無線局域網(wǎng)已經(jīng)發(fā)展的相當(dāng)成熟，那么WLAN是不是真的發(fā)展成熟了呢？具體要進(jìn)行哪些安全性的配置呢？看看此文是如何給大家講解的。

雖然新的IEEE 802.11i WLAN安全標(biāo)準(zhǔn)向前邁進(jìn)了一大步,但是W LAN目前還無法抵御各種攻擊。

由于不受線纜和圍墻的限制, WLAN的安全性和便利性受到了人們的肯定?，F(xiàn)在，意在強(qiáng)化WLAN安全性的IEEE802.11i標(biāo)準(zhǔn)在經(jīng)過長期的等待后終于得到了批準(zhǔn)。

WLAN安全了嗎？

有了802.11i，與有線網(wǎng)絡(luò)這個競爭對手相比, WLAN的安全性會得到增強(qiáng)嗎?答案是否定的。

這一切都需要時間。從今年6月開始,無線網(wǎng)絡(luò)供應(yīng)商開始在其產(chǎn)品中實(shí)施802.11i標(biāo)準(zhǔn)；隨后IT組織才會在應(yīng)用中采用這些產(chǎn)品;Wi-Fi聯(lián)盟才會在9月底開始對符合802.11i標(biāo)準(zhǔn)的產(chǎn)品進(jìn)行互操作性測試。

更重要的是，802.11i標(biāo)準(zhǔn)的完成只是一個開始,一系列還在開發(fā)制定的無線網(wǎng)絡(luò)安全標(biāo)準(zhǔn)還沒有完成,而802.11i中的一些子規(guī)范如Wi-Fi訪問保護(hù) (WPA)已經(jīng)應(yīng)用了18個月。另外,雖然基于標(biāo)準(zhǔn)的安全技術(shù)在企業(yè)信息系統(tǒng)安全中發(fā)揮著重要的作用,但是企業(yè)信息系統(tǒng)安全問題遠(yuǎn)遠(yuǎn)超過了一個技術(shù)規(guī)范的范疇。例如，企業(yè)有大量的特殊應(yīng)用的客戶端設(shè)備,如條形碼識別器，它運(yùn)行MS-DOS操作系統(tǒng)，這些設(shè)備沒有更新；很多設(shè)備甚至采用了更早版本的加密和身份識別算法，而802.11i需要更先進(jìn)的加密標(biāo)準(zhǔn)(AES)。AES需要更新硬件，甚至需要更新的產(chǎn)品。當(dāng)企業(yè)在擴(kuò)展其WLAN時，這些設(shè)備可能會成為無線網(wǎng)絡(luò)安全鏈中最薄弱的一環(huán)。

可以肯定，評估802.11i 的功效還需要時間，其中在部署無線網(wǎng)絡(luò)安全方案中肯定會存在害怕、不確定和懷疑。

技術(shù)在進(jìn)步

包括WPA的802.11i標(biāo)準(zhǔn)支持互信機(jī)制和WLAN的完整性。有專家認(rèn)為，Wi-Fi安全已經(jīng)從“少年期”步入“青春期”。在美國，在過去的6個月內(nèi)，從來沒有聽說由于安全問題,企業(yè)拒絕部署WLAN。

2001年美國一些大學(xué)的研究人員證實(shí),黑客可以突破802.11i的Wired Equivalent Privacy (WEP) 機(jī)制，為此, 802.11i增加了一個新的機(jī)制—— WPA，用于WLAN的網(wǎng)卡和熱點(diǎn)(AP)。WPA要求產(chǎn)品在每一個數(shù)據(jù)包基礎(chǔ)上轉(zhuǎn)換數(shù)據(jù)加密的密鑰，以抵御黑客的攻擊。 WPA也使用了工業(yè)標(biāo)準(zhǔn)的802.1x框架，以增強(qiáng)用戶的身份識別能力。

另外，在標(biāo)準(zhǔn)中采用了美國政府批準(zhǔn)的128位數(shù)據(jù)加密標(biāo)準(zhǔn)AES取代了WEP 和 WPA 使用的RC4數(shù)據(jù)流加密技術(shù)?，F(xiàn)在來看，在黑客解開WEP的RC4加密機(jī)制以前，WPA還能提供3～5年的保護(hù)期。不過，802.11i標(biāo)準(zhǔn)為不同的AP之間進(jìn)行快速的安全握手提供了一條道路,同時為小的WLAN提供了一個簡單的算法計(jì)劃。

實(shí)際應(yīng)用的局限性

但是,技術(shù)解決的問題非常有限。根據(jù)Gartner的預(yù)測，到2006年針對WLAN的成功攻擊中的70%會造成AP和客戶端軟件不能配置。這就是為什么一些信息安全培訓(xùn)與認(rèn)證公司推薦定期的無線安全審計(jì)的重要原因。Bethesda公司的培訓(xùn)經(jīng)理Joshua Wright認(rèn)為：“AES很強(qiáng)大，但是假如人們不對其網(wǎng)絡(luò)進(jìn)行日常的審計(jì)，那么用戶可能不知道使用了AES的AP可能無法正常配置和工作。這對黑客而言，無疑是很好的禮物。”

審計(jì)要包括網(wǎng)絡(luò)中的有線和無線兩個部分。Wright建議，網(wǎng)絡(luò)管理員首先應(yīng)該定期地下載每一個AP的配置,并且確保它能準(zhǔn)確地執(zhí)行組織內(nèi)部的安全策略。例如, 假如一個企業(yè)采用了802.1x標(biāo)準(zhǔn),并選擇了眾多安全算法中的PEAP(Protected Extensible Authentication Protocol)，那么網(wǎng)絡(luò)管理人員應(yīng)該檢查所有的AP是否配置了PEAP。然后使用無線協(xié)議分析器對無線網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包進(jìn)行定期檢查，確認(rèn)其是否很好地使用了所選擇的EAP方法。Wright認(rèn)為，AP有時也會發(fā)生變故,并不能很好地實(shí)施用戶的配置。

另一個推薦的方法是把WLAN當(dāng)做和Internet一樣的不可信網(wǎng)絡(luò),并在有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)連接處配置防火墻或者網(wǎng)關(guān)。觀察家Davis認(rèn)為，雖然這是一個很好的建議，但是很多公司卻并未這么做。

Davis認(rèn)為，目前的無線網(wǎng)關(guān)都可以提供網(wǎng)絡(luò)訪問控制功能，它可以允許經(jīng)過許可的用戶訪問或者共享資源，而禁止非法用戶的訪問需求。目前一些企業(yè)如Bluesocket、Vernier Networks等公司提供的無線網(wǎng)關(guān)產(chǎn)品都具有類似的訪問控制清單功能。不過把不同的安全措施集成起來并不是一件很容易的事情。

美國 Dunkin’ Donuts公司最近建成了一個用于倉庫管理的基于語音識別的無線系統(tǒng)，它采用了Airespace公司的集中式WLAN交換機(jī)。Dunkin’ Donuts 的無線系統(tǒng)采用了MAC(media access control)地址過濾技術(shù),不讓非法的數(shù)據(jù)包進(jìn)入系統(tǒng)。假如MAC客戶資源地址不在交換機(jī)允許訪問的清單中，那么它將不得訪問系統(tǒng)。

Disabato 認(rèn)為，MAC過濾可以工作，但卻并不是最適合的。假如系統(tǒng)的一個網(wǎng)卡壞了，用戶就不得不改變系統(tǒng)配置;假如一個客戶離開了，那么用戶必須記住在系統(tǒng)中刪除其MAC地址。這是一個勞動強(qiáng)度很大的工作，難免不會出現(xiàn)問題。

甚至世界最大的 WLAN營運(yùn)商Microsoft 在其WLAN中仍然有 4500個來自Cisco的 AP 沒有采用WPA。Microsoft公司很多老的AP仍然采用第一代的技術(shù)，不具備WPA能力。

Microsoft計(jì)劃升級其全球的WLAN 架構(gòu)，使其支持10萬臺各式各樣的移動設(shè)備。不過自1999年以來一直負(fù)責(zé)Microsoft WLAN全球運(yùn)行的無線網(wǎng)絡(luò)工程師 Don Berry認(rèn)為:“11i是我們的主要目標(biāo)，但是我們目前還不會選擇它，因?yàn)槟壳斑€沒有NIC支持它。我們正在評估各種不同EAP設(shè)備的安全增強(qiáng)能力，包括每一種類型需要多少臺服務(wù)器，其安全增強(qiáng)效果如何，使用一種特殊的方法在長期的日常生活中會發(fā)生什么事情，等等。”