近來，無線局域網(wǎng)發(fā)展的勢頭越來越猛，它接入速率高，組網(wǎng)靈活，在傳輸移動數(shù)據(jù)方面尤其具有得天獨(dú)厚的優(yōu)勢。但是，隨著無線局域網(wǎng)應(yīng)用領(lǐng)域的不斷拓展，其安全問題也越來越受到重視。在有線網(wǎng)絡(luò)中，您可以清楚辨別哪臺電腦連接在網(wǎng)線上。無線網(wǎng)絡(luò)與此不同，理論上無線電波范圍內(nèi)的任何一臺電腦都可以監(jiān)聽并登錄無線網(wǎng)絡(luò)。如果企業(yè)內(nèi)部網(wǎng)絡(luò)的安全措施不夠嚴(yán)密，則完全有可能被竊聽、瀏覽甚至操作電子郵件。為了使授權(quán)電腦可以訪問網(wǎng)絡(luò)而非法用戶無法截取網(wǎng)絡(luò)通信，無線網(wǎng)絡(luò)安全就顯得至關(guān)重要。

兩大基本安全防護(hù)手段

在這個(gè)道高一尺，魔高一丈的環(huán)境里，怎樣保衛(wèi)這些數(shù)據(jù)的安全？致力于無線局域網(wǎng)　WLAN　發(fā)展的各廠家及國際 Wi - Fi 聯(lián)盟都紛紛提出新的方法來加固無線局域網(wǎng)，以使其廣泛應(yīng)用。2004年 6 月24日， IEEE 通過了 802.11i 基于 SIM 卡認(rèn)證和 AES 加密的方法為無線局域網(wǎng)提供了安全保障，使得無線局域網(wǎng)擁有了更為廣闊的應(yīng)用空間。

安全性主要包括訪問控制和加密兩大部分。訪問控制保證只有授權(quán)用戶能訪問敏感數(shù)據(jù)，加密保證只有正確的接收者才能理解數(shù)據(jù)。目前使用最廣泛的 IEEE 802.11b 標(biāo)準(zhǔn)提供了兩種手段來保證 WLAN 的安全—— SSID服務(wù)配置標(biāo)示符和 WEP無線加密協(xié)議　。SSID提供低級別的訪問控制，WEP是可選的加密方案，它使用RC4加密算法，一方面用于防止沒有正確的WEP密鑰的非法用戶接入網(wǎng)絡(luò)，另一方面只允許具有正確的WEP 密鑰的用戶對數(shù)據(jù)進(jìn)行加密和解密　包括軟件手段和硬件手段　。

另外，802.11b標(biāo)準(zhǔn)定義了兩種身份驗(yàn)證的方法：開放和共享密鑰。在缺省的開放式方法中，用戶即使沒有提供正確的 WEP密鑰也能接入訪問點(diǎn)，共享式方法則需要用戶提供正確的WEP密鑰才能通過身份驗(yàn)證。

WEP 的缺陷和解決之道

WEP加密是存在固有的缺陷的。由于它的密鑰固定，初始向量僅為 24 位，算法強(qiáng)度并不算高，于是有了安全漏洞。 AT＆T 的研究員最先發(fā)布了WEP的解密程序，此后人們開始對WEP質(zhì)疑，并進(jìn)一步地研究其漏洞�，F(xiàn)在，市面上已經(jīng)出現(xiàn)了專門的破解WEP加密的程序，其代表是WEPCrack和AirSnort 。

WEP 加密方式本身無問題，問題出在密鑰的傳遞過程中——密鑰本身容易被截獲。為了解決這個(gè)問題，WPA( Wi-Fi Protected Access)作為目前事實(shí)上的行業(yè)標(biāo)準(zhǔn)，改變了密鑰的傳遞方式。IEEE 802.11TGi任務(wù)組 i已經(jīng)制訂了臨時(shí)密鑰完整性協(xié)議TKIP，TKIP像WEP一樣基于RC4加密，但它提供了快速更新密鑰的功能。WPA利用TKIP協(xié)議傳遞密鑰，它在密鑰管理上采用了類似于RSA的公鑰、私鑰方式。利用TKIP，以及各個(gè)廠商計(jì)劃推出TKIP固件補(bǔ)丁，用戶在WLAN硬件上的投資將得到保護(hù)。

一個(gè)具體做法是采用RADIUS 服務(wù)器與客戶機(jī)進(jìn)行雙向的身份驗(yàn)證，驗(yàn)證完成后，RADIUS 服務(wù)器與客戶機(jī)確定一個(gè)WEP密鑰(這意味著，這個(gè)密鑰不是與客戶機(jī)本身物理相關(guān)的靜態(tài)密鑰，而是由身份驗(yàn)證動態(tài)產(chǎn)生的密鑰)。此后，RADIUS服務(wù)器通過有線網(wǎng)發(fā)送會話密鑰到AP，AP利用會話密鑰對廣播密鑰加密，把加密后的密鑰送到客戶機(jī)，客戶機(jī)利用會話密鑰解密。然后，客戶機(jī)與AP激活WEP，利用密鑰進(jìn)行通信。另一種做法稱作WEP Plus，它的機(jī)理是針對初始向量的缺點(diǎn)，以隨機(jī)方式生成初始向量，使得上述的WEPCrack和AirSnort程序無法破解WEP密鑰。

企業(yè)無線網(wǎng)安全防護(hù)的建議

許多安全問題都是由于無線訪問點(diǎn)沒有處在一個(gè)封閉的環(huán)境中造成的。所以，首先就應(yīng)注意合理放置訪問點(diǎn)的天線。以便能夠限制信號在覆蓋區(qū)以外的傳輸距離。別將天線放在窗戶附近，因?yàn)椴Ａo法阻擋信號。你最好將天線放在需要覆蓋的區(qū)域的中心，盡量減少信號泄露到墻外。

將信號天線問題處理好之后，再將其加一層“保護(hù)膜”，即一定要采用無線加密協(xié)議(WEP)。

建議禁用DHCP和SNMP設(shè)置。從禁用DHCP對無線網(wǎng)絡(luò)而言，這很有意義。

如果采取這項(xiàng)措施，黑客不得不破譯你的IP地址、子網(wǎng)掩碼及其它所需的TCP／IP參數(shù)(無疑也就增加了難度)。無論黑客怎樣利用你的訪問點(diǎn)，他仍需要弄清楚IP地址。而關(guān)于SNMP設(shè)置，要么禁用，要么改變公開及專用的共用字符串。如果不采取這項(xiàng)措施，黑客就能利用SNMP獲得有關(guān)你方網(wǎng)絡(luò)的重要信息。

使用訪問列表(也稱之為訪問控制列表ACL)。為了進(jìn)一步保護(hù)你的無線網(wǎng)絡(luò)，建議選用此項(xiàng)特性，但請注意，并不是所有的無線訪問點(diǎn)都支持。

因?yàn)榇隧?xiàng)特性可以具體地指定允許哪些機(jī)器連接到訪問點(diǎn)。支持這項(xiàng)特性的訪問點(diǎn)有時(shí)會使用普通文件傳輸協(xié)議TFTP，定期下載更新的列表，非常有用。

綜合使用無線和有線策略。無線網(wǎng)絡(luò)安全不是單獨(dú)的網(wǎng)絡(luò)架構(gòu)，它需要各種不同的程序和協(xié)議配合。制定結(jié)合有線和無線網(wǎng)絡(luò)安全的策略能夠最大限度提高安全水平。

使用專業(yè)的無線網(wǎng)管理和安全分析工具，象艾爾麥這樣專業(yè)的無線網(wǎng)分