無(wú)線網(wǎng)絡(luò)安全問題是個(gè)一直值得我們深入探討的。關(guān)于各種加密，各種安全性的無(wú)線網(wǎng)絡(luò)文章層出不窮，但是只要加密了就能保證我們的網(wǎng)絡(luò)安全了嗎？不是還有各種解密和破密的手段嗎？

為什么企業(yè)在物理建筑和有線網(wǎng)絡(luò)上的安全防范意識(shí)不能延伸到無(wú)線系統(tǒng)中呢？回答也許是企業(yè)對(duì)無(wú)線網(wǎng)絡(luò)的安全性缺乏了解——人們可能會(huì)天真的以為信號(hào)不會(huì)跑到公司的圍墻外面去，或者直覺認(rèn)為如果你無(wú)法看見信息，就無(wú)法竊取信息。無(wú)線網(wǎng)絡(luò)安全解決方案供應(yīng)商提供的最令人信服的看法是：無(wú)線局域網(wǎng)技術(shù)的便利優(yōu)勢(shì)不是靠犧牲網(wǎng)絡(luò)安全性得到的，這意味著企業(yè)需要為無(wú)線網(wǎng)絡(luò)安全性做好充分的準(zhǔn)備。

不能只依靠WEP

無(wú)線網(wǎng)絡(luò)最基本的安全措施是WEP（Wired Equivalent Privacy）。WEP是所有經(jīng)過Wi-Fi認(rèn)證的無(wú)線局域網(wǎng)技術(shù)所支持的一項(xiàng)標(biāo)準(zhǔn)功能。由電子與電氣工程師協(xié)會(huì)（IEEE）制定的WEP是用來：(a) 提供基本的安全性保證，(b) 防止有意的竊聽， (c) 利用一套基于40位共享加密秘鑰的RC4加密算法對(duì)網(wǎng)絡(luò)中所有通過無(wú)線傳送的數(shù)據(jù)進(jìn)行加密，從而有效地保護(hù)網(wǎng)絡(luò)。

除了設(shè)計(jì)一套強(qiáng)大的安全解決方案，避免簡(jiǎn)單錯(cuò)誤的發(fā)生也是非常明智的。避免一些錯(cuò)誤，如沒有開啟WEP、將訪問點(diǎn)設(shè)置在防火墻之內(nèi)、使用缺省的WEP 秘鑰、以及沒有定期變更加密秘鑰等，能夠提高無(wú)線網(wǎng)絡(luò)的安全性。從理論上講，WEP秘鑰就是一套共享密碼，其能夠使用戶對(duì)在無(wú)線網(wǎng)絡(luò)上傳送的加密數(shù)據(jù)進(jìn)行解密。實(shí)際上，黑客就是在公司樓宇外通過筆記本電腦獲取一串加密數(shù)據(jù)流，利用從互聯(lián)網(wǎng)上得到的專用軟件對(duì)其進(jìn)行解密，從而得到企業(yè)網(wǎng)絡(luò)的訪問秘鑰。黑客通過這種反解碼過程獲得秘鑰，并進(jìn)入公司的網(wǎng)絡(luò)。

加密秘鑰算法本身并不存在缺陷，只是秘鑰的管理不善導(dǎo)致了黑客的入侵。企業(yè)網(wǎng)絡(luò)系統(tǒng)管理員經(jīng)常會(huì)為整個(gè)公司分配一個(gè)秘鑰，一旦黑客獲得秘鑰，就能訪問公司所有的專有信息和網(wǎng)絡(luò)資源。管理員也許會(huì)賦予每一個(gè)用戶不同的秘鑰，但這些用戶卻可能從來不對(duì)其進(jìn)行變更。一旦黑客獲得了訪問權(quán)限，他們便可以一直進(jìn)行非法訪問，并共享企業(yè)的重要資源。管理嚴(yán)格的小型企業(yè)網(wǎng)絡(luò)可以使用方便的手動(dòng)秘鑰管理。但是，隨著無(wú)線網(wǎng)絡(luò)用戶的增加，這種手動(dòng)管理方式會(huì)變得非常煩雜，容易造成網(wǎng)絡(luò)系統(tǒng)管理人員的工作疏忽。

通過動(dòng)態(tài)秘鑰管理實(shí)現(xiàn)更好的安全性

目前，消除WEP安全性方面缺陷的工作正在加緊進(jìn)行，不論是WECA還是IEEE任務(wù)組i（TGi）都在努力對(duì)WEP進(jìn)行改進(jìn)。相關(guān)的規(guī)范會(huì)在2002年年中發(fā)布，并有可能在2002年年底成為Wi-Fi認(rèn)證標(biāo)準(zhǔn)的一個(gè)組成部分。

在標(biāo)準(zhǔn)改進(jìn)工作正在進(jìn)行的同時(shí)，3Com公司也在積極的加強(qiáng)用戶大規(guī)模實(shí)施無(wú)線聯(lián)網(wǎng)技術(shù)的信心。特別是，3Com公司正在利用一種被稱為動(dòng)態(tài)安全鏈路（DSL）的技術(shù)來滿足用戶在無(wú)線局域網(wǎng)技術(shù)管理和認(rèn)證等方面的需求。當(dāng)一臺(tái)3Com公司的接入點(diǎn)設(shè)備與3Com公司無(wú)線客戶端設(shè)備協(xié)同工作時(shí)，動(dòng)態(tài)安全鏈路會(huì)自動(dòng)生成一個(gè)新的128位加密秘鑰，其對(duì)每個(gè)網(wǎng)絡(luò)用戶和每次網(wǎng)絡(luò)會(huì)話來說都是唯一的。這一技術(shù)能夠比靜態(tài)共享秘鑰策略提供更高的無(wú)線網(wǎng)絡(luò)安全性，幫助用戶從手工的輸入工作中解脫出來。由于確保了每一個(gè)用戶擁有一個(gè)唯一、可以不斷變更的秘鑰，因此，即使黑客攻破加密防線并獲取了網(wǎng)絡(luò)的訪問權(quán)，所獲取的秘鑰也只能工作幾個(gè)小時(shí)，從而降低了企業(yè)因此需要承擔(dān)的潛在損失。

為進(jìn)一步提高安全性，動(dòng)態(tài)安全鏈路技術(shù)還能夠支持用戶認(rèn)證，即要求所有的用戶在開始每一個(gè)會(huì)話之前提供用戶名和密碼。相對(duì)基于設(shè)備MAC地址的認(rèn)證策略，基于用戶的認(rèn)證功能可以為企業(yè)網(wǎng)絡(luò)實(shí)現(xiàn)較高級(jí)別的安全和管理能力?；谠O(shè)備MAC地址的認(rèn)證策略會(huì)因?yàn)樵O(shè)備的丟失或失竊而失效，而且每當(dāng)類似事件發(fā)生時(shí)，都需要對(duì)保存在每一臺(tái)網(wǎng)絡(luò)接入點(diǎn)設(shè)備內(nèi)的MAC地址數(shù)據(jù)庫(kù)進(jìn)行變更。動(dòng)態(tài)安全鏈路的另一個(gè)優(yōu)勢(shì)在于其自動(dòng)和動(dòng)態(tài)的秘鑰管理能力完全是由訪問點(diǎn)設(shè)備自身來實(shí)施，因此這套解決方案不需要增加任何服務(wù)器設(shè)備和其他基礎(chǔ)設(shè)備。這種安全性實(shí)施策略非常適用不需要大量資金就可實(shí)現(xiàn)無(wú)線局域網(wǎng)技術(shù)安全性的小型企業(yè)，同時(shí)對(duì)希望以非集中化方式來實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)安全性的也是理想的選擇。

大型網(wǎng)絡(luò)需要更高的安全性

大型無(wú)線網(wǎng)絡(luò)安全性管理不僅需要可以自動(dòng)變更秘鑰的DSL功能，還需要更多安全性功能，從而來滿足更多用戶和更復(fù)雜安全性的要求。設(shè)備的增多會(huì)需要更加強(qiáng)大的加密秘鑰管理技術(shù)、更加靈活的認(rèn)證機(jī)制、以及整個(gè)基礎(chǔ)網(wǎng)絡(luò)的集中用戶管理，所有這些無(wú)法全部存儲(chǔ)在一部無(wú)線局域網(wǎng)技術(shù)設(shè)備的有限內(nèi)存中。

盡管WEP和DSL解決方案中的安全性功能已經(jīng)本地化-- 即在無(wú)線局域網(wǎng)技術(shù)設(shè)備內(nèi)部進(jìn)行管理-- 但是一個(gè)能夠支持上千名用戶，具有最先進(jìn)加密和認(rèn)證技術(shù)的大型系統(tǒng)通常需要一套能夠進(jìn)行集中化管理的安全性解決方案。這些系統(tǒng)通過RADIUS (撥號(hào)用戶遠(yuǎn)程認(rèn)證服務(wù)) 進(jìn)行管理。RADIUS能夠?qū)κ跈?quán)訪問網(wǎng)絡(luò)資源的網(wǎng)絡(luò)用戶進(jìn)行集中化管理。