WLAN安全有解

　　安全专家认为，802.11bWLAN中的标准加密算法WEP（WiredEquivalentPrivacy）在技术和运作方面存在着缺陷，有可能会被黑客所利用。Cisco公司已经开发出了WEP算法的增强版本，并且在其Aironet设备中成功应用了新的算法。

　　WEP未加密的有线LAN

　　WEP算法使用WEP密钥来对客户端和接入点之间的数据进行加密。发射机在发送数据之前将数据加密；接收机在接收到数据后对数据解密。如果接入点使用WEP，而客户端没有该接入点的WEP密钥，客户端就不能与这个接入点通信并进入接入点后边的网络。虽然每个网络都有自己唯一的安全策略，但是对大多数网络来说，使用静态的WEP密钥并不是十分可靠的。静态密钥是手动设置到客户端和接入点的，经常是长达数天甚至数周不更换。IEEE802.11工作组认为，WEP是一个简单的帧加密协议，它的作用是为无线客户端和接入点之间的无线通信提供安全保证，使之等同于一个未加密的有线LAN。虽然WEP使用的是RC4对称流编码器来加密，但是WEP的静态加密密钥还是相对比较容易被破解的。

　　选择算法和认证协议

　　任何的WLAN安全系统都包括如下的三个基本组成部分：1）一个用户认证算法；2）数据加密体系；3）一个管理客户端、接入点和远程拨号用户认证服务RADIUS服务器之间相互认证的结构体系。企业可以使用802.11标准在网络的第二层来实现以上的功能，也可以通过第三层的IPSecVPN来实现。安全系统所使用的算法及其实现方式，决定了一个WLAN抵抗入侵的能力。无线网络的安全设计要遵守以下的原则：

　　基于用户的认证——这样入侵者就不能通过窃取或模拟设备来进入网络；

　　集中管理——这样认证证书就可以集中存储而不用分布到各个接入点；

　　动态的基于会话的密钥——密钥以固定的周期自动更改和重认证，使入侵者不那么容易破解；

　　相互认证——客户端就不会被未认证的接入点所欺骗。

　　除了要验证客户端的证书以外，相互认证还要对接入点进行验证，检查它的有效性和是否得到了验证。因为接入点比较小而且便宜，所以参观者、入侵者甚至企业雇员都有可能安装一个未经认证的接入点。相互认证使得客户端不会再无意中连接到一个非法接入点，降低了被攻击得可能性。当然管理人员还要定期的使用扫描设备检查网络，看是否有这种非法接入点存在。

　　使用用户名密码的认证机制而不是数字认证，可以减轻网络管理的负担。同样，在WLAN的第二层和第三层同时运行安全措施也会增加网络管理的负担。在使用Cisco的AironetWLAN网络的时候，建议使用基于用户名密码认证方式的LEAP或使用IPSecVPN。

　　除了要选择合适的技术来解决认证、授权和数据加密等问题以外，对于那些在网络中根据用户的不同来提供接入权限的企业来说，由于用户不能再与某一个特定的端口捆绑在一起，他们还必须要继续加强网络策略。这种情况下，WLAN的IPSecVPN的作用就显现出来了，因为第三层网络能够根据IP地址来区分用户。而Cisco的LEAP运行在第二层，只能根据网卡的MAC地址来对设备进行认证，不能区分用户。对于基于用户的接入控制，第二层的另一种方案就是对那些所有WLAN用户都能访问的资源进行限制。在网络的第一个第三层交换机实施过虑，比如：根据安全策略将无线网络从有线网络的接入端口中屏蔽掉。