Cisco Structured Wireless- Aware Network

兼顧各種網路結構，保障無線網路安全
SWAN的基本架構

為了因應企業關切的無線網路安全問題，許多團體或廠商提出相關的解決方案，但是大多數都是針對加密以及偵測為主。不論是更多位元的加密機制，或是立即有效地偵測非法裝置，其實並沒有真正解決無線網路環境最根本的安全問題—無線電波溢波。

因為無線電波溢波，入侵者只要在外界任何一個能接收到訊號的地點，就可以竊聽或破壞原有的安全環境，安全專家把這種行為叫做「War Driving」。War Driving的損害可大可小，使用適當的加密機制與安全通道可以將入侵者的解碼時間延長，具有一定的保護效果；而掃描非法無線網路設備則能夠察覺入侵者的存在，也的確能夠防止有心人士伺機入侵企業網路。但是，再好的加密機制，總是有被破解的一天，再強的掃描系統，也還是存在著死角。要杜絕外界入侵者最好的方法還是封鎖無線電波的溢波，確保企業內部的無線電波不會輻射到外界。

Cisco提出的Strctured Wireless-Aware Network（以下稱SWAN），可分為三個部分：實體網路後端的CiscoWorks管理設備、安裝IOS軟體的交換器與無線基地臺，以及能夠支援SWAN的用戶端裝置。

後端的管理設備部分都是使用Cisco的硬體設備，包括Secure ACS、LMS（LAN Management Solution）及WLSE（Wireless LAN Solution Engine），位於實體網路上，能夠透過有線網路管理無線基地臺。而ACS伺服器或AAA伺服器能夠提供身分認證，防止非法使用者入侵企業網路；另外也提供資料加密的功能，保障無線網路上資料傳遞的隱密性與安全性；透過LMS與WLSE能夠管理無線電波，防制無線基地臺發送功率過大所引起的無線電波溢波問題。

IOS（Internetwork Operating System）軟體安裝在Cisco交換器設備以及無線基地臺上，具有完整的軟體服務功能，能夠管理網路安全、控制QoS，並且能提供網路加值服務，強化網路的使用彈性。同時藉由IOS軟體，管理設備可以輕易設定所有的客戶端，一次就可以設定好所有的交換器及無線網路基地臺。

在客戶端部分，Cisco提供免費的升級軟體，讓大多數無線網路卡可以藉此與SWAN相容，提升SWAN的適用性。

SWAN提供了一套由上到下完整的管理體系，橫跨實體網路與無線網路，提供有效而且高效率的管理機制。讓企業不但可以管理實體網路上的路由器及交換器，也可以管理無線電波的功率及涵蓋範圍，具有良好的管理延伸性。同時增強安全機制，不但可以被動地偵測非法基地臺，預防非法入侵；也可以主動地提供身分認證、監控以及快速且安全的漫遊，讓使用者享有安全的機動性。

在管理層面上來說，因為全部都是使用Cisco的設備，網管人員能夠輕易地部署及操作無線網路設備，也能夠有效地利用分析工具找出錯誤並解決問題，不需要花費太多時間學習其他管理系統，並且能夠讓整體效能發揮到極致；但是對於已有無線網路設備的企業而言，是否要因為導入SWAN方案而更換設備，又成為另一個困擾。管理無線電波能防止入侵
安全功能完整，用戶端相容性高

一般的無線網路管理設備僅能做到設備的認證與偵測，沒有辦法做到無線電波的管理，而SWAN架構中的WLSE則能夠控制所連接的基地臺，網管人員僅需要在建置初期繞行整個企業環境，SWAN就能夠描繪出整個環境中的無線基地臺所在位置以及訊號涵蓋範圍，根據偵測出的結果，SWAN可以自動調整功率，將功率升高或降低，涵蓋企業環境而不至於產生溢波或死角。

單一臺WLSE伺服器最多可以支援2,500臺基地臺，並且能夠支援所有採用VxWorks與IOS作業系統的基地臺；藉由所連接的基地臺，也能夠偵測環境中的非法無線網路裝置。可以自動調校新部署的基地臺，安裝原有的設定並且調整涵蓋範圍。網管人員制訂好安全政策之後，WLSE也會依據政策自動監控，也會自動警示錯誤以及效能問題。並且能夠藉由XML介面匯出資料，讓網管人員更容易查閱及製作報告。

因為WEP加密協定的缺陷，為了修正安全上的漏洞，許多廠商共同制訂出相關的加密標準，希望能夠藉由這些標準加強安全性，同時也能夠相容於目前使用的WEP，而Cisco也相當積極地提出相關解決方案。在企業層級的無線網路安全部分，Cisco提出了一套完整的解決方案，包含Wi-Fi聯盟提出的WPA（TKIP+MIC以及802.1x身分認證）以及CCX（Cisco相容性延伸）。

在這套解決方案之下，不但可以相容於之前的WEP加密，同時也提高了無線設備的安全性。而Cisco為了確保現存產品的相容性，也將會提出免費的WPA升級軟體，以提高無線網路卡對802.1x身分認證機制的相容性。

Cisco基地臺另外也具有VLAN的功能，使用者不需要架設多臺基地臺，就能夠做到將使用者分流的效果，更能夠有效地提高安全性。使用者察覺不到安全機制的運作

SWAN架構的另一特點就是能夠提供快速的安全漫遊。當使用者從一臺基地臺漫遊到另一臺基地臺時，都必須要重新確認使用者的身分，往往需要500毫秒以上的時間。資料傳輸的部分或許不會有差異，可是當使用網路電話的時候，500毫秒的中斷時間就會造成不小的困擾。

而SWAN的集中式管理系統，除了在第一次身分認證時，必須要透過AAA伺服器認證之外，只要使用者在沒有切斷連線的狀況下，漫遊到另一臺基地臺時，基地臺會自動讀取用戶端的身分認證資料，將這些資料回傳到無線網域服務基地臺（WDS AP）確認身分資料，如果那些資料確認為合法使用者，WDS基地臺會直接將認證資料及密鑰發送到新的基地臺。

這種作法能夠縮短傳遞途徑，並且加速認證過程，讓使用者完全感覺不到任何的差異。而就算是WDS基地臺與主要AAA伺服器之間的連線中斷，WDS基地臺依然可以將轉向現存的認證資料，延續漫遊的功能。Cisco將這套機制稱之為集中式密鑰管理協定（CCKM）。

在較大的企業環境中，這種作法具有相當的功效，不管是VoIP或是ERP應用，在企業環境中都可以暢行無阻，不必擔心必須重新認證或是因為漫遊而導致中斷連線。就算是實體網路因某些因素導致網路連線中斷，各個WDS都還能夠維持現有連線，讓工作得以延續下去。架構完整，適用範圍廣

實體網路上Cisco的網路設備已經具備有完整的結構性，為了因應攻擊類型的多樣化，也不斷地更新增強安全機制。在無線區域網路的使用量不斷地增加的情況之下，更推出了SWAN架構以提升安全性。

SWAN的整體架構完整，從最上層的管理到最下層的連接裝置都能妥善管理。整體架構雖然是以企業為主，但是根據安全政策與設定的不同，也能夠運用在校園或公眾熱點。以市場現況而言，大多數已經採用Cisco網路設備的企業在導入SWAN方案時，並不會有太大的困擾。我們認為，SWAN所採用的集中式網路管理架構，在越廣闊的環境及越大的企業中，越能夠發揮效能；同時也能夠有效地降低建置相關安全防護措施的成本，預防因外在攻擊或員工誤用產生的損失。文⊙羅健豪