近來(lái)，無(wú)線局域網(wǎng)發(fā)展的勢(shì)頭越來(lái)越猛，它接入速率高，組網(wǎng)靈活，在傳輸移動(dòng)數(shù)據(jù)方面尤其具有得天獨(dú)厚的優(yōu)勢(shì)。但是，隨著無(wú)線局域網(wǎng)應(yīng)用領(lǐng)域的不斷拓展，其安全問(wèn)題也越來(lái)越受到重視。在有線網(wǎng)絡(luò)中，您可以清楚辨別哪臺(tái)電腦連接在網(wǎng)線上。無(wú)線網(wǎng)絡(luò)與此不同，理論上無(wú)線電波范圍內(nèi)的任何一臺(tái)電腦都可以監(jiān)聽(tīng)并登錄無(wú)線網(wǎng)絡(luò)。如果企業(yè)內(nèi)部網(wǎng)絡(luò)的安全措施不夠嚴(yán)密，則完全有可能被竊聽(tīng)、瀏覽甚至操作電子郵件。為了使授權(quán)電腦可以訪問(wèn)網(wǎng)絡(luò)而非法用戶無(wú)法截取網(wǎng)絡(luò)通信，無(wú)線網(wǎng)絡(luò)安全就顯得至關(guān)重要。

　　兩大基本安全防護(hù)手段

　　在這個(gè)道高一尺，魔高一丈的環(huán)境里，怎樣保衛(wèi)這些數(shù)據(jù)的安全?致力于無(wú)線局域網(wǎng)　WLAN　發(fā)展的各廠家及國(guó)際 Wi - Fi 聯(lián)盟都紛紛提出新的方法來(lái)加固無(wú)線局域網(wǎng)，以使其廣泛應(yīng)用。2004年 6 月24日， IEEE 通過(guò)了 802.11i 基于 SIM 卡認(rèn)證和 AES 加密的方法為無(wú)線局域網(wǎng)提供了安全保障，使得無(wú)線局域網(wǎng)擁有了更為廣闊的應(yīng)用空間。

　　安全性主要包括訪問(wèn)控制和加密兩大部分。訪問(wèn)控制保證只有授權(quán)用戶能訪問(wèn)敏感數(shù)據(jù)，加密保證只有正確的接收者才能理解數(shù)據(jù)。目前使用***廣泛的 IEEE 802.11b 標(biāo)準(zhǔn)提供了兩種手段來(lái)保證 WLAN 的安全—— SSID服務(wù)配置標(biāo)示符和 WEP無(wú)線加密協(xié)議　。SSID提供低級(jí)別的訪問(wèn)控制，WEP是可選的加密方案，它使用RC4加密算法，一方面用于防止沒(méi)有正確的WEP密鑰的非法用戶接入網(wǎng)絡(luò)，另一方面只允許具有正確的WEP 密鑰的用戶對(duì)數(shù)據(jù)進(jìn)行加密和解密　包括軟件手段和硬件手段　。

　　另外，802.11b標(biāo)準(zhǔn)定義了兩種身份驗(yàn)證的方法：開(kāi)放和共享密鑰。在缺省的開(kāi)放式方法中，用戶即使沒(méi)有提供正確的 WEP密鑰也能接入訪問(wèn)點(diǎn)，共享式方法則需要用戶提供正確的WEP密鑰才能通過(guò)身份驗(yàn)證。

　　WEP 的缺陷和解決之道

　　WEP加密是存在固有的缺陷的。由于它的密鑰固定，初始向量?jī)H為 24 位，算法強(qiáng)度并不算高，于是有了安全漏洞。 AT&T 的研究員******發(fā)布了WEP的解密程序，此后人們開(kāi)始對(duì)WEP質(zhì)疑，并進(jìn)一步地研究其漏洞。現(xiàn)在，市面上已經(jīng)出現(xiàn)了專門的破解WEP加密的程序，其代表是WEPCrack和AirSnort 。

　　WEP 加密方式本身無(wú)問(wèn)題，問(wèn)題出在密鑰的傳遞過(guò)程中——密鑰本身容易被截獲。為了解決這個(gè)問(wèn)題，WPA( Wi-Fi Protected Access)作為目前事實(shí)上的行業(yè)標(biāo)準(zhǔn)，改變了密鑰的傳遞方式。IEEE 802.11TGi任務(wù)組 i已經(jīng)制訂了臨時(shí)密鑰完整性協(xié)議TKIP，TKIP像WEP一樣基于RC4加密，但它提供了快速更新密鑰的功能。WPA利用TKIP協(xié)議傳遞密鑰，它在密鑰管理上采用了類似于RSA的公鑰、私鑰方式。利用TKIP，以及各個(gè)廠商計(jì)劃推出TKIP固件補(bǔ)丁，用戶在WLAN硬件上的投資將得到保護(hù)。

　　一個(gè)具體做法是采用RADIUS 服務(wù)器與客戶機(jī)進(jìn)行雙向的身份驗(yàn)證，驗(yàn)證完成后，RADIUS 服務(wù)器與客戶機(jī)確定一個(gè)WEP密鑰(這意味著，這個(gè)密鑰不是與客戶機(jī)本身物理相關(guān)的靜態(tài)密鑰，而是由身份驗(yàn)證動(dòng)態(tài)產(chǎn)生的密鑰)。此后，RADIUS服務(wù)器通過(guò)有線網(wǎng)發(fā)送會(huì)話密鑰到AP，AP利用會(huì)話密鑰對(duì)廣播密鑰加密，把加密后的密鑰送到客戶機(jī)，客戶機(jī)利用會(huì)話密鑰解密。然后，客戶機(jī)與AP******WEP，利用密鑰進(jìn)行通信。另一種做法稱作WEP Plus，它的機(jī)理是針對(duì)初始向量的缺點(diǎn)，以隨機(jī)方式生成初始向量，使得上述的WEPCrack和AirSnort程序無(wú)法破解WEP密鑰。

　　企業(yè)無(wú)線網(wǎng)安全防護(hù)的建議

　　許多安全問(wèn)題都是由于無(wú)線訪問(wèn)點(diǎn)沒(méi)有處在一個(gè)封閉的環(huán)境中造成的。所以，首先就應(yīng)注意合理放置訪問(wèn)點(diǎn)的天線。以便能夠限制信號(hào)在覆蓋區(qū)以外的傳輸距離。別將天線放在窗戶附近，因?yàn)椴Ａo(wú)法阻擋信號(hào)。你******將天線放在需要覆蓋的區(qū)域的中心，盡量減少信號(hào)泄露到墻外。

　　將信號(hào)天線問(wèn)題處理好之后，再將其加一層“保護(hù)膜”，即一定要采用無(wú)線加密協(xié)議(WEP)。

　　建議禁用DHCP和SNMP設(shè)置。從禁用DHCP對(duì)無(wú)線網(wǎng)絡(luò)而言，這很有意義。

　　如果采取這項(xiàng)措施，黑客不得不破譯你的IP地址、子網(wǎng)掩碼及其它所需的TCP/IP參數(shù)(無(wú)疑也就增加了難度)。無(wú)論黑客怎樣利用你的訪問(wèn)點(diǎn)，他仍需要弄清楚IP地址。而關(guān)于SNMP設(shè)置，要么禁用，要么改變公開(kāi)及專用的共用字符串。如果不采取這項(xiàng)措施，黑客就能利用SNMP獲得有關(guān)你方網(wǎng)絡(luò)的重要信息。

　　使用訪問(wèn)列表(也稱之為訪問(wèn)控制列表ACL)。為了進(jìn)一步保護(hù)你的無(wú)線網(wǎng)絡(luò)，建議選用此項(xiàng)特性，但請(qǐng)注意，并不是所有的無(wú)線訪問(wèn)點(diǎn)都支持。

　　因?yàn)榇隧?xiàng)特性可以具體地指定允許哪些機(jī)器連接到訪問(wèn)點(diǎn)。支持這項(xiàng)特性的訪問(wèn)點(diǎn)有時(shí)會(huì)使用普通文件傳輸協(xié)議TFTP，定期下載更新的列表，非常有用。

　　綜合使用無(wú)線和有線策略。無(wú)線網(wǎng)絡(luò)安全不是單獨(dú)的網(wǎng)絡(luò)架構(gòu)，它需要各種不同的程序和協(xié)議配合。制定結(jié)合有線和無(wú)線網(wǎng)絡(luò)安全的策略能夠******限度提高安全水平。

　　使用專業(yè)的無(wú)線網(wǎng)管理和安全分析工具，象艾爾麥這樣專業(yè)的無(wú)線網(wǎng)分析儀有******的無(wú)線網(wǎng)安全智能評(píng)估系統(tǒng)，能及時(shí)發(fā)現(xiàn)和告警無(wú)線網(wǎng)安全和性能方面的問(wèn)題，是目前企業(yè)無(wú)線網(wǎng)主要采用的安全檢測(cè)工具。