就無線網(wǎng)絡(luò)安全而言，瘦接入點(diǎn)的未來是什么?

瘦接入點(diǎn)是一種誤稱，因?yàn)檫@個含義是這種接入點(diǎn)比“胖接入點(diǎn)”功能要少一些或者更袖珍一些。而這兩種含義都是不正確的。實(shí)際上，瘦接入點(diǎn)與一個無線局域網(wǎng)交換機(jī)或者控制器配合使用提供額外的功能，包括單獨(dú)的胖接入點(diǎn)沒有的功能。

例如，思科Aironet 1100系列接入點(diǎn)是“胖”接入點(diǎn)，因?yàn)檫@些接入點(diǎn)在分散式無線局域網(wǎng)中自主地工作。思科Aironet 1100系列輕型接入點(diǎn)是“瘦”接入點(diǎn)，因?yàn)樗鼈冃枰伎茻o線局域網(wǎng)控制器的設(shè)置和監(jiān)視，它們都是集中管理的無線局域網(wǎng)的一份子。有些接入點(diǎn)(例如，Aironet 1200系列接入點(diǎn))在這兩種無線局域網(wǎng)架構(gòu)中都可以使用。

集中管理的無線局域網(wǎng)架構(gòu)如何能夠提高無線網(wǎng)絡(luò)的安全呢?

·集中的管理有助于保持一致的策略設(shè)置，并且能夠減少引起安全突破的錯誤，例如,當(dāng)一個胖接入點(diǎn)不被人注意地重新設(shè)置為廠商的默認(rèn)設(shè)置的時候。

·由于無線局域網(wǎng)控制器與所有合法的接入點(diǎn)進(jìn)行通信，它能夠很容易地發(fā)現(xiàn)工作在距離合法的接入點(diǎn)非常近的地方的不明的“假冒”接入點(diǎn)。

·如果一個瘦接入點(diǎn)出現(xiàn)故障或者遇到干擾(例如，由于遇到DoS攻擊)，這個控制器能夠自動調(diào)整，把接入點(diǎn)轉(zhuǎn)到一個空閑的頻段，或者把那個接入點(diǎn)的工作量轉(zhuǎn)移到另一個接入點(diǎn)。

·根據(jù)瘦接入點(diǎn)的產(chǎn)品架構(gòu)，數(shù)據(jù)也許能通過，也許不能通過一個無線局域網(wǎng)交換機(jī)。當(dāng)通信通過同一臺2層或者3層交換機(jī)的時候，數(shù)據(jù)通道處理可以在那里進(jìn)行。例如，當(dāng)一個無線基站通過轉(zhuǎn)接從一個“主”接入點(diǎn)到這個“被訪問的”接入點(diǎn)的通信而在子網(wǎng)之間漫游的時候，可以提供一個持續(xù)存在的VPN隧道。

·一個無線局域網(wǎng)控制器能夠存儲安全參數(shù)，并且可以在瘦接入點(diǎn)之間共享。例如，當(dāng)一個控制器存儲由802.1X身份認(rèn)證程序建立的成對主密鑰(PMK)時，802.11i密鑰緩存是行的。無論什么時候一個基站漫游到另一個接入點(diǎn)，存儲PMK的那個接入點(diǎn)可用來避免802.1X重新進(jìn)行身份識別。

·集中的監(jiān)控能夠很容易地在與安全有關(guān)的事件在網(wǎng)絡(luò)上出現(xiàn)時把這些事件聯(lián)系起來，并且啟動策略變化(手工或者自動)對這些事件做出反應(yīng)。

·最后，如果有人偷竊一個胖接入點(diǎn)，竊賊很容易把包含敏感的設(shè)置文件的硬件賣掉。瘦接入點(diǎn)就不擔(dān)心這種問題，令竊賊很失望。

隨著產(chǎn)品的成熟，你可以期待著能夠利用這種架構(gòu)優(yōu)勢的更安全的產(chǎn)品，例如。更有選擇地減輕一些安全處理的工作量以確保更安全地漫游，使用僅有監(jiān)視器功能的接入點(diǎn)作為無線入侵傳感器，并且隨著管理系統(tǒng)更好地處理他們所掌控的信息和接口，新的產(chǎn)品能夠進(jìn)行更高級的安全事件分析并且自動做出反應(yīng)。