EEPW论坛

在无线局域网(WLAN)中，任何人都可以利用同样的无线电信号进入系统中进行窥视、非法访问甚至传播病毒，这早已不是什么秘密。总之，无线局域网的安全漏洞大得惊人。 　　随着802.11产品的问世，WEP(与有线网相同的隐秘性)标准应运而生，但它存在的时间不长就被另一种更新的标准所取代，即Wi-Fi保护访问或称WPA技术。然而与此同时，各厂商并没有被动地等待管理当局对这项技术的认证，而是现在就着手为无线局域网管理员开发新的解决方案。 　　从交换机入手 　　Meta集团公司高级分析师Chris Kozup指出，无线局域网的头号安全问题是大批企业并没有激活他们现有的安全系统。 　　第二大问题是非法接入点的存在，这是一些由企业内部人员设置的非法无线局域网节点，它们常常隐藏在防火墙的背后。Kozup说：“由于无线局域网中存在着这样的根本问题，人们开始自己动手进行产品的安装。” 　　有几种方法可以解决非法接入点的问题，例如厂商们销售的电波“嗅探器”就能有效地发现它们。Kozup说，这些产品能够覆盖整个网络并将信息发回到中央数据库中。 　　专门为无线局域网开发管理、安全和应用平台的Wavelink公司计划在今年第二季度推出一套自己的产品，他们将在局域网中使用移动设备来监视非法访问接入点。Wavelink公司首席技术官Bob Whelan说：“以前人们总是使用检测仪器来对频率进行扫描，但这些工作都只是零散的和暂时性的。” 　　加密技术也许是人们在谈到无线网络的安全问题时谈论最多的话题。WEP采用的是一种静态技术，让同一地区的所有用户使用同一组加密密钥。而WPA解决这个问题靠的是一套被称作TKIP(暂时性密钥集成协议)的更复杂的加密技术，它采用的是在每个信息包内添加密钥的方法。针对未来的802.11标准，它还可以做进一步的改进。 　　正在普及的WPA技术 　　除了对加密技术进行改进之外，WPA对安全性的另一大提高是它具有更有力的用户清理功能。WPA通过中央服务器来对加入网络的每个人加以鉴别，同时还采用了一种"双向验证"技术来避免无线用户意外地进入可获得安全授权的非法网络。 　　Wi-Fi联盟将从4月份开始对WPA产品进行认证，到8月份时，企业必须获得认证才能部署WPA。 　　但是WPA并不是包治百病的万灵药。Wi-Fi联盟发言人Brian Grimm指出，它在三个方面存在缺憾：首先是不能为IBSS提供安全支持，IBSS可以让两台客户端计算机在无线局域网上不通过中间媒介进行对话。第二，WPA不能在网络上对多个接入点进行预检，而预检对于从一地到另一地的漫游的非常重要的。第三，也许是最重要的一点，WPA不能支持高级加密标准(AES)。如果使用AES的话就需要为客户机增加额外的计算能力，也就意味着增加了成本。 　　虚拟专用网能解决问题吗？ 　　虚拟专用网(VPN)通过遥控拨号进入公共互联网，从而提供了一个比较安全的途径。VPN具有强大的加密功能，可通过远程认证拨号连入用户服务器和其他索引系统，从而对无线终端进行认证。 　　然而并非所有公司都在采用VPN技术，而且VPN也并不能提供服务器间的互操作性，而WPA却是一套建立在标准之上的系统。 　　Wavelink公司的Whelan说，把现有的技术结合在一起是一个真正的挑战。"如果购买了支持WPA的最新思科接入点系统，还必须再购买一套认证服务器。把这些产品结合在一起并实现它们的理想配置是一件非常困难的事。" 　　其他方面的进展 　　一些并不复杂的操作也能提高无线网络的安全性。Whelan说：“有很多网络根本不使用网络密码保护，为了减少被入侵的风险，管理员可以禁用人们登录网络时所使用的SSID，使那些窥视进入网络的人无从下手。” 　　IT部门还可以通过降低接入点的功率来控制覆盖范围。Whelan说：“没有理由让停车场也在覆盖的范围内。” 　　安全专家甚至在争论，降低无线局域网的传输速率也能防止黑客的“有效攻击”，因为向接入点发送大量错误数据并等待回应将产生巨大的信息流量，从而将密钥锁定。(from Newsfactor by Vincent Ryan)