部署無線LAN無疑會增加網(wǎng)絡的安全風險，但由于部署無線網(wǎng)絡的成本低、容易部署，而且提高效率，因此，無線技術應用的發(fā)展十分迅速。思科在SAFE的基礎上提供無線安全的策略和解決方案，以降低無線網(wǎng)絡的應用所帶來的風險。 
當然，要實現(xiàn)絕對的安全是不可能的，但通過部署恰當?shù)募夹g可以降低安全風險。在各種設計方案中，需要利用SAFE中的多種模塊。

SAFE 無線技術是有線LAN的一種補充，因此它應該盡可能遵循總體安全政策。一方面它必須提高無線網(wǎng)絡的安全性，另一方面盡可能保留傳統(tǒng)有線LAN的特性。最后，它還必須與基于SAFE安全體系結構的現(xiàn)有網(wǎng)絡設計集成。總之，SAFE無線技術應該盡可能地滿足網(wǎng)絡的功能要求。

一、無線LAN的安全環(huán)節(jié)

1.無線網(wǎng)絡成為攻擊目標

無線網(wǎng)絡已成為當今黑客最感興趣的目標之一，單純的WLAN設備本身并不提供任何安全保護，從而使得黑客有機可尋。無線網(wǎng)絡是在空中傳輸數(shù)據(jù)的，通常傳輸范圍大于機構的物理邊界，這使得傳統(tǒng)物理安全控制措施失去效力。

干擾無線通信也很容易，簡單的干擾發(fā)送器就能使通信陷于癱瘓。相同頻率的其它無線服務可以降低WLAN的安全性和可用帶寬。 例如，“藍牙”技術使用的頻率和WLAN相同，它的使用有可能嚴重干擾WLAN網(wǎng)絡。

2.普遍存在的問題

多數(shù)WLAN設備都使用直接排序擴展頻譜（DSSS）通信技術，但DSSS技術本身既不保密也沒有認證功能。WLAN接入點可以按MAC地址識別每塊無線網(wǎng)卡，但它仍然存在一些問題。例如，在接受無線服務之前，某些WLAN要求對網(wǎng)卡進行登記，但這操作起來比較復雜。某些WLAN卡并不使用內部MAC地址，而使用隨機選擇或特意假冒的地址，這也為黑客提供了便利。

3.特殊模式與基礎設施模式下的安全問題

多數(shù)WLAN都在“基礎設施”模式下操作，在這種模式下，所有無線客戶都通過AP相連。在部署WLAN技術時，用戶也可以形成獨立的對等網(wǎng)稱為特殊WLAN。在特殊WLAN模式下，掌上電腦或臺式計算機都配有WLAN適配器，而且不需要使用AP就可以共享文件。

特殊WLAN的安全問題比較大。許多無線網(wǎng)卡，包括PC制造商提供的無線網(wǎng)卡，一般都采用特殊模式。借助這些網(wǎng)卡，黑客可以立即與PC連接，并實現(xiàn)非法接入。

為了保證安全，WLAN設備至少要遵守以下規(guī)定：

· 接入點安全建議

﹣ 為管理接口提供用戶認證。

﹣ 為簡單網(wǎng)絡管理協(xié)議（SNMP）選擇特殊的公共字串，并經(jīng)常修改。

﹣ 如果管理基礎設施允許，應配置為SNMP Read Only。

﹣ 關閉制造商提供的所有不安全、不必要的管理協(xié)議。

﹣ 只對專用有線子網(wǎng)提供流量管理。

﹣ 如果可能，對所有流量進行加密。

﹣ 如果可能，實施無線幀加密。

· 客戶機安全建議

﹣ 關閉特殊模式。

﹣ 如果可能，實施無線幀加密。

4.謹防欺詐AP

欺詐AP成為黑客盜竊網(wǎng)絡資源的重要手段，危險最大的是黑客在非法進入大廈之后將AP安裝到網(wǎng)絡中。由于AP體積較小，而且容易購買，便于黑客作案。要消除這種危險，可以從政策和防范這兩方面來考慮。從政策角度來看，思科建議在整體安全政策的基礎上制定完整的無線網(wǎng)絡政策，禁止非法AP連接到網(wǎng)絡中。例如IT部門應該定期檢查辦公區(qū)，看有沒有欺詐性AP，這種檢查包括物理搜索和無線掃描。

從實施角度看，許多以太網(wǎng)交換機都能根據(jù)MAC地址限制對某些端口的訪問。這些控制可以識別與端口相連的第一個MAC地址，然后防止后續(xù)MAC地址連接。通過控制，還可以防止規(guī)定數(shù)量以上的MAC地址連接。這些特性都可以解決欺詐AP問題，但也會增加管理負擔。

【相關文章】

• 如何降低WLAN安全風險(2)
  

• 你的WLAN安全嗎 保護WLAN中的數(shù)據(jù)
  

• 無線局域網(wǎng)的安全防護