保護企業無線局域網

當企業使用無線局域網技術，卻沒有采取適當的安全措施時，即使一些初級黑客都有可能利用容易得到的廉價設備對企業網絡進行攻擊。

為什么企業在物理建筑和有線網絡上的安全防范意識不能延伸到無線系統中呢？回答也許是企業對無線網絡的安全性缺乏了解——人們可能會天真地認為信號不會跑到公司的圍墻外面去，或者直覺認為如果你無法看見信息，就無法竊取信息。

不能只依靠WEP

無線網絡最基本的安全措施是WEP（WiredEquivalentPrivacy）。WEP是所有經過Wi-Fi認證的無線局域網所支持的一項標準功能，它主要利用一套基于40位共享加密密鑰的RC4加密算法對網絡中所有通過無線傳送的數據進行加密，從而有效地保護網絡。

除了設計一套強大的安全解決方案，避免簡單錯誤的發生也是非常明智的。避免一些錯誤，如沒有開啟WEP、將訪問點設置在防火墻之內、使用缺省的WEP密鑰以及沒有定期變更加密密鑰等，能夠提高無線網絡的安全性。

加密密鑰算法本身并不存在缺陷，只是密鑰的管理不善導致了黑客的入侵。企業網絡系統管理員經常會為整個公司分配一個密鑰，一旦黑客獲得密鑰，就能訪問公司所有的專有信息和網絡資源。

管理員也許會賦予每一個用戶不同的密鑰，但這些用戶卻可能從來不對其進行變更。一旦黑客獲得了訪問權限，他們便可以一直進行非法訪問，并共享企業的重要資源。管理嚴格的小型企業網絡可以使用方便的手動密鑰管理。但是，隨著無線網絡用戶的增加，這種手動管理方式會變得非常煩雜，容易造成網絡系統管理人員的工作疏忽。

動態密鑰管理支持用戶認證

為進一步提高安全性，動態安全鏈路技術能夠支持用戶認證，即要求所有的用戶在開始每一個會話之前提供用戶名和密碼，相對基于設備MAC地址的認證策略，基于用戶的認證功能可以為企業網絡實現較高級別的安全和管理能力，基于設備MAC地址的認證策略會因為設備的丟失或失竊而失效，而且每當類似事件發生時，都需要對保存在每一臺網絡接入點設備內的MAC地址數據庫進行變更。

動態安全鏈路的另一個優勢在于其自動和動態的密鑰管理能力完全是由訪問點設備自身來實施，因此這套解決方案不需要增加任何服務器設備和其他基礎設備。這種安全性實施策略非常適用不需要大量資金就可實現無線局域網安全性的小型企業，同時對希望以非集中化方式來實現企業網絡安全性的企業來說也是理想的選擇。

大型網絡安全性更高

大型無線局域網絡的安全性管理不僅需要可以自動變更密鑰的DSL功能，還需要更多安全性功能，從而來滿足更多用戶和更復雜安全性的要求。設備的增多會需要更加強大的加密密鑰管理技術、更加靈活的認證機制、以及整個基礎網絡的集中用戶管理，所有這些無法全部存儲在一部無線局域網接入點設備的有限內存中。

盡管WEP和DSL解決方案中的安全性功能已經本地化——即在無線局域網接入點設備內部進行管理——但是一個能夠支持上千名用戶，具有最先進加密和認證技術的大型系統通常需要一套能夠進行集中化管理的安全性解決方案。這些系統通過RADIUS（撥號用戶遠程認證服務）進行管理。RADIUS能夠對授權訪問網絡資源的網絡用戶進行集中化管理。

不論是對有線的以太網絡還是無線的802.11網絡，RADIUS都是標準化的網絡登錄技術。支持802.1x協議的RADIUS技術，提高了企業級無線局域網用戶的認證能力。安全性功能不僅僅是網絡應用的附件，更應該被融入到企業的各種商業結構中去。

--------------------------------------------------------------------------------

安全問題比較棘手

由于WEP很容易被相關軟件攻擊，這迫使銷售商和IT管理者去尋找新的加密解決方案。同樣的，無線并沒有真正的標準，雖然現在802.1x可能成為最終的標準，但是，現階段它還是需要認證機構的授權。

即使零售商們致力于私秘性、鑒定和授權服務，讓用戶頭痛的安全問題仍舊不會停止。有一些更嚴重的問題正在顯露出來，它們當中最有害的是DoS攻擊。雖然DoS在所有的網絡上都存在，但在無線網絡上，情況會更糟，因為用戶不僅需要抵御對第2層及以上的惡意攻擊，而且網絡的物理介質層也非常容易受到攻擊。另外，更多不知名的惡意攻擊，是專門針對WLAN的更為可怕的威脅，這其中包括在物理層的RF人為干擾、對特定基站的攻擊。這種攻擊使基站不能持續與AP相連接、讓用戶通過敵對基站的路由來通信，讓無線網絡完全暴露在外面。而且，還有一些利用無線管理幀來發動的新攻擊。

隨著WLAN逐漸成為主流，我們期望IDS能解決這些問題。對于IT管理者來說，有更多的問題需要他們持續的關注.