VPN 是一套可在不安全的網路中 (如網際網路) 安全周遊的絕佳解決方案 (不過 VPN 實作的品質互異)。然而,這不一定是保障內部 WLAN 安全的最佳解決方案。對於這類的應用程式,與 802.1X 解決方案相較之下,VPN 只提供很低或甚至沒有提供任何額外的安全性,同時卻也增加了複雜度和成本、降低使用性,並造成重要的功能無法運作。
:
許多分析團體和廠商都做出不明確的假設,認為 VPN 安全性一定比 WLAN 好。這對靜態 WEP 可能不假,但對於本文所述的 802.1X EAP 型解決方案就不一定如此。具體地說,VPN 確認方法通常比較不安全,而且在最佳狀況時,不一定是最強固的。舉例來說,Microsoft 支援的 WLAN 解決方案使用一模一樣的 EAP 確認方法作為其 VPN 解決方案 (EAP-TLS 和 MS-CHAP v2)。許多 VPN 實作 (尤其是該些以 IPSec 通道模式為基礎者) 都採用預先共用金鑰確認 (群組密碼)。這一直以來都受到廣泛的質疑,而且表明擁有嚴重的安全性漏洞,諷刺的是,有些漏洞還與 WEP 共存。
:
VPN 並沒有辦法保障 WLAN 本身的安全。即便 VPN 通道內部的資料是安全的,任何人仍然可以進入 WLAN,並嘗試攻擊 WLAN 上合法的無線用戶端和其他裝置。
VPN 非常適合用於保障在不安全網路間傳遞的流量,無論使用者是經由家用寬頻連線或從無線作用點連線。然而,VPN 向來不是設計用來保障內部網路上的網路流量安全。對於絕大部份組織來說,這種角色的 VPN 對使用者可能過於麻煩而且功能限制過多,對 IT 部門要維護的話則太過於昂貴和複雜。
在一些特定連線或流量類型需要有更高安全性的例外情況下,除了原始的 WLAN 保護外,還可由 VPN 通道或 IPSec 傳輸模式提供。這是比較合理的網路資源使用。
沒有留言:
張貼留言