當(dāng)企業(yè)使用無線局域網(wǎng)技術(shù)，卻沒有采取適當(dāng)?shù)陌踩胧r，即使一些初級黑客都有可能利用輕易得到的廉價設(shè)備對企業(yè)網(wǎng)絡(luò)進(jìn)行攻擊。

為什么企業(yè)在物理建筑和有線網(wǎng)絡(luò)上的安全防范意識不能延伸到無線系統(tǒng)中呢？回答也許是企業(yè)對無線網(wǎng)絡(luò)的安全性缺乏了解——人們可能會天真地認(rèn)為信號不會跑到公司的圍墻外面去，或者直覺認(rèn)為假如你無法看見信息，就無法竊取信息。

不能只依靠WEP

無線網(wǎng)絡(luò)最基本的安全措施是WEP（WiredEquivalentPRivacy）。WEP是所有經(jīng)過Wi-Fi認(rèn)證的無線局域網(wǎng)所支持的一項標(biāo)準(zhǔn)功能，它主要利用一套基于40位共享加密密鑰的RC4加密算法對網(wǎng)絡(luò)中所有通過無線傳送的數(shù)據(jù)進(jìn)行加密，從而有效地保護(hù)網(wǎng)絡(luò)。

除了設(shè)計一套強(qiáng)大的安全解決方案，避免簡單錯誤的發(fā)生也是非常明智的。避免一些錯誤，如沒有開啟WEP、將訪問點(diǎn)設(shè)置在防火墻之內(nèi)、使用缺省的WEP密鑰以及沒有定期變更加密密鑰等，能夠提高無線網(wǎng)絡(luò)的安全性。

加密密鑰算法本身并不存在缺陷，只是密鑰的治理不善導(dǎo)致了黑客的入侵。企業(yè)網(wǎng)絡(luò)系統(tǒng)治理員經(jīng)常會為整個公司分配一個密鑰，一旦黑客獲得密鑰，就能訪問公司所有的專有信息和網(wǎng)絡(luò)資源。

治理員也許會賦予每一個用戶不同的密鑰，但這些用戶卻可能從來不對其進(jìn)行變更。一旦黑客獲得了訪問權(quán)限，他們便可以一直進(jìn)行非法訪問，并共享企業(yè)的重要資源。治理嚴(yán)格的小型企業(yè)網(wǎng)絡(luò)可以使用方便的手動密鑰治理。但是，隨著無線網(wǎng)絡(luò)用戶的增加，這種手動治理方式會變得非常煩雜，輕易造成網(wǎng)絡(luò)系統(tǒng)治理人員的工作疏忽。

動態(tài)密鑰治理支持用戶認(rèn)證

為進(jìn)一步提高安全性，動態(tài)安全鏈路技術(shù)能夠支持用戶認(rèn)證，即要求所有的用戶在開始每一個會話之前提供用戶名和密碼，相對基于設(shè)備MAC地址的認(rèn)證策略，基于用戶的認(rèn)證功能可以為企業(yè)網(wǎng)絡(luò)實現(xiàn)較高級別的安全和治理能力，基于設(shè)備MAC地址的認(rèn)證策略會因為設(shè)備的丟失或失竊而失效，而且每當(dāng)類似事件發(fā)生時，都需要對保存在每一臺網(wǎng)絡(luò)接入點(diǎn)設(shè)備內(nèi)的MAC地址數(shù)據(jù)庫進(jìn)行變更。

動態(tài)安全鏈路的另一個優(yōu)勢在于其自動和動態(tài)的密鑰治理能力完全是由訪問點(diǎn)設(shè)備自身來實施，因此這套解決方案不需要增加任何服務(wù)器設(shè)備和其他基礎(chǔ)設(shè)備。這種安全性實施策略非常適用不需要大量資金就可實現(xiàn)無線局域網(wǎng)安全性的小型企業(yè)，同時對希望以非集中化方式來實現(xiàn)企業(yè)網(wǎng)絡(luò)安全性的企業(yè)來說也是理想的選擇。

大型網(wǎng)絡(luò)安全性更高

大型無線局域網(wǎng)絡(luò)的安全性治理不僅需要可以自動變更密鑰的DSL功能，還需要更多安全性功能，從而來滿足更多用戶和更復(fù)雜安全性的要求。設(shè)備的增多會需要更加強(qiáng)大的加密密鑰治理技術(shù)、更加靈活的認(rèn)證機(jī)制、以及整個基礎(chǔ)網(wǎng)絡(luò)的集中用戶治理，所有這些無法全部存儲在一部無線局域網(wǎng)接入點(diǎn)設(shè)備的有限內(nèi)存中。

盡管WEP和DSL解決方案中的安全性功能已經(jīng)本地化——即在無線局域網(wǎng)接入點(diǎn)設(shè)備內(nèi)部進(jìn)行治理——但是一個能夠支持上千名用戶，具有最先進(jìn)加密和認(rèn)證技術(shù)的大型系統(tǒng)通常需要一套能夠進(jìn)行集中化治理的安全性解決方案。這些系統(tǒng)通過RADIUS（撥號用戶遠(yuǎn)程認(rèn)證服務(wù)）進(jìn)行治理。RADIUS能夠?qū)κ跈?quán)訪問網(wǎng)絡(luò)資源的網(wǎng)絡(luò)用戶進(jìn)行集中化治理。

不論是對有線的以太網(wǎng)絡(luò)還是無線的802.11網(wǎng)絡(luò)，RADIUS都是標(biāo)準(zhǔn)化的網(wǎng)絡(luò)登錄技術(shù)。支持802.1x協(xié)議的RADIUS技術(shù)，提高了企業(yè)級無線局域網(wǎng)用戶的認(rèn)證能力。安全性功能不僅僅是網(wǎng)絡(luò)應(yīng)用的附件，更應(yīng)該被融入到企業(yè)的各種商業(yè)結(jié)構(gòu)中去。

--------------------------------------------------------------------------------

安全問題比較棘手

由于WEP很輕易被相關(guān)軟件攻擊，這迫使銷售商和IT治理者去尋找新的加密解決方案。同樣的，無線并沒有真正的標(biāo)準(zhǔn)，雖然現(xiàn)在802.1x可能成為最終的標(biāo)準(zhǔn)，但是，現(xiàn)階段它還是需要認(rèn)證機(jī)構(gòu)的授權(quán)。

即使零售商們致力于私秘性、鑒定和授權(quán)服務(wù)，讓用戶頭痛的安全問題仍然不會停止。有一些更嚴(yán)重的問題正在顯露出來，它們當(dāng)中最有害的是DoS攻擊。雖然DoS在所有的網(wǎng)絡(luò)上都存在，但在無線網(wǎng)絡(luò)上，情況會更糟，因為用戶不僅需要抵御對第2層及以上的惡意攻擊，而且網(wǎng)絡(luò)的物理介質(zhì)層也非常輕易受到攻擊。另外，更多不知名的惡意攻擊，是專門針對WLAN的更為可怕的威脅，這其中包括在物理層的RF人為干擾、對特定基站的攻擊。這種攻擊使基站不能持續(xù)與AP相連接、讓用戶通過敵對基站的路由來通信，讓無線網(wǎng)絡(luò)完全暴露在外面。而且，還有一些利用無線治理幀來發(fā)動的新攻擊。

隨著WLAN逐漸成為主流，我們期望IDS能解決這些問題。對于IT治理者來說，有更多的問題需要他們持續(xù)的關(guān)注.