著眼行動辦公室需求 企業宜審慎佈建無線網路

企業意欲打造全無線辦公室，勢將對Wi-Fi無線網路多所倚賴，在進行網路規劃與佈建時，務須重視安全性與管理性。來源：EE LIMITED

時值BYOD蔚為風潮之際，理所當然，企業對於Wi-Fi無線網路的依賴度勢必攀高；然然而同樣的Wi-Fi，幾年前主要為筆記型電腦所用，如今則為智慧型手機、平板電腦為用，不管在於前端的存取方式或應用型態，都出現明顯歧異，管理方式亦需隨之調整。

對於企業IT人員而言，縱然拜BYOD、CYOD乃至IT消費化趨勢成形，致使無線區域網路建置需求大增，但追根究底，源起於1997年的無線區域網路，至今絕非新鮮名詞。

一路發展10餘年，無線區域網路所採用之IEEE 802.11系列標準，業已歷經多次演進，從1999年的802.11a(透過5GHz頻段實現54Mbit/s速率)、802.11b(透過2.4GHz頻段實現11Mbit/s速率)，2003年的802.11g(透過2.4GHz頻段實現54Mbit/s速率)，2009年的802.11n(支援MIMO及HT40，理論上最大速率為600Mbit/s)，直至2013年問世的802.11ac，最大理論傳輸速率上看6.93Gbit/s，前後增速幅度已達數百倍之多。

儘管傳輸速率巨幅揚升，但持平而論，這10多年來，無線區域網路在於安全性、管理性等方面的進步幅度，遠遠不如速率上的提升；在此前提下，企業若欲援引Wi-Fi無線網路，藉以貫徹BYOD政策，姑且先不談時下先進技術，最起碼，有一些基本的觀念思維，必須先加以導正。

最顯而易見的基礎原則，即是企業不宜繼續走Fat AP路線，而應採用Thin AP。所謂Fat AP，意指傳統多功能型無線網路架構，係將WLAN的物理層、用戶資料加密、用戶認證、QoS、網路管理、漫遊技術及其他應用層的功能，通通集於一身，導致結構複雜且難被集中管控，然早期企業考量及建置成本與時間，普遍傾向以Fat AP作為無線網路解決方案。

採行Thin AP架構  有助強化安全與管理

為何時至今日，Fat AP已愈來愈不適用於企業網路環境？最主要的關鍵，就在於管理性與安全性。如前所述，Fat AP無法被集中管控，因此管理者必須詳加掌握個別無線基地台的一切資訊，如果基地台為數不多，還沒有大礙，但如今因應行動辦公室需求，必須大幅提升基地台建置數量，同時需要掌握大量行動裝置的連線資訊，此時倘若採用Fat AP，肯定會令管理者不堪負荷。

若採用 Thin AP架構，管理者僅需要在WLAN Switch集中執行，便可一次針對大量基地台進行設定或除錯，大幅減少人力工時的消耗。

至於安全性部分，眾所周知，企業理應選擇採用WPA2加密機制，始可大幅墊高駭客或有心人士的破解難度，但如果沿用Fat AP，恐怕就得屈就於WEP加密技術，甚至沿用Pre-shared key的金鑰分享模式，實在難以確保無線網路安全。

反觀Thin AP則不同，不僅可支援WPA2 AES-CCM加密方式，且現今相關產品已普遍內建無線入侵防禦系統(WIPS)、或是無線入侵偵測系統(WIDS)，足以協助管理偵查甚或阻斷非屬合法授權的基地台，並且偵測並判別合法使用者、非法使用者(後者意即連線到非法AP或干擾AP的使用者)，繼而即時阻絕特定使用者無線網路卡之連線，同時防範Authentication/Deauthentication floods、Probe request flood或Fake AP flood等等無線DoS攻擊，以及Sequence Number、EAPrate、Station Disconnect、AP Impersonation等Man-in-the-Middle攻擊。

值得一提的是，以往無線網路的加密範圍，僅涵蓋加密使用者的無線網路卡直到AP這段路徑，意圖不良的人士，只需要鎖定一些置於公共區域的AP(通常缺乏安全管控)，並在AP後端擷取資料即可，加密與否對他而言，完全不構成阻礙。

然而如果運用Thin AP搭配WLAN Switch，則會將加密範圍，從使用者的無線網路卡一路縱深到資訊機房，更可有效防止意圖不良的使用者擷取機敏資料。

而最根本的關鍵在於，Thin AP上頭並未存放加密方法、加密金鑰、RADIUS資訊等等任何具有價值的資料，足以避免AP遭人竊取並破解安全資訊。

再者，WLAN Switch本身可支援IPSec與PPTP VPN Tunnel，對於亟需採用VPN連線的用戶，無疑是省卻了額外設備的採購及維護支出，亦算是美事一樁。

取材新穎技術  加速打造全無線辦公室

當然，要實現所謂的全無線辦公室(All-Wireless Office)、甚至是全無線工作空間(All-Wireless Workspace)願景，Thin AP只是入門的起點，尚需搭配諸多配套措施，甚至取決於一些站在時代尖端的先進技術，例如Aruba以使用者為中心(User-Centric)所發展的相關解決方案，便頗能迎合BYOD、CYOD或IT消費化趨勢。

幾年前，Aruba即已提出Mobile Virtual Enterprise架構，旨在將無線網路、有線網路、VPN一併納管於其AirWave平台，藉此將無線存取控管機能，一路延展至有線網路或遠端網路等其他環境；換言之，無論使用者是藉由無線網路、有線網路或VPN連結企業網路，皆適用於相同的安全控管機制，以及一致性的上網體驗，即便透過智慧型手機、平板電腦等行動裝置，同樣也不例外。

此外，該公司還推出一項堪稱特殊的ClientMatch技術，其可確使任何在公司環境使用的行動裝置，都能順暢地漫遊連結到最適當的AP，維持其存取行為的流暢穩定，不僅如此，前端使用者在享用此項技術時，也完全不需執行任何設定。

而在Mobile Virtual Enterprise架構後，Aruba又提出Mobility-Defined Networks(MDN)全新架構，蘊含較以往更為強大安全機制，比方說在ArubaOS 6.4新版作業平台當中內建次世代行動防火牆，可透過DPI技術檢測第4到7層網路流量，依據傳遞內容實施最佳QoS及防護控制，而現今可辨識的App應用程式超過1,500種。

另一方面，Aruba提供的新版ClearPass存取管理系統，開始提供RESTful API與Data Feeds機制，故而輕易整合諸多第三方系統，例如安全事件管理(SIEM)系統，抑或諸如MobileIron、AirWatch等等行動裝置管理(MDM)解決方案，以利企業營造端對端安全連網環境。

總括而論，意欲維持無線網路安全，以避免無線網路環境對有線骨幹網路構成過多的影響與衝擊，企業在佈建無線網路之際，所需顧及的面向甚多，儘管未必需要追逐特定廠牌的獨特技術，但有若干基本要領，仍需加以留意。

首先是無線基地台的射頻(Radio Frequency)管理，包括自動偵測鄰近AP干擾功能、自動修復無線網路覆蓋漏洞功能，乃至於基地台自動負載平衡功能，皆為箇中重點。

其次是前述提到的WIPS與WIDS的部署，以及安全認證授權、防火牆及加密機制的建立。針對防火牆部分，一般WLAN Switch皆可提供Stateful Firewall功能，能依據不同的使用者群組，再以認證機制確認使用身分的合法性後，開始施以不同的管控政策，而系統另可檢視任一使用者的連線狀態，包含其所連線的基地台、漫遊歷程，以及連線Session等種種資訊，另外，無線防火牆功能亦可同時適用於有線網路，以及任何廠牌的無線AP。

除此之外，企業亦需針對無線網路漫遊多所琢磨。在BYOD或CYOD情境下，標榜員工只要在公司環境之內，不論任何時間身處任何樓層、任何區域，使用任何裝置連結企業網路，理應暢通無虞，因而對於無線網路漫遊倚賴甚深；在此前提下，企業務須兼顧同一台 WLAN Switch、不同WLAN Switch或跨IP網段等種種漫遊情境的支援能力，俾使使用者的應用程式連線或資料傳輸，不會因為漫遊而讓Session中斷，而包括802.1x等相關認證資訊，也絕不會因為漫遊而需要重新登入，真正實現無縫隙漫遊的妙效。