专家建议：无线局域网安全五步曲

　　在无线网络不断成熟的今天，无线网络的安全隐患正成为人们关注的焦点，而预防无线网络遭受外来入侵更成了无线网络用户首先要面对的问题。

　　802.11无线局域网(WLAN)在移动性和生产力方面具有优点，但不一定意味着就要以牺牲信息系统的安全为代价。尽管WLAN存在的陷阱让一些企业放弃了对它的使用，但还有更多的同样关注安全的企业还是放心地部署了安全的WLAN，他们的办法就是实施以下切合实际的步骤，以保护信息资产、识别漏洞、保护网络免受专门针对无线的攻击。

　　第一步: 发现及缓解非法WLAN和漏洞

　　归根到底，确保WLAN安全首先要了解WLAN所运行的环境。未授权的“非法”WLAN——包括接入点、软接入点(充当接入点的便携式电脑)、用户站、无线条形码扫描器和打印机——是企业网络安全面临的最大威胁之一，因为它们给入侵者敞开了一个可以避开所有现有安全措施的入口点。

　　因为只要把价格低廉的接入点连接到有线网络、把WLAN卡插入到便携式电脑上，就很容易安装简单的WLAN，所以员工们会趁IT部门迟迟不愿采用或者甚至反对新技术之际，擅自部署未授权的WLAN。这些非法的接入点通常缺乏标准安全，因而会避开企业投资搭建的网络安全机制。

　　便携式电脑等不安全的无线用户站对企业网络安全构成的危险甚至比非法接入点还大。默认配置的这些设备提供不了多少安全，很容易出现配置不当。入侵者可以利用任何不安全的无线用户站作为一块跳板、闯入网络。

　　同样的不安全因素来自配置不当的WLAN所引起的网络漏洞。与WLAN建在同一个地方的邻近WLAN也会带来这些风险: 邻近工作站访问网络、干扰无线信道。

　　免费软件如NetStumbler和 Kismet及其他商用扫描器可以扫描无线电波，寻找非法接入点和某些网络漏洞。这个颇费时间的过程需要网络管理员亲自到WLAN覆盖区域走一趟，寻找无线数据，但效果不大，因为它只是对无线电波采样扫描，寻找现有威胁。

　　新的非法接入点及其他漏洞可能会在扫描过后出现，等到下一次网络管理员扫描网络时，才会被发现。Gartner公司的无线安全权威John Girard曾在欧洲召开的一次安全大会上声称，要查找安全隐患，最简单的办法就是购买手持式“嗅探器”，然后巡视本组织网络的边界。

　　据无线安全专家声称，要发现非法接入点、用户站和漏洞，最好是全天候不间断地监控WLAN。不断监控可以实时发现非法接入点何时在何处首次出现、连接到哪个用户、交换了多少数据、流量传输方向等。Girard进一步说，最安全的办法就是另外安装一套无线入侵检测传感器。

　　第二步: 牢牢控制所有接入点和设备

　　WLAN安全的下一步涉及对WLAN实行边界控制。应当部署个人代理软件，以便向企业和用户报告所有安全漏洞、执行企业安全政策，从而保护每台配备无线功能的便携式电脑的安全。组织应当部署提供高级安全和管理功能的企业级接入点。

　　企业应当更改默认的服务集标识符(SSID)。SSID实际上就是每个接入点的名字。思科接入点的默认SSID是tsunami; Linksys接入点的默认SSID是linksys; 而英特尔和Symbol接入点的默认SSID是101。这些默认的SSID无异于把易受攻击的WLAN汇报给了黑客。应当把SSID改成对外人来说毫无意义的名字。名字平常的SSID只会叫黑客注意他们想要闯入的宝贵信息。

　　企业还应当配置接入点，禁用广播模式。在广播模式下，接入点会不断广播其SSID，作为搜寻哪些用户站与之相连的信标。如果关闭了这项默认特性，用户站必须知道SSID，才能连接到接入点。

　　大多数企业级接入点可以让你根据对授权用户站的媒体访问控制(MAC)地址进行过滤，以此限制哪些用户站可以连接到接入点。尽管MAC地址过滤并非万无一失，但这种方法对哪些用户站可以连接到网络提供了基本的控制功能。有些规模较大的企业所组建的比较复杂的WLAN允许上百个用户站在接入点之间进行漫游，这时它们可能需要远程验证拨入用户服务(RADIUS)服务器提供更复杂的过滤功能。

　　为了消除这种威胁(入侵者从连接速度大大降低的停车场或者楼上连接到你的WLAN)，应当对接入点进行配置，禁止比较低的连接速度。

　　第三步: 加密、验证和VPN

　　加密和验证为WLAN提供了基本安全。不过，目前无懈可击的加密和验证标准还没有出台。2001年，研究人员和黑客向世人展示他们能够破译802.11 WLAN的标准加密方法: 有线对等保密(WEP)。没过多久，黑客就发布了WEPCrack这些免费软件工具，这样谁都可以用这些工具破译这种加密方法，只要观察网络上足够数量的流量，就能弄明白加密密钥。

　　报告表明WEP及标准验证存在漏洞之后，许多企业心灰意冷，不敢把WEP添加到部署的WLAN当中。这样一来，它们的网络就完全暴露无遗。

　　因为这些加密和验证标准容易受到攻击，所以应当部署更牢固的加密和验证方法，利用无线虚拟专用网(VPN)和RADIUS服务器更加全面地保护WLAN的安全。VPN可以在接入点和网络之间采用强验证和强加密机制; 而RADIUS系统可以用来管理验证、记账及对网络资源的访问。

　　虽然VPN被誉为是WLAN的安全解决方案，但单向验证的VPN仍很容易被人钻空子。部署在大组织的WLAN会带来重大难题: 需要把客户软件分发到所有客户机，并加以维护。单向验证的VPN也容易受到中间人攻击(man-in-the-middle attack)及其他诸多的已知攻击。双向验证的无线VPN可以提供强验证，克服WEP的缺陷。

　　尽管存在上述漏洞，但加密和验证仍是确保WLAN安全的必备要素。