企業(yè)使用無線局域網(wǎng)安全防護方法措施介紹

　　近來，無線局域網(wǎng)發(fā)展的勢頭越來越猛，它接入速率高，組網(wǎng)靈活，在傳輸移動數(shù)據(jù)方面尤其具有得天獨厚的優(yōu)勢。但是，隨著無線局域網(wǎng)應用領域的不斷拓展，其安全問題也越來越受到重視。

　　在有線網(wǎng)絡中，您可以清楚辨別哪臺電腦連接在網(wǎng)線上。無線網(wǎng)絡與此不同，理論上無線電波范圍內的任何一臺電腦都可以監(jiān)聽并登錄無線網(wǎng)絡。如果企業(yè)內部網(wǎng)絡的安全措施不夠嚴密，則完全有可能被竊聽、瀏覽甚至操作電子郵件。為了使授權電腦可以訪問網(wǎng)絡而非法用戶無法截取網(wǎng)絡通信，無線網(wǎng)絡安全就顯得至關重要。

　　兩大基本安全防護手段

　　在這個道高一尺，魔高一丈的環(huán)境里，怎樣保衛(wèi)這些數(shù)據(jù)的安全?致力于無線局域網(wǎng)WLAN發(fā)展的各廠家及國際 Wi-Fi聯(lián)盟都紛紛提出新的方法來加固無線局域網(wǎng)，以使其廣泛應用。2004年6月24日，IEEE通過了802.11i基于SIM卡認證和AEC加密的方法為無線局域網(wǎng)提供了安全保障，使得無線局域網(wǎng)擁有了更為廣闊的應用空間。

　　安全性主要包括訪問控制和加密兩大部分。訪問控制保證只有授權用戶能訪問敏感數(shù)據(jù)，加密保證只有正確的接收者才能理解數(shù)據(jù)。目前使用最廣泛的IEEE802.11b標準提供了兩種手段來保證WLAN的安全—— SSID服務配置標示符和WEP 無線加密協(xié)議　。SSID提供低級別的訪問控制，WEP是可選的加密方案，它使用RC4加密算法，一方面用于防止沒有正確的WEP密鑰的非法用戶接入網(wǎng)絡，另一方面只允許具有正確的WEP 密鑰的用戶對數(shù)據(jù)進行加密和解密?包括軟件手段和硬件手段　。

　　另外，802.11b標準定義了兩種身份驗證的方法：開放和共享密鑰。在缺省的開放式方法中，用戶即使沒有提供正確的 WEP密鑰也能接入訪問點，共享式方法則需要用戶提供正確的WEP密鑰才能通過身份驗證。

　　針對不同用戶的三種安全措施

　　很顯然，基本的安全手段只能提供基本的安全性。對于不同的用戶，有必要為他們提供不同級別的安全手段。Avaya 公司的技術顧問劉海艦指出，Avaya公司為其WLAN設備提供了3種級別的安全措施。第一種是鏈路層的安全，也就是標準的 WEP 加密。第二種則是用戶身份驗證層次的安全，代表性做法是利用802.11x.第三種是利用手段。劉海艦認為，這三種級別的安全手段，適用于不同要求的用戶，方法是最安全的。不過，在實際應用中，目前用得最多的還是WEP方式。

　　WEP 的缺陷和解決之道

　　WEP加密是存在固有的缺陷的。由于它的密鑰固定，初始向量僅為 24 位，算法強度并不算高，于是有了安全漏洞。 AT&T 的研究員最先發(fā)布了WEP的解密程序，此后人們開始對WEP質疑，并進一步地研究其漏洞。現(xiàn)在，市面上已經(jīng)出現(xiàn)了專門的破解WEP加密的程序，其代表是WEPCrack和AirSnort .

　　英特爾公司通訊事業(yè)部趙偉明指出， WEP 加密方式本身無問題，問題出在密鑰的傳遞過程中——密鑰本身容易被截獲。為了解決這個問題，WPA( Wi-Fi Protected Access)作為目前事實上的行業(yè)標準，改變了密鑰的傳遞方式。IEEE 802。11TGi ? 任務組 i　 已經(jīng)制訂了臨時密鑰完整性協(xié)議?TKIP　，TKIP像WEP 一樣基于RC4加密，但它提供了快速更新密鑰的功能。WPA利用TKIP協(xié)議傳遞密鑰，它在密鑰管理上采用了類似于 RSA 的公鑰、私鑰方式。利用TKIP，以及各個廠商計劃推出TKIP固件補丁，用戶在 WLAN硬件上的投資將得到保護。例如， Enterasys公司最近便宣布了對WPA的支持。Enterasys將在其RoamAbout系列的各種室內室外WLAN產品中支持WPA，對現(xiàn)有的產品進行固件和硬件更新。

　　思科公司的具體做法是：RADIUS服務器與客戶機進行雙向的身份驗證，驗證完成后，RADIUS服務器與客戶機確定一個 WEP密鑰(這意味著，這個密鑰不是與客戶機本身物理相關的靜態(tài)密鑰，而是由身份驗證動態(tài)產生的密鑰)。此后， RADIUS服務器通過有線網(wǎng)發(fā)送會話密鑰到AP，AP利用會話密鑰對廣播密鑰加密，把加密后的密鑰送到客戶機，客戶機利用會話密鑰解密。然后，客戶機與AP激活WEP，利用密鑰進行通信。Avaya的做法稱作WEP Plus，它的機理是針對初始向量的缺點，以隨機方式生成初始向量，使得上述的WEPCrack和AirSnort程序無法破解WEP密鑰。

　　綜合預防五大建議

　　一、許多安全問題都是由于無線訪問點沒有處在一個封閉的環(huán)境中造成的。所以，首先就應注意合理放置訪問點的天線。以便能夠限制信號在覆蓋區(qū)以外的傳輸距離。別將天線放在窗戶附近，因為玻璃無法阻擋信號。你最好將天線放在需要覆蓋的區(qū)域的中心，盡量減少信號泄露到墻外。

　　二、將信號天線問題處理好之后，再將其加一層“保護膜”，即一定要采用無線加密協(xié)議(WEP)。

　　三、建議禁用DHCP和SNMP設置。從禁用DHCP對無線網(wǎng)絡而言，這很有意義。

　　如果采取這項措施，黑客不得不破譯你的IP地址、子網(wǎng)掩碼及其它所需的TCP/IP參數(shù)(無疑也就增加了難度)。無論黑客怎樣利用你的訪問點，他仍需要弄清楚IP地址。而關于SNMP設置，要么禁用，要么改變公開及專用的共用字符串。如果不采取這項措施，黑客就能利用SNMP獲得有關你方網(wǎng)絡的重要信息。

　　四、使用訪問列表(也稱之為訪問控制列表)。為了進一步保護你的無線網(wǎng)絡，建議選用此項特性，但請注意，并不是所有的無線訪問點都支持。

　　因為此項特性可以具體地指定允許哪些機器連接到訪問點。支持這項特性的訪問點有時會使用普通文件傳輸協(xié)議?TFTP，定期下載更新的列表，非常有用。

　　五、綜合使用無線和有線策略。無線網(wǎng)絡安全不是單獨的網(wǎng)絡架構，它需要各種不同的程序和協(xié)議配合。制定結合有線和無線網(wǎng)絡安全的策略能夠最大限度提高安全水平。