无线网络大讲堂 无线局域网络安全指南

　　当无线局域网得到广泛普及，并且商业利益变得越加明朗时，人们的关注点也随之集中到了安全问题上。本文将探讨这些问题，并分析能够解决安全问题的先进技术。加密和认证的关键议题也会得到深度探讨。建议包括部署的企业无线局域网应该具有标准兼容，可扩展和易于管理，当新技术出现时也要能支持这些技术。

　　一、为什么安全问题如此重要?

　　为何对无线LAN安全技术有如此多的忧虑?这一切都来源于开放性的无线媒体。要连接到有线LAN你需要通过物理访问形式，把电脑连接到一个实时网络端口中。而在无线网络环境中，你则只需处在无线信号覆盖范围内即可(接入点范围内)。控制有线网络比较简单：使用室内传统的物理访问控制，也可以利用管理工具关闭不可用的网络端口。无线LAN使用能通过许多现代建筑材料的无线电波，从而它们的覆盖范围也能扩展至室内。无线电波暴露在街头传输容易被某些设备侦听窃取。进入某个公司网络，可以通过使用现有的技术从室外来实现。下图显示了偷听者如何从办公楼外部访问无线LAN。

　　解决办法是构筑强而有效的安全网络。比如，可以使用加密措施，防止利用截获的传输信息进行偷听;也可以使用强大的认证计划阻止未经授权的网络访问。

　　二、802.11安全弱点

　　IEEE802.11标准定义了有线等效协议(WEP)来保护无线传输。WEP协议采用了各方都认可的加密密钥RC4对称流密码。802.11定义了64位的WEP密钥，但是，大多数供应商也支持128位密钥。但是，802.11没有定义如何分发这些密钥。通常来说，一个WEP密钥由两部分组成：24位的初始化向量(IV)和另一个密钥。IV插入文本文件中会随着802.11报文传输，因此，它很容易被截获，并破解WEP加密。解决办法就是使用经常变更的动态WEP密钥。

　　802.11标准也定义了同样使用WEP密钥的基本无线客户认证。行业内也已经通过了802.1x协议验证框架(参见文章第七部分"无线认证)，以弥补802.11标准的不足。最近，美国马里兰大学已记录802.1x协议面临的潜在安全风险。现在的解决办法是使用相互验证以防止"中间人"攻击，以及使用动态WEP密钥。这两项技术都可获得传输层安全(TLS)协议支持。更多的安全保护包括单个报文加密和消息完整性验证--旨在加强802.11安全。