雖然新的IEEE 802.11i WLAN安全標準向前邁進了一大步,但是W LAN目前還無法抵御各種攻擊。

由于不受線纜和圍墻的限制, WLAN的安全性和便利性受到了人們的肯定。現在，意在強化WLAN安全性的IEEE802.11i標準在經過長期的等待后終于得到了批準。

WLAN安全了嗎？
有了802.11i，與有線網絡這個競爭對手相比, WLAN的安全性會得到增強嗎?答案是否定的。

這一切都需要時間。從今年6月開始,無線網絡供應商開始在其產品中實施802.11i標準；隨后IT組織才會在應用中采用這些產品;Wi-Fi聯盟才會在9月底開始對符合802.11i標準的產品進行互操作性測試。

更重要的是，802.11i標準的完成只是一個開始,一系列還在開發制定的無線網絡安全標準還沒有完成,而802.11i中的一些子規范如Wi-Fi訪問保護 (WPA)已經應用了18個月。另外,雖然基于標準的安全技術在企業信息系統安全中發揮著重要的作用,但是企業信息系統安全問題遠遠超過了一個技術規范的范疇。例如，企業有大量的特殊應用的客戶端設備,如條形碼識別器，它運行MS-DOS操作系統，這些設備沒有更新；很多設備甚至采用了更早版本的加密和身份識別算法，而802.11i需要更先進的加密標準(AES)。AES需要更新硬件，甚至需要更新的產品。當企業在擴展其WLAN時，這些設備可能會成為無線網絡安全鏈中最薄弱的一環。

可以肯定，評估802.11i 的功效還需要時間，其中在部署無線網絡安全方案中肯定會存在害怕、不確定和懷疑。

技術在進步
包括WPA的802.11i標準支持互信機制和WLAN的完整性。有專家認為，Wi-Fi安全已經從“少年期”步入“青春期”。在美國，在過去的6個月內，從來沒有聽說由于安全問題,企業拒絕部署WLAN。

2001年美國一些大學的研究人員證實,黑客可以突破802.11i的Wired Equivalent Privacy (WEP) 機制，為此, 802.11i增加了一個新的機制―― WPA，用于WLAN的網卡和熱點(AP)。WPA要求產品在每一個數據包基礎上轉換數據加密的密鑰，以抵御黑客的攻擊。 WPA也使用了工業標準的802.1x框架，以增強用戶的身份識別能力。

另外，在標準中采用了美國政府批準的128位數據加密標準AES取代了WEP 和 WPA 使用的RC4數據流加密技術。現在來看，在黑客解開WEP的RC4加密機制以前，WPA還能提供3～5年的保護期。不過，802.11i標準為不同的AP之間進行快速的安全握手提供了一條道路,同時為小的WLAN提供了一個簡單的算法計劃。

實際應用的局限性
但是,技術解決的問題非常有限。根據Gartner的預測，到2006年針對WLAN的成功攻擊中的70%會造成AP和客戶端軟件不能配置。這就是為什么一些信息安全培訓與認證公司推薦定期的無線安全審計的重要原因。Bethesda公司的培訓經理Joshua Wright認為：“AES很強大，但是假如人們不對其網絡進行日常的審計，那么用戶可能不知道使用了AES的AP可能無法正常配置和工作。這對黑客而言，無疑是很好的禮物。”

審計要包括網絡中的有線和無線兩個部分。Wright建議，網絡管理員首先應該定期地下載每一個AP的配置,并且確保它能準確地執行組織內部的安全策略。例如, 假如一個企業采用了802.1x標準,并選擇了眾多安全算法中的PEAP(Protected Extensible Authentication Protocol)，那么網絡管理人員應該檢查所有的AP是否配置了PEAP。然后使用無線協議分析器對無線網絡傳輸的數據包進行定期檢查，確認其是否很好地使用了所選擇的EAP方法。Wright認為，AP有時也會發生變故,并不能很好地實施用戶的配置。

另一個推薦的方法是把WLAN當做和Internet一樣的不可信網絡,并在有線網絡和無線網絡連接處配置防火墻或者網關。觀察家Davis認為，雖然這是一個很好的建議，但是很多公司卻并未這么做。

Davis認為，目前的無線網關都可以提供網絡訪問控制功能，它可以允許經過許可的用戶訪問或者共享資源，而禁止非法用戶的訪問需求。目前一些企業如Bluesocket、Vernier Networks等公司提供的無線網關產品都具有類似的訪問控制清單功能。不過把不同的安全措施集成起來并不是一件很容易的事情。

美國 Dunkin’ Donuts公司最近建成了一個用于倉庫管理的基于語音識別的無線系統，它采用了Airespace公司的集中式WLAN交換機。Dunkin’ Donuts 的無線系統采用了MAC(media access control)地址過濾技術,不讓非法的數據包進入系統。假如MAC客戶資源地址不在交換機允許訪問的清單中，那么它將不得訪問系統。

Disabato 認為，MAC過濾可以工作，但卻并不是最適合的。假如系統的一個網卡壞了，用戶就不得不改變系統配置;假如一個客戶離開了，那么用戶必須記住在系統中刪除其MAC地址。這是一個勞動強度很大的工作，難免不會出現問題。

甚至世界最大的 WLAN營運商Microsoft 在其WLAN中仍然有 4500個來自Cisco的 AP 沒有采用WPA。Microsoft公司很多老的AP仍然采用第一代的技術，不具備WPA能力。

Microsoft計劃升級其全球的WLAN 架構，使其支持10萬臺各式各樣的移動設備。不過自1999年以來一直負責Microsoft WLAN全球運行的無線網絡工程師 Don Berry認為:“11i是我們的主要目標，但是我們目前還不會選擇它，因為目前還沒有NIC支持它。我們正在評估各種不同EAP設備的安全增強能力，包括每一種類型需要多少臺服務器，其安全增強效果如何，使用一種特殊的方法在長期的日常生活中會發生什么事情，等等。”

選擇哪一個EAP?
802.11i工作組主持同時兼任Cisco公司無線網絡商業部軟件系統經理的Dave Halasz 先生說,大多數企業會依據其所擁有的數據庫的類型選擇一種EAP身份識別方法。他認為，假如企業現在還沒有對數據庫中的用戶進行身份識別認證，那么最好不要把它用于保證無線系統的安全。

在美國西雅圖的一家系統集成公司NetVersant Solutions 的無線網絡工程師Kevin Tseng認為：“大多數的公司沒有采用公用密鑰機制”，而公用密鑰機制要求使用在客戶端和服務器端都具有安全證書的EAP方式,如EAP的傳輸層安全（TLS）。

Cisco公司廣泛部署的輕量級的EAP（LEAP）支持易于管理的用戶名/密碼方案。LEAP也支持802.11i標準介紹的另一種方法相互身份識別功能，就像PEAP和另一個通用方法EAP的隧道傳輸層安全（TTLS）所提供的功能一樣。

Tseng先生認為，“現在有很多的智能終端如筆記本電腦等支持LEAP，同時也有不少的設備如庫存物品跟蹤掃描儀等還不支持這一功能。”他估計，目前在無線領域只有不到30%的用戶終端設備具備相互身份識別功能，距離普遍的部署相差太遠了。

Disabato說，現在來看，WLAN安全還有很長的路要走。

WLAN的安全問題
WLAN容易受到各種各樣的威脅。像802.11標準的加密方法和WEP（Wired Equivalent Privacy）都很脆弱。在“Weaknesses in the Key Scheduling Algorithm of RC-4”文檔里就說明了WEP key能在傳輸中通過暴力被破解。

黑客可以通過欺騙（rogue）WAP得到關鍵數據。WLAN的用戶在不知情的情況下，以為自己通過很好的信號連入WLAN，卻不知道已遭到黑客的監聽了。低成本和易于配置造就了現在的WLAN的流行，許多用戶也可以在自己的傳統局域網架設無線基站(AP)，隨之而來的是一些用戶在網絡上安裝的后門程序成了黑客發動攻擊的最佳途徑。

基于802.11標準的網絡還有可能遭到拒絕服務攻擊(DoS)的威脅。無線通信由于受到一些物理上的威脅，如樹、建筑物、雷雨和山峰等，會造成信號衰減。而像微波爐、無線電話也可能威脅基于802.11標準的無線網絡。黑客通過無線基站發起的惡意拒絕服務攻擊(DoS)會造成系統重起。

另外一種威脅WLAN的是ever-increasing pace，這種威脅可能導致大范圍的連鎖反應。

【相關文章】

• 無線局域網的七大安全難題及解決
  

• 無線局域網的安全風險分析和解決方案
  

• 無線局域網的相關網絡安全技術應用指南