来自空中的威胁：九项措施保护WLAN

　　尽管无线网络的安全标准尚在酝酿之中，但是这不意味着目前用户不需要采取任何措施。对于用户来说，只需采取九个措施，就可以将无线网络的安全风险大大降低。

　　WLAN自从诞生之日起就是不安全的。用户创建的WLAN安全系统取决于所保护的数据类型、数据价值以及数据所面临的风险水平。实现WLAN安全性，用户需要在时间、培训、维护、监管以及硬软件成本上进行大量投入。

　　针对一个拥有150到500个接入点、几百个用户节点的企业WLAN，我们提出以下九条建议。

　　控制无线客户机

　　实现WLAN网卡的标准化，防止WLAN网卡被任意改动。登记无线客户端的MAC地址，制定和执行升级客户端的安全程序和政策，迅速利用软件补丁程序升级客户端软件，并且阻止客户端运行过时的软件。考虑关闭网卡上的能够使客户端不经过接入点就可以相互连接的功能，避免攻击者利用这种特性引诱客户端与一个欺诈WLAN建立联系。

　　像对待Internet那样，对待WLAN

　　WLAN是不可信的，用户需要在WLAN和有线网络之间安装防火墙。防火墙能够阻止非授权的WLAN用户，向有线网络发送二层数据包。一次成功的ARP攻击将使攻击者可改变用户网络上的两台计算机之间数据流的传送路线，让数据流经过攻击者自己的计算机。

　　保护接入点

　　将接入点隐藏在不容易被发现的地方，以保护它们的安全性，防止非法篡改它们的设置。改变SSID或IP地址等出厂缺省设置，设置难以猜测的口令字，关闭SSID广播功能，以隐蔽接入点，让攻击者找不到设备。开启用于客户机MAC地址的访问控制表，选择采用闪存的接入点，以便于未来升级系统。用户可以考虑购买可以建立VLAN的接入点。

　　防止无线电波“泄漏”到站点之外

　　用户可以利用定向天线来更换标准的全方位天线，以“改变”无线电波的形态，在站点边缘尤其需要用户这么做。用户也可以采用调节无线电功率的技术来防止无线电波“泄漏”到站点之外，因为使用更低的功率意味着信号不会像原来那样传送得很远。

　　不要仅依靠WPA

　　WPA是即将推出的IEEE 802.11i标准的一个早期版本，它弥补了有线等效加密(WEP)方案的许多缺陷。除此之外，WPA还支持802.1x。但是WPA仍然使用流密码加密无线数据流，而没有使用更安全的分组密码。

　　3DES特别是高级加密标准(AES)都采用分组密码，AES将成为802.11i标准的组成部分，并且需要改进WLAN硬件以应付额外的处理负载。用户一定要确保自己所选择的密码方案能够应对加密数据包的负荷。

　　使用VPN

　　IPSec VPN或SSL VPN仍被视为是最佳的保护技术。尽管VPN技术存在很多局限，IPSec VPN还需要在客户设备上安装程序，当用户在接入点之间移动时要求重新认证，运行时需要大量带宽，管理伴随WLAN规模的扩大而越来越复杂，然而VPN能够提供端到端的加密、认证(常常通过RADIUS服务)和接入控制，VPN已经成为企业网络的一部分，被用于远程接入。

　　利用第三方无线安全控制器完善VPN

　　已经在市场露面两年的安全网关设备解决了WLAN使用VPN时所出现的一些问题。许多安全网关集成了防火墙和VPN，支持接入点间和跨子网边界的漫游，并且实现了对安全性的统一管理。控制器可以运行多种加密和认证方案，并且厂商正在向控制器中添加新标准，例如802.1x以及一种或多种802.1x能够支持的扩展认证协议(EAP)方法。

　　WLAN交换机提供了许多安全特性，既具有有线交换机所具有的管理、控制特性，同时还能够作为无线接入点，是一套高度简化的集中式设备。

　　为802.1x认证做好准备

　　WLAN VPN将逐渐被802.1x认证和IEEE 802.11i标准所取代，这是因为802.1x认证和IEEE 802.11i标准提供了更好的加密以及密钥管理与分发机制。

　　在802.1x中，有几种EAP方式可供人们选择。对于全部使用Cisco产品或Microsoft产品的用户来说，明智的选择是采用PEAP。Microsoft的EAP传输层安全方式需要在客户机和服务器上安装数字证书，并且带来了公共密钥基础设施所造成的复杂性。

　　监测网络

　　越来越多的分析器和监测器能够使用户分析WLAN无线数据流，发现未经授权的接入点，并且根据需要阻止或断开客户机，以及检测入侵者。一些产品是经过改造的、用于处理WLAN数据包的以太网探测器，另一些产品则是为WLAN设计的专用产品。