足的状况。
比如,虽然PPTP是最易攻破的共同VPN协议,但是,它也易于使用。PPTP客户端内嵌在许多操作系统中:包括Pocket PC和Mac OS,此外,基本不需要进行配置。在频谱的另一个终端,IPSec提供了坚固的安全性,并由复杂的配置所支持,由VPN客户机安装。在SSL VPN层之间——要比PPTP更安全,配置起来要比配置IPSec更容易。
这种多样性使得很难相互比较VPN,比WPA要简单得多。但是,关于VPN是如何阻止无线网,我们仍然可以做出全面的观测。
- WEP和WPA可以保护所有的链路层数据,包括局域网广播和多点传送。局域网使得更多的信息流暴露出来,这样在信道开启之前,很难防止信息“泄露”。这尤其符合用于受信任(校内)的无线局域网和不受信任(热点)的无线局域网中的设备,这里的局域网需要不同的VPN策略。
- 虽然VPN可能与远程安全措施相吻合,但是对网络拓扑结构比较挑剔。比如,WPA-企业版本可以为无线工作站分配虚拟局域网标签,支持当地和独立子网中的局域网访问控制。VPN通常使用虚拟的IP来达到这一目的,这就可以命令路由,并过滤网络中的变化。
- 尽管当无线工作站漫游时,WPA-企业版本会带来延时,但是当工作站在IP子网间漫游,VPN信道通常会破坏。虽然将所有无线用户集中在一个子网避免这一点的发生,但是这在大型无线局域网中是不可能的。
- 需要特定的客户端软件IPSec PN在一些客户或者设备无法正常运行非定制客户端的无线局域网中是不切实际的(比如,无线扫描器、智能电话、VoWi-Fi步话机)。然而,在需要特殊的802.1X请求的WPA-企业版本安装中会面临类似的问题。
克服困难
大多数企业会采用VPN和WPA2的结合来结束对无线员工的保护。随着无线基础设施的成熟,许多人会将校内网升级成为WPA2企业版本。VPN会坚持保护无线热点的移动工作者和家庭无线局域网的远程工作者。很少有公司可以控制远程网络,此外,安全状况也有所不同。用VPN托管所有校外无线网可能是在这些环境中执行公司制定的策略的唯一方法。
那么,在使用无线局域网的时候,你该如何面对VPN的挑战?
- 将终端安全软件与你的虚拟专用网客户端相结合,终端安全软件可以进行核查以确保只要无线链路处于连接状态,VPN就在运行,并且如果VPN信道关闭,就中断无线连接。配置个人防火墙以阻止非VPN信息流通过无线网进入或者离开。
- 对于单一接入点的家庭无线局域网和因特网咖啡馆的用户而言,由于漫游导致的VPN中断可能并不是一个大问题。当在不同地点移动时,仍然需要保持连接的工作者就可能需要一个移动的VPN。可以从NetMotio、Columbitech,、Ecutel 和AppGate购买到移动VPN产品。当客户需要在网络之间移动时,这些移动式无线专用网产品可以提供持续的信道和会话。当某个设备暂时移出范围时,一些产品甚至可以排队等待接收的信息。虽然所支持的技术不同,但是移动VPN通常都需要客户端软件。
- 当使用VPN来确保校内网工作者的安全时,应该使用提供“流动性”或者“子网漫游”的无线网关或者交换器。虽然这些特性是专有的,但是,当在子网间漫游时,通常会让VPN客户端保持相同的虚拟IP。然而,当工作站离开无线网的覆盖范围时(比如,内部电梯、建筑物之间),仍然会发生应用中断。
最后,为了支持那些不能运行VPN客户端软件的客户和其它设备,应该使用一个SSL VPN或者受控的入口。受控入口虽然不对数据加密,但是可以用于控制并追踪网络的使用情况。SSL VPN使用网络浏览器作为客户端平台,对数据进行加密,这样它甚至可以适用于客户端设备。