無線網絡已成為當今黑客最感興趣的目標之一，有些黑客已經將其作為攻擊網絡的絕好機會，因為與有線網絡不同，無線網絡是在空中傳輸數據的，而且通常傳輸范圍大于機構的物理邊界。尤其值得注意的是，如果使用了功能強大的定向天線，WLAN可以方便地擴展到設計規定的大廈以外。這種情況使傳統物理安全控制措施失去效力，因為無線頻率范圍內的所有人都能看到傳輸的內容。例如，某人只需擁有LINUX掌上電腦和TCPDUMP等程序，就可以接收和保存某WLAN上傳輸的所有數據。

　　干擾無線通信也很容易。簡單的干擾發送器就能使通信癱瘓。例如，不斷對AP提出接入請求，無論成功與否，最終都會耗盡其可用的無線頻譜，將它“踢出”網絡。相同頻率范圍以內的其它無線服務可以降低WLAN技術的范圍和可用帶寬。用于在手機和其它信息設備之間通信的“藍牙”技術是當今與WLAN設備使用相同無線頻率的諸多技術之一。這些有意或無意的拒絕服務(DoS)攻擊都可以嚴重干擾WLAN設備的操作。

　　多數WLAN設備都使用直接排序擴展頻譜(DSSS)通信。由于多數WLAN設備都基于標準，因此，我們必須假設攻擊者擁有可以調整到相同傳播順序的WLAN卡，這樣看來，DSSS技術本身既不保密也沒有認證功能。

　　WLAN接入點可以識別按照燒入或打印在卡上的唯一MAC地址制造的每塊無線卡。在使用無線服務之前，某些WLAN要求對卡進行登記。然后，接入點將按照用戶識別卡，但這種情況比較復雜，因為每個接入點都需要訪問這個表。即使實施了這個方案，也不能防止黑客侵入，因為黑客可以使用借助固件下載的WLAN卡，這些WLAN卡不適用內部MAC地址，而使用隨機選擇或特意假冒的地址。借助這種假冒的地址，黑客可以注入網絡流量，或者欺騙合法用戶。

　　無線網絡作為武器，在志在必得的黑客手里，欺詐AP可以成為危害網絡資源的寶貴財產。最大的危險是在非法進入大廈之后將AP安裝到網絡中。黑客進入大廈后，由于AP相對較小，黑客可以隱秘安裝。例如，只要將AP安裝在會議桌下面，或者插入到網絡中，黑客就可以從相對安全的地方侵入網絡，例如位于停車場的汽車內。另外，還存在遭受中間人(MITM)攻擊的可能性。借助可以假冒成可信AP的設備，黑客可以象在自己設備上一樣操作無線幀。

　　要消除這種危險，企業可以使用政策和防范步驟這兩大武器。從政策角度看，思科建議企業在整體安全政策的基礎上制定完整的無線網絡政策。這種無線政策至少應禁止IT不支持的AP連接到網絡中。從步驟角度看，IT部門應該定期檢查辦公區，看有沒有欺詐性AP。這種檢查包括物理搜索和無線掃描。幾家廠商提供的工具都可以檢查某個區域是否存在無線AP。

　　從實施角度看，以太網交換機都能按照連接客戶機的MAC地址限制對某些端口的訪問。這些控制可以識別與端口相連的第一個MAC地址，然后防止后續MAC地址連接。通過控制，還可以防止規定數量以上的MAC地址連接。這些特性都可以解決欺詐AP問題，但都會增加管理負擔。在大企業中管理MAC地址表本身就可能成為全職工作。還需要注意的是，在會議室里，很難知道哪些系統將與某個網絡端口相連。由于會議室是黑客安裝欺詐AP的目標，因此，可以禁止從所有會議室進行有線網絡接入。總之，從會議室提供對網絡的無線接入是當今企業選擇部署無線LAN技術的主要原因之一。

　　802.11b是不安全的

　　802.11b是當今部署最廣泛的WLAN技術。遺憾的是，802.11b的安全基礎是稱為有線等價專用性(WEP)的幀加密協議。802.11標準將WEP定義為保護WLAN接入點與網絡接口卡(NIC)間空中傳輸的簡單機制。WEP在數據鏈路層操作，要求所有通信各方都共享相同的密鑰。為避免與標準開發時生效的美國出口控制法發生沖突，IEEE 802.11b需要40位加密密鑰，但目前的許多廠商都支持可選的128位標準。借助互聯網上提供的現成工具，WEP可以方便地創建40位和128位變形。，在繁忙的網絡上，只需15秒就能獲得128位靜態WEP密鑰。

　　無線網絡安全擴展

　　思科建議用以下三種技術取代IEE 802.11規定的WEP，包括基于IP Securtiy(IPSec)的網絡層加密方法，使用802.1X、基于人工認證的密鑰分發方法，以及思科最近對WEP所做的某些專門改進。另外，IEEE 802.11任務組“i”也正在改進WLAN加密標準。

　　IPSec

　　IPSec是一種開放標準框架，可以保證通過IP網絡實現安全私密通信。IPSec VPN使用IPSec內定義的服務，以保證互聯網等公共網上數據通信的保密性、完整性和認證。IPSec還擁有實用應用，它們將IPSec放置在純文本802.11無線流量的上面，以便保護WLAN。

　　在WLAN環境中部署IPSec時，IPSec放置在與無線網絡連接的每臺PC上，用戶則需要建立IPSec通道，以便將流量傳送到有線網。過濾器用于防止無線流量到達VPN網關和DHCP/DNS服務器以外的目的地。IPSec用于實現IP流量的保密性、認證和防重播功能。保密性通過加密實現，加密使用數據加密標準(DES)的變種(稱為三DES(3DES))，即用三個密鑰對數據進行三次加密。

　　雖然IPSec主要用于實現數據保密性，但標準的擴展也可以用于用戶認證和授權，并作為IPSec過程的一部分。

　　EAP/802.1X

　　另一種WLAN安全方法注重為提供集中認證和動態密鑰分發而開發框架。在思科、微軟及其它機構向IEEE共同提交的建議中，提出了使用802.1X和可擴展認證協議(EAP)的端到端框架，以便提供這種增強的功能。這個建議的兩個主要組件是:

• EAP，允許使用無線客戶機適配器，可以支持不同的認證類型，因而能與不同的后端服務器通信，如遠程接入撥入用戶服務(RADIUS)
• IEEE 802.1X，基于端口的網絡訪問控制的標準

　　如果實施了這些特性，與AP相關的無線客戶機將不能接入網絡，直到用戶執行網絡登錄為止。當用戶在網絡登錄對話框中輸入用戶名和密碼或者等價信息時，客戶機和RADIUS服務器將執行相互認證，其中客戶機用提供的用戶名和密碼認證。然后，RADIUS服務器和客戶機將獲得一個客戶機專用WEP密鑰，供客戶機在當前登錄操作中使用。用戶密碼和操作密鑰永遠不會以原始形式在無線鏈路上傳輸。

　　事件發生的順序如下:

• 無線客戶機與接入點聯絡;
• 接入點禁止客戶機以任何方式訪問網絡資源，除非客戶機登錄到網絡上;
• 客戶機上的用戶在網絡登錄框中輸入用戶名和密碼，或者用戶名和密碼的等價物;
• 借助802.1X和EAP，無線客戶機和有線LAN上的RADIUS服務器通過接入點相互認證。用戶可以從集中認證方法或類型中選擇一種使用。如果使用Cisco認證類型LEAP，RADIUS服務器將向客戶機發送認證問題。客戶機利用用戶提供的密碼的單向散列形成問題的答案，并將答案發送到RADIUS服務器。借助用戶數據庫中的信息，RADIUS服務器將形成自己的答案，并與客戶機提供的答案相比較。如果RADIUS服務器對客戶機表示認可，將執行反向過程，即讓客戶機對RADIUS服務器進行認證;
• 當相互間的認證都成功完成之后，RADIUS服務器和客戶機將為客戶機提供唯一的WEP密鑰。客戶機將保留這個密鑰，并在登錄操作中使用;\
• RADIUS服務器通過有線LAN將WEP密鑰(稱為操作密鑰)發送到接入點;
• 接入點用操作密鑰對其廣播密鑰進行加密，然后將密鑰發送給客戶機，讓客戶機使用操作密鑰進行加密;
• 客戶機和接入點激活WEP，并在其余操作過程中為所有通信使用操作和廣播WEP密鑰;
• 操作密鑰和廣播密鑰都應按照RADIUS服務器的配置定期修改。

LEAP認證過程

　　1. 客戶機與接入點聯絡
　　2. 接入點禁止所有用戶訪問LAN用戶機器(帶客戶機適配器)
　　3. 用戶執行網絡登錄(用戶名和密碼)
　　4. RADIUS服務器和客戶機執行相互認證并獲取WEP密鑰
　　6. 客戶機適配器和接入點激活WEP并使用密鑰進行傳輸
　　5. RADIUS服務器向接入點提供密鑰

　　與WEP相比，LEAP具有兩個優點。第一個優點是上面介紹的相互認證方案。這種方案能有效地消除假冒接入點和RADIUS服務器發起的“中間人攻擊”。第二個優點是集中管理和分發WEP使用的密鑰。即使RC4實施的WEP沒有缺陷，在將靜態密鑰分發到網絡中的所有AP和客戶機時，也會有管理困難。每次無線設備丟失時，網絡都必須重新獲得密鑰，以防非法用戶訪問丟失的系統。

　　改進的WEP

　　WEP密鑰散列

　　在對WEP發起攻擊時，必須利用使用相同密鑰的加密流量流中的多個薄弱IV，因此，為每個包使用不同的密鑰應該能消除這種威脅。如下圖所示，IV和WEP密鑰進行散列，以便產生唯一的包密鑰(稱為臨時密鑰)，然后與IV組合在一起，或者與純文本執行XOR操作。

　　每個包的WEP密鑰散列

　　IV 基礎密鑰 純文本數據

　　散列 XOR 加密文本數據

　　IV 包密鑰

　　RC4 流密碼

　　這種方法能防止黑客利用薄弱IV獲取基礎WEP密鑰，因為薄弱IV只允許獲取每個包的WEP密鑰。為防止因IV沖突而遭受攻擊，應該在IV重復之前修改基礎密鑰。由于繁忙網絡上的IV可以每幾小時重復一次，因此，LEAP等機制應該用于執行密碼重定操作。

　　消息完整性檢查

　　WEP的另一個問題是易于遭受重播攻擊。消息完整性檢查(MIC)能防止WEP幀被損害。MIC基于種子值、源MAC和負載(換言之，對這些元素的任何修改都會影響MIC值)。MIC包含在WEP加密的負載中。MIC使用散列算法獲取最終值。這是對基于標準的WEP執行的循環冗余檢查(CRC)-32查總功能的改進。“借助CRC-32，可以根據傳輸的消息的位差異計算兩個CRC之間的位差異。換言之，反轉消息中的位n后，將在CRC中產生確定的位集，這個位集只有反轉才能在修改的信息上產生正確的查總。由于反轉位能堅持到RC4加密之后，因此，黑客可以反轉加密信息中的任意位，并正確地調整查總，使最終消息看起來有效。”

　　總結

　　企業應當選擇IPSec或者EAP/802.1X，即這里所指的LEAP，但一般情況下都只用一種。如果對傳輸的數據的敏感性特別關心，則應該使用IPSec，但值得注意的是，與LEAP這種解決方案的部署和管理都更加復雜。如果想合理地提供保密保證和透明的用戶安全體驗，可以使用LEAP。在實施了WEP的任何地方，都可以使用基礎WEP的增強功能。

　　對于大多數網絡而言，LEAP提供的安全性是足夠的。在WLAN設計中，IPSec與LEAP的優缺點如表所示:

無線加密技術比較

思科無線安全套件

　　思科園區WLAN解決方案通過面向Cisco Aironet系列產品的思科無線安全套件和思科兼容WLAN客戶端設備，提供了多種安全部署選項。該解決方案可以全面地支持被稱為Wi-Fi受保護訪問(WPA)的Wi-Fi聯盟安全標準。正確部署的思科無線安全套件可以讓網絡管理員確信，他們所部署的WLAN可以獲得企業級的安全和保護。

　　思科無線安全套件可以支持IEEE 802.1X和多種類型的EAP針對每個用戶、每個會話的雙向身份驗證。經過改進的思科安全解決方案可以支持思科LEAP、EAP-傳輸層安全(EAP-TLS)，以及多種基于EAP-TLS的類型，例如受保護可擴展身份驗證協議(PEAP)，EAP隧道TLS(EAP-TTLS)等。802.1X是用于對有線和無線網絡進行身份驗證的IEEE標準。在WLAN中，該標準可以在客戶端和身份驗證服務器之間提供嚴格的雙向身份驗證。它還可以提供針對每個用戶、每個會話的動態加密密鑰，消除由于靜態加密密鑰導致的管理負擔和安全問題。

　　一個支持IEEE 802.1X和EAP的接入點可以充當無線客戶端和身份驗證服務器――例如思科安全訪問控制服務器(ACS)――之間的一個接口。

　　另外，接入點的VLAN支持使得多個安全策略可以同時獲得支持。利用VLAN，網絡管理員可以根據多種安全選項來劃分用戶――例如有線等效加密(WEP)、802.1X/TKIP、開放訪問或者高級加密標準(AES)。

　　思科結構化無線感知網絡

　　思科SWAN是一個基于思科“無線感知”基礎設施產品的、安全的集成化WLAN解決方案，可以通過對Cisco Aironet接入點進行優化的、安全的部署和管理，最大限度降低WLAN總擁有成本。思科SWAN包括四個核心組件:

• 運行Cisco IOS軟件的Cisco Aironet接入點
• CiscoWorks無線LAN解決方案引擎(WLSE)
• IEEE 802.1X身份驗證服務器，例如思科安全訪問控制服務器(ACS)
• 通過Wi-Fi認證的無線LAN客戶端適配器

　　思科SWAN有助于確保WLAN具有與有線LAN相同等級的安全性、可擴展性、可靠性、部署方便性和可管理性。利用思科SWAN，用戶可以從單個管理控制臺管理成百上千個集中的或者遠程的Cisco Aironet接入點。WLAN管理復雜性的降低也有助于提高網絡的安全性。

　　作為思科SWAN的一部分，CiscoWorks WLSE可以檢測、定位和制止由心懷不滿的員工或者惡意的外部入侵者安裝的接入點。

　　CiscoWorks WLSE分布圖顯示惡意AP的位置

　　惡意接入點的位置可以顯示在CiscoWorks WLSE地點管理器上(如圖5所示)。它還列出了關于接入點所連接的交換機端口的詳細信息。