隨著新的無(wú)線產(chǎn)品和技術(shù)的出現(xiàn)，安全問(wèn)題似乎成為無(wú)線網(wǎng)絡(luò)的最大弱點(diǎn)。在傳統(tǒng)的有線網(wǎng)絡(luò)上，一個(gè)攻擊者可以物理接入到有線網(wǎng)絡(luò)內(nèi)或設(shè)法突破邊緣防火墻或路由器。對(duì)一個(gè)無(wú)線網(wǎng)絡(luò)而言，所有潛在的無(wú)線攻擊者只需要攜帶其可移動(dòng)設(shè)備呆在一個(gè)舒服的位置，用其無(wú)線嗅探程序就可展開工作。本文的主要目標(biāo)是為你提供全部種類的無(wú)線安全方法的一個(gè)簡(jiǎn)潔描述，這樣你就可以決定適合自己安全需要的最佳選擇。

WEP

WEP即有線對(duì)等保密(Wired Equivalent Privacy),它本是一種數(shù)據(jù)加密算法,用于提供等同于有線局域網(wǎng)的保護(hù)能力，但它決不等同于有線網(wǎng)的安全性。WEP標(biāo)準(zhǔn)是在無(wú)線網(wǎng)的早期創(chuàng)建的，其目標(biāo)是提供無(wú)線網(wǎng)的唯一安全層。不幸的是，WEP并沒(méi)有真正設(shè)計(jì)完成。它的主要問(wèn)題主要?dú)w結(jié)為其設(shè)計(jì)上的缺陷。

WEP是基于這樣一個(gè)系統(tǒng)的：其流經(jīng)無(wú)線網(wǎng)絡(luò)的數(shù)據(jù)是用隨機(jī)生成的密鑰加密的。但是，WEP用以生成這些密鑰的方法很快就被發(fā)現(xiàn)是可以預(yù)測(cè)出來(lái)的，這使得潛在的入侵者很容易就可截取或破譯這些密鑰。即使一個(gè)不太高明的無(wú)線黑客也可以輕易地在二三分鐘內(nèi)攻克WEP密鑰。攻克WEP的過(guò)程如下圖1所示：

圖1

由上圖可以看出，攻克WEP是一個(gè)相對(duì)簡(jiǎn)單的過(guò)程。其中，1表示：攻擊者發(fā)送一個(gè)偽造的數(shù)據(jù)包給合法的移動(dòng)用戶。2表示：移動(dòng)工作站用WEP對(duì)數(shù)據(jù)包加密并將它轉(zhuǎn)發(fā)給訪問(wèn)點(diǎn)。3表示：攻擊者截獲加密的數(shù)據(jù)包并將它與最初的數(shù)據(jù)包相比較，從而得到加密密鑰。

雖然WEP已被證明是陳舊低效的，它仍然受到現(xiàn)代的大量無(wú)線訪問(wèn)點(diǎn)和路由器的支持。不僅如此，據(jù)說(shuō)它還是現(xiàn)在許多個(gè)人甚至是許多公司保障其安全的最常用的方法。不過(guò)，如果你真得在使用WEP的話，那么筆者建議你繼續(xù)閱讀本文下面的內(nèi)容，采取其它措施，盡量遠(yuǎn)離WEP！（當(dāng)然，如果你覺(jué)得網(wǎng)絡(luò)安全不重要時(shí)除外。）

WPA

對(duì)WEP缺陷的直接反應(yīng)就是Wi-Fi Protected Access (WPA)，即Wi-Fi保護(hù)訪問(wèn)。WPA與WEP的基本工作原理是相同的，不過(guò)它基本上不存在后者的缺點(diǎn)。WPA能夠以兩種方式工作，這依賴于你需要的安全水平。多數(shù)家庭和小型辦公用戶會(huì)使用WPA-Personal來(lái)實(shí)現(xiàn)安全，它僅僅基于單一的加密密鑰。在這種設(shè)置中，你的訪問(wèn)點(diǎn)和無(wú)線客戶共享一個(gè)密鑰，此密鑰是由TKIP或AES方法加密的。雖然這聽起來(lái)有點(diǎn)像WEP，不過(guò)，WPA中的加密方法是截然不同的，并且更加復(fù)雜且難于攻克。WPA實(shí)現(xiàn)的另外一種方法是將WPA加密密鑰與802.1X驗(yàn)證的使用結(jié)合起來(lái)，本文將在下面討論。

802.1X/EAP

802.1X 和EAP所認(rèn)可的標(biāo)準(zhǔn)，其設(shè)計(jì)目的是支持有線和無(wú)線網(wǎng)絡(luò)身份驗(yàn)證的改進(jìn)方式，雖然其主要運(yùn)用在無(wú)線網(wǎng)絡(luò)中。它們并不是基于密碼技術(shù)的，因此并不作為WEP、TKIP等的可直接選擇性方案而存在，而是作為一種額外的資源來(lái)提供附加的安全性。現(xiàn)分述如下：

●IEEE 802.1X:它經(jīng)常被稱為端口級(jí)的訪問(wèn)控制，它創(chuàng)建一個(gè)從無(wú)線客戶端到訪問(wèn)點(diǎn)的虛擬端口，以用于通信。如果通信被認(rèn)為是未授權(quán)的，那么這個(gè)端口就不可用并且通信被停止。

●EAP: 它被稱為擴(kuò)展驗(yàn)證協(xié)議（extensible authentication protocol），被用于與802.1x一起協(xié)作完成用于無(wú)線連接的驗(yàn)證方法。這包括要求用戶的證據(jù)信息（口令或證書）、所使用的協(xié)議（WPA、WEP等等）、密鑰生成的支持等。

可以說(shuō)，任何使用802.1X和EAP作為身份驗(yàn)證基礎(chǔ)的無(wú)線網(wǎng)絡(luò)都可以被分為三個(gè)主要的部分：（請(qǐng)參考圖2）

●請(qǐng)求者：運(yùn)行在無(wú)線工作站上的軟件客戶

●認(rèn)證者：無(wú)線訪問(wèn)點(diǎn)

●認(rèn)證服務(wù)器：它是一個(gè)認(rèn)證數(shù)據(jù)庫(kù)，通常是一個(gè)RADIUS服務(wù)器的形式，如微軟的IAS等。

圖2

上圖表明：802.1x依賴于一個(gè)EAP和一個(gè)RADIUS服務(wù)器來(lái)管理身份驗(yàn)證。其中：1表示客戶端與拒絕通信的訪問(wèn)點(diǎn)聯(lián)系，2表示訪問(wèn)點(diǎn)完成與認(rèn)證服務(wù)器的一次握手，3表示認(rèn)證服務(wù)器向請(qǐng)求者索要身份證明，4表示請(qǐng)求者用所指定的身份驗(yàn)證方法響應(yīng)要求，5表示認(rèn)證服務(wù)器向請(qǐng)求者提供一個(gè)會(huì)話密鑰，6表示請(qǐng)求者現(xiàn)在與驗(yàn)證服務(wù)器和訪問(wèn)點(diǎn)同步，并能夠在無(wú)線網(wǎng)絡(luò)上通信。

基于802.1X/EAP的無(wú)線安全特別適用于多數(shù)公司級(jí)的無(wú)線網(wǎng)絡(luò)。一些小型網(wǎng)絡(luò)可以將802.1X安全與一個(gè)標(biāo)準(zhǔn)的加密協(xié)議（如WPA或TKIP）結(jié)合起來(lái)，一些更大的、要求更安全的網(wǎng)絡(luò)會(huì)要求將802.1x的安全性與基于證書的的驗(yàn)證結(jié)合起來(lái)。

VPN

虛擬私有網(wǎng)絡(luò)（Virtual Private Network）技術(shù)從90年代以來(lái)一直被作為一種點(diǎn)到點(diǎn)的安全方式。這種技術(shù)已經(jīng)獲得了廣泛的使用，其被證明的安全性可以輕易地被轉(zhuǎn)換到無(wú)線網(wǎng)絡(luò)中。

在一個(gè)WLAN客戶端使用一個(gè)VPN隧道時(shí)，數(shù)據(jù)通信保持加密狀態(tài)直到它到達(dá)VPN網(wǎng)關(guān)，此網(wǎng)關(guān)位于無(wú)線訪問(wèn)點(diǎn)之后（如圖3所示）。這樣一來(lái)，入侵者就被阻止，使其無(wú)法截獲未加密的網(wǎng)絡(luò)通信。因?yàn)閂PN對(duì)從PC到位于公司網(wǎng)絡(luò)核心的VPN網(wǎng)關(guān)之間的整個(gè)鏈接加密，所以PC和訪問(wèn)點(diǎn)（AP）之間的無(wú)線網(wǎng)絡(luò)部分也被加密。VPN連接可以借助于多種憑證進(jìn)行管理，包括口令、證書、智能卡等。可以看出，這是保證企業(yè)級(jí)無(wú)線網(wǎng)絡(luò)安全的又一個(gè)重要方法。

圖3

上圖表明：VPN為無(wú)線通信提供了一個(gè)安全的加密隧道。

無(wú)線安全交換機(jī)

無(wú)線安全交換機(jī)算是無(wú)線網(wǎng)絡(luò)安全市場(chǎng)中的后來(lái)者。這種交換機(jī)是基于硬件的安全解決方案，它直接安插到有線網(wǎng)絡(luò)的高速鏈路中，并且訪問(wèn)點(diǎn)完成數(shù)據(jù)包轉(zhuǎn)換。這種交換機(jī)的目標(biāo)是在大型的分布式網(wǎng)絡(luò)上對(duì)訪問(wèn)點(diǎn)的安全性和管理進(jìn)行集中化。這種交換機(jī)通常可以借助于一個(gè)Web、一個(gè)應(yīng)用程序或命令行接口進(jìn)行管理，它們可以為網(wǎng)絡(luò)中的所有訪問(wèn)點(diǎn)提供一致性。不僅如此，它們對(duì)于將欺詐性訪問(wèn)點(diǎn)阻擋于網(wǎng)絡(luò)之外也是很有益的。如果一個(gè)無(wú)線訪問(wèn)點(diǎn)沒(méi)有在一個(gè)安全交換機(jī)的ACL中配置安全性，那么你很快就會(huì)發(fā)現(xiàn)它無(wú)法在網(wǎng)絡(luò)中運(yùn)行。現(xiàn)在幾乎所有的主要網(wǎng)絡(luò)部件制造廠商都提供無(wú)線安全交換機(jī)。

決定你的需要

在本文中筆者僅涉及了幾種最常見的保障無(wú)線網(wǎng)絡(luò)安全的方法。說(shuō)實(shí)話，當(dāng)你將數(shù)據(jù)通過(guò)無(wú)線信號(hào)傳輸時(shí)，實(shí)際上是將數(shù)據(jù)置于風(fēng)險(xiǎn)之中。我們所希望的是通過(guò)實(shí)施這里討論的一些措施來(lái)減少風(fēng)險(xiǎn)。那么，這些方法哪一個(gè)更適合于你的網(wǎng)絡(luò)呢？為了回答這個(gè)問(wèn)題，筆者手工繪制了一張流程圖（下圖4），不過(guò)不要完全依賴它。在實(shí)施一項(xiàng)安全方案之前，你應(yīng)當(dāng)縝密地審查流經(jīng)無(wú)線網(wǎng)絡(luò)的信息的敏感性。

圖4