Bezprzewodowy IPSec

Kolejnym podejściem do problemu bezpieczeństwa sieci bezprzewodowych jest potraktowanie ich na równi z Internetem i zastosowanie mechanizmów wirtualnych sieci prywatnych (VPN).

Strategia jest następująca - umieścić bezprzewodową sieć za na zewnątrz zapory ogniowej i dać użytkownikom bezprzewodowym te same narzędzia, które służą do łączenia się z organizacją klientom z Internetu, np. oprogramowanie klienta VPN. Dodatkowa zaleta tego rozwiązania: w firmach, gdzie dostęp do sieci wewnętrznej za pomocą VPN jest powszechnie stosowany, nie trzeba instalować użytkownikom dodatkowego oprogramowania, które będą wykorzystywać w sieci bezprzewodowej, ponieważ znajduje się już ono na ich komputerach.

Podstawowa różnica pomiędzy technikami 802.1x a IPSec polega na tym, że 802.1x jest systemem uwierzytelniania w warstwie łącza, a IPSec działa w warstwie sieci. W przypadku IPSec oznacza to, że każdy, kto chce wykorzystywać bezprzewodową sieć bez dostępu do sieci wewnętrznej, może to robić bez żadnych utrudnień. Tylko w przypadku, jeśli pakiet będzie chciał opuścić bezprzewodową sieć, brama IPSec zablokuje dostęp. Poza tym IPSec umożliwia wykorzystanie tylko protokołu IP. Jeśli konieczne jest wykorzystanie IP multicast albo protokołów IPX lub Appletalk, IPSec nie jest właściwym rozwiązaniem.

Bezpieczeństwo oparte na przeglądarce

Dla wielu firm bezpieczeństwo sprowadza się bardziej do kontroli dostępu do sieci niż do ochrony prywatności. W takim przypadku protokoły w rodzaju WEP stają się mało przydatne i może być zastosowane uwierzytelnianie oparte na przeglądarce (browser based security).

W uwierzytelnianiu za pomocą przeglądarki użytkownik musi wprowadzić login i hasło (albo przeprowadzić autoryzację inną metodą, np.: przez token czy biometrię) na szyfrowanej stronie, przed połączeniem z siecią. Producentem takiego systemu uwierzytelniania jest na przykład firma Vernier Networks.

Dodatkową funkcją tego oprogramowania jest możliwość korzystania z techniki 802.1x sniffing. Menedżer dostępu, który ustala dostęp do sieci wewnętrznej, znajduje się pomiędzy punktem dostępowym a resztą świata. Istotą tego rozwiązania jest możliwość współpracy z klientami 802.1x i klientami nie obsługującymi tego standardu. Użytkownicy bez klientów 802.1x będą musieli dokonać uwierzytelniania w oknie przeglądarki i zostaną podłączeni do odpowiedniego VLAN dla gości. Użytkownicy 802.1x są przypisani do sieci wewnętrznej i nie jest od nich wymagane uwierzytelnianie w oknie przeglądarki.

Podsumowanie

Wielu ekspertów jest zgodnych co do tego, że najlepszą strategią zabezpieczenia bezprzewodowych sieci jest stosowanie protokołu IPSec. Chociaż jest dostępny 802.1x, to nie jest on w stanie załatać wszystkich dziur w bezpieczeństwie WEP, poza tym sam nie jest wolny od wad (chociaż uzyskał już duże wsparcie producentów). Trwają prace nad zwiększeniem bezpieczeństwa WEP przez zastąpienie RC4 nowym algorytmem, najprawdopodobniej będzie to AES (Advanced Encryption Standard), co pozwoli na wyeliminowanie najpoważniejszych luk w bezpieczeństwie WEP, które były związane z wykorzystywaniem algorytmu RC4.