無線局域網在為用戶提供便捷高效的網絡部署方式時，也為黑客入侵創造了一條高速通路，因此無線網絡設置多層防御措施迫在眉睫。

一位美國休斯頓的電腦安全分析師曾入侵哈里斯縣地方法院辦公處的無線計算機系統，迫使該縣的無線局域網在啟動一個月后被迫關閉，而且花費了5萬美元才得以修復。無線局域網在為公眾帶來便捷的同時，也為黑客的入侵創造了一條高速通路。當企業使用沒有安全防護的無線局域網技術時，即使一些初級黑客都有可能利用容易得到的廉價設備對企業網絡進行攻擊。安全問題已經成為阻礙WLAN進入信息化應用領域的最大障礙。

無線網絡技術的安全

可以從以下幾個方面來保障無線網絡的安全性:

1. 控制訪問設備的合法性

控制訪問設備的合法性可以從 MAC地址訪問控制、SSID的設置、合理選擇接入點位置和禁用 DHCP四個方面加以考慮。

(1)MAC地址訪問控制:

可以通過限制接入終端的MAC地址來確保只有經過登記的設備才可以接入無線網絡。由于每一塊無線網卡擁有唯一的MAC地址，在接入點（AP: Access Point）內部可以建立一張“MAC地址控制表”，只有在表中列出的MAC地址才是合法可以連接的無線網卡，否則將會被拒絕連接。

雖然有可能出現MAC地址欺騙，即攻擊者將自己設備的MAC地址修改成合法設備的MAC地址，但是MAC地址過濾仍然可以使對網絡的攻擊變得困難。

(2)SSID(Service Set Identifier)的設置規則:

每個制造廠商的接入點都具有不同的配置界面，結合了不同的硬件和軟件，但是基本配置選項相同。在把接入點插入到網絡之前，修改缺省設置是至關重要的。每一個AP內可以設置一個服務區域認證ID（SSID: Service Set Identifier），無線終端設備（如無線網卡）也可以設置SSID。每當無線終端設備要連上AP時，AP會檢查其SSID是否與自己的ID一致，只有當AP和無線終端的SSID相匹配時，AP才接受無線終端的訪問并提供網絡服務。利用SSID，可以很好地進行用戶群體分組，避免任意漫游帶來的安全和訪問性能的問題。值得注意的是，SSID和接入點名稱的默認值一定要修改，而且要注意SSID和名稱中不要出現公司名稱、公司所在地、制造商名稱等可以給攻擊者任何提示的信息; 還要注意關閉接入點的SSID廣播。

(3)合理選擇接入點位置:

當局域網中安裝了接入點，整個網絡都會處于風險之中。網絡中不受保護的接入點就像一扇打開的大門，吸引攻擊者進入。因此需要把接入點放在網絡中一個風險盡可能小的地方。應該把接入點看作非信任設備，放置在非信任網段中，采取一定的措施將非信任網段與原有網絡隔離，這樣即使攻擊者接入接入點，破解了WEP密鑰，它們也無法訪問網絡中的數據。而且還要確保接入點不能通過遠程方式被配置，尤其是無線遠程方式進行配置。

(4)禁用DHCP:

許多接入點和網絡上提供的另一個功能是動態主機配置協議DHCP。從網絡管理的角度看，DHCP提供了一種為請求方提供IP地址的方法。但是，從安全角度看，這對得到地址的請求方的控制很少。因此，應該關閉該服務，尤其是在無線局域網中。因為DHCP提供了IP地址和路由信息，所以攻擊者會立刻加入到WLAN網段中。通過對用戶無線網卡的IP地址進行分別配置，可以迫使攻擊者不得不花費更多時間進行窺探，為網絡管理員提供了更長的時間來追捕攻擊者。

2. 控制無線信號泄露

WLAN中使用的是無線信號，無線信號可以穿越墻壁和窗戶，沒有明顯的界限。一定要對無線信號進行測量，確定接入點的放置位置，使得合法用戶范圍內信號強度較強，合法用戶范圍之外信號強度較弱。比如，接入點要遠離窗戶，這樣信號在離開建筑物之前就已經很弱了。

典型的WLAN拓撲圖

3. 啟用無線加密協議

由于完全控制無線信號的泄露幾乎是不可能的，所以還需要采取其他措施，如使用無線加密協議。

(1)有線對等保密WEP （Wired Equivalent Privacy）:

WEP是IEEE 802.11b協議中最基本的無線安全加密措施，它是所有經過 Wi-Fi認證的無線局域網絡產品所支持的一項標準功能。利用一套基于40位/128位共享加密秘鑰的RC4加密算法對網絡中所有通過無線傳送的數據進行加密，由IEEE制定，其主要用途包括提供接入控制、防止未授權用戶訪問網絡、防止數據被攻擊者竊聽、防止數據被攻擊者中途惡意纂改或偽造，從而有效地保護無線網絡。

WEP的局限性是: 靜態密鑰使得WLAN很容易受到“密碼再度使用”式攻擊。靜態WEP密鑰對于WLAN上的所有用戶都是通用的，這意味著如果某個無線設備丟失或者被盜，所有其他設備上的靜態WEP密鑰都必須進行修改，以保持相同等級的安全性。類似AirSnort這樣的破解工具使攻擊者可以主動地監控、接收和分析數據分組，破解靜態WEP密鑰。所以WEP密鑰要定期修改，防止被攻破。

雖然WEP存在一定的漏洞，但在整體安全計劃中，它仍然是比較有效的一種手段，可以阻止初級攻擊者的攻擊，或者延長攻擊者花費的時間，提高攻擊的代價。所以在無線覆蓋范圍不是很大、終端用戶數量不是很多以及對安全要求不是很高的應用環境下使用WEP技術是最經濟且方便的。

(2)新一代無線安全協議——IEEE 802.11i

大型企業的網絡結構比較復雜、對網絡的安全性要求很高，僅使用基本的安全措施并不能完全達到其安全需求。為了幫助解決WEP的缺陷，進一步加強無線網絡的安全性，同時降低用戶的成本， IEEE802.11工作組成立了I工作組（Tasks groups I），開發了一種802.11的升級標準——IEEE 802.11i無線安全標準，并且致力于從長遠角度考慮解決IEEE 802.11無線局域網的安全問題。

多層防御抵制黑客入侵

保障WLAN的安全只是整個企業安全框架的一個組成部分，所以應在網絡中部署多層防御措施，以減輕黑客攻擊的威脅。其他的安全組件包括防火墻、入侵檢測系統和分段網絡。

1. 部署入侵檢測系統（IDS）

考慮添加入侵檢測系統（IDS），這樣可以發現無線局域網中即將發生的攻擊活動。入侵檢測系統可以放置在接入點所在的非信任網段，這樣有助于提醒管理員可能發生的潛在威脅。如果攻擊者獲得了訪問權限，并試圖掃描其他用戶或者防火墻，管理員就會得到有人濫用網絡的警告。一旦這種行為發生，就意味著WEP密鑰已經被破解，此時應該立即修改WEP。要正確維護IDS，就必須經常閱讀警告日志，還需要經常查看防火墻日志和系統日志，以及其他一些應用程序的日志。

2. 使用訪問控制列表 ACL

進一步保護無線網絡，可以使用訪問控制列表 ACL。雖然不是所有的無線接入點都支持這項特性，但如果網絡支持，就可以具體地指定允許哪些機器連接到接入點。支持這項特性的接入點有時會使用普通文件傳輸協議（TFTP），定期下載更新的列表，以省去管理員必須在每臺設備上手工設置使列表保持同步的麻煩。

3. 合理配置SNMP

網絡管理協議（SNMP）是目前TCP/IP網絡中應用最為廣泛的網絡管理協議，它提供了一種監控和管理計算機網絡的系統方法。但由于SNMP缺少身份驗證（Authentification）和加密機制（Privacy），所以在WLAN中容易成為泄密的突破口，因此如果接入點支持SNMP，建議禁用或者改變公開的共用字符串。如果不采取這項措施，黑客就可能利用SNMP獲得有關網絡的重要信息。

4. 啟用RADIUS認證服務

一個能夠支持上千名用戶，具有最先進加密和認證技術的大型系統通常需要一套能夠進行集中化管理的安全性解決方案。這些系統通過RADIUS （撥號用戶遠程認證服務） 進行管理。RADIUS能夠對授權訪問網絡資源的網絡用戶進行集中化管理。不論是對有線的以太網絡還是無線的802.11網絡，RADIUS都是標準化的網絡登錄技術。

5. 分段網絡隔離

對于安全網絡來說，應該把VPN服務器放在非軍事區（Demilitarized Zone，DMZ）中，接入點應置于防火墻外部。DMZ是一個添加在受保護網絡和外部網絡之間的網絡，可以將敏感信息和公用信息隔離，以便提供另外一層安全。DMZ是分層安全設計的一個優秀實例。通過將VPN服務器隔離到一個網絡段中，兩個網絡間數據共享的幾率幾乎為0。對已經獲得DMZ中某個服務器訪問權限的攻擊者而言，這種隔離能阻止他在網絡中進一步滲透。