無線網(wǎng)絡(luò)的流行并不出人意料，無線網(wǎng)絡(luò)本身所具有的靈活性、低成本以及便利性正在促使眾多政府、企業(yè)的CIO們所關(guān)注和嘗試。但是，在無線局域網(wǎng)真正被廣泛采用前，CIO們最關(guān)心也是最需要解決的還是無線網(wǎng)絡(luò)安全所帶來的挑戰(zhàn)。

　　與有線網(wǎng)絡(luò)相同，無線網(wǎng)絡(luò)同樣面臨著病毒、黑客、蠕蟲，木馬、間諜軟件等隨時都可能發(fā)生的威脅。并且無線網(wǎng)絡(luò)比有線網(wǎng)絡(luò)更容易遭到侵害，因為政府、企業(yè)在使用無線網(wǎng)絡(luò)時的安全意識和掌握的技術(shù)手段并不高。

　　但只要采取合理、有效的無線網(wǎng)絡(luò)防護(hù)手段，被偷窺、被盜用、被攻擊的情況完全可以避免。因此，正在準(zhǔn)備或已經(jīng)開始部署無線網(wǎng)絡(luò)的政府、企業(yè)CIO以及網(wǎng)絡(luò)管理員們必須密切關(guān)注無線網(wǎng)絡(luò)安全技術(shù)的發(fā)展，采取更加及時、有效的措施保護(hù)自己的無線網(wǎng)絡(luò)。

　　無線安全存隱憂

　　北京飯店財務(wù)電腦室主任路小北最近正在考慮是否要在客房安裝無線AP，他除了擔(dān)心成本和計費問題外，對無線網(wǎng)絡(luò)的安全也存在一定憂慮，雖然北京飯店在大堂已經(jīng)安裝無線設(shè)備，具備一定的無線網(wǎng)絡(luò)安全基礎(chǔ)，但是如果要在客房安裝，肯定像有線上網(wǎng)一樣作為酒店客房服務(wù)的收費項目，那如何保證客人上網(wǎng)的安全以及私密，路小北還沒有考慮清晰。

　　其實，像路小北一樣，有此疑惑的IT主管還有很多，無線網(wǎng)絡(luò)在“方便、靈活、便利”的同時，也為政府、企業(yè)部署和安全防范帶來了新的難題。比如，政府、企業(yè)在部署無線網(wǎng)絡(luò)過程中，合法訪問者可能在啟動筆記本時無意間連接了某人的網(wǎng)絡(luò)，然后自動連接到公司的無線網(wǎng)絡(luò)，那訪問者的筆記本便是病毒入侵的潛在入口;又比如政府、企業(yè)員工在網(wǎng)絡(luò)中安裝了未經(jīng)授權(quán)的無線網(wǎng)絡(luò)設(shè)備……這些問題給政府、企業(yè)的無線網(wǎng)絡(luò)帶來了大量潛在的威脅。

　　對于未能采取防護(hù)措施或采取防護(hù)措施較少的政府、企業(yè)無線網(wǎng)絡(luò)應(yīng)用而言，其安全隱患非常大。其威脅主要來自5方面:首先，監(jiān)聽數(shù)據(jù)，這可能導(dǎo)致機密數(shù)據(jù)泄漏、曝光未保護(hù)的用戶憑據(jù)、身份被盜用等，它還允許有經(jīng)驗的惡意用戶收集 IT 系統(tǒng)相關(guān)信息，然后利用這些信息攻擊其他情況下不易遭到攻擊的系統(tǒng)或數(shù)據(jù);其次，中途截獲或修改傳輸數(shù)據(jù)，如果攻擊者可訪問網(wǎng)絡(luò)，他(或她)可插入惡意計算機來中途截獲、修改或延遲兩個合法方的通信;第三， 哄騙，現(xiàn)有網(wǎng)絡(luò)訪問允許惡意用戶使用在網(wǎng)絡(luò)外同樣有效的方法來發(fā)送表面上似乎來自合法用戶的數(shù)據(jù);第四，免費，入侵者將利用攻破的無線網(wǎng)絡(luò)作為自己訪問 Internet 的自由訪問點;第五，拒絕服務(wù)(DoS) ，復(fù)雜的攻擊多是針對低層無線協(xié)議本身;不是很復(fù)雜的攻擊則通過向無線網(wǎng)絡(luò)發(fā)送大量的隨機數(shù)據(jù)而使網(wǎng)絡(luò)堵塞。

　　這些安全威脅對于早期部署無線網(wǎng)絡(luò)的政府、企業(yè)CIO和網(wǎng)絡(luò)管理員壓力更大，由于早期的無線網(wǎng)絡(luò)產(chǎn)品采用的是所謂“第一代”的無線安全標(biāo)準(zhǔn)，安全防范功能和安全防范能力非常弱。比如物流管理是最早應(yīng)用無線網(wǎng)絡(luò)的領(lǐng)域。多年以前，人們就通過移動通訊設(shè)備和物流管理設(shè)備在無線局域網(wǎng)上下載郵件，在各個倉庫和配送中心之間建立適時聯(lián)系。但物流管理人員最初并未意識到無線網(wǎng)絡(luò)的安全問題，從而導(dǎo)致無線網(wǎng)絡(luò)經(jīng)常被“好事者”攻擊。這種攻擊以前也許只有少數(shù)黑客有條件完成，但是現(xiàn)在，任何一個中學(xué)生都能從互聯(lián)網(wǎng)上下載工具軟件實施攻擊活動。人們在對這種不道德的攻擊行為進(jìn)行譴責(zé)的同時，也對無線網(wǎng)絡(luò)的安全協(xié)議考慮不周大加詬病，由于Wi-Fi 802.11規(guī)范的安全協(xié)議考慮不周，無線網(wǎng)絡(luò)安全漏洞很多，這給攻擊者留下了很多攻擊的機會。

無線網(wǎng)絡(luò)的流行并不出人意料，無線網(wǎng)絡(luò)本身所具有的靈活性、低成本以及便利性正在促使眾多政府、企業(yè)的CIO們所關(guān)注和嘗試。但是，在無線局域網(wǎng)真正被廣泛采用前，CIO們最關(guān)心也是最需要解決的還是無線網(wǎng)絡(luò)安全所帶來的挑戰(zhàn)

　　為你的無線“體檢”

　　在部署、應(yīng)用無線網(wǎng)絡(luò)的同時，政府、企業(yè)的網(wǎng)絡(luò)管理員們應(yīng)該時刻監(jiān)測自己的無線網(wǎng)絡(luò)狀態(tài)，即使沒有發(fā)現(xiàn)任何異常，也要對它進(jìn)行常規(guī)測試，以保證無線網(wǎng)絡(luò)的性能和安全。這將是網(wǎng)絡(luò)管理和維護(hù)人員的主要工作之一。

　　也許測試無線網(wǎng)絡(luò)性能及安全狀態(tài)對于很多政府、企業(yè)CIO和網(wǎng)絡(luò)管理員來說可能還很陌生，但是當(dāng)你一旦發(fā)現(xiàn)自己所處的機構(gòu)已經(jīng)非常依賴于無線網(wǎng)絡(luò)，你就會為給自己定期檢查身體一樣，為無線網(wǎng)絡(luò)“體檢”。

　　從對測試的需求來看，無線網(wǎng)絡(luò)的測試可以從介質(zhì)測試、物理網(wǎng)絡(luò)測試、邏輯網(wǎng)絡(luò)測試、網(wǎng)絡(luò)性能測試、網(wǎng)絡(luò)應(yīng)用測試、網(wǎng)絡(luò)管理測試、網(wǎng)絡(luò)設(shè)置測試、網(wǎng)絡(luò)安全測試等方面來進(jìn)行。根據(jù)不同的測試需求，這些測試所需要的專業(yè)工具也將會有所不同。

　　對于一般的性能測試服務(wù)，可通過對動態(tài)的RF環(huán)境進(jìn)行檢測，勘測整個RF環(huán)境是否存在影響無線傳輸性能的干擾;通過無線網(wǎng)絡(luò)的信道吞吐量檢測，考察無線AP的數(shù)據(jù)處理能力;監(jiān)測無線網(wǎng)絡(luò)流量情況并進(jìn)行協(xié)議分析，分析無線WLAN內(nèi)運行的協(xié)議種類，以及各種協(xié)議所占比例，查看是否有異常的協(xié)議和流量在運行，從而有效地量化用戶的無線網(wǎng)絡(luò)性能，為用戶提供調(diào)整、完善整個無線網(wǎng)絡(luò)的依據(jù)及方案。

　　該種測試可幫助政府、企業(yè)了解整個無線網(wǎng)絡(luò)AP信號覆蓋、沖突、噪聲、信噪比、傳輸速率、丟包率、重傳率等影響無線網(wǎng)絡(luò)性能的指標(biāo)，并通過圖形方式來顯示出各種指標(biāo)的分布狀態(tài)，對無線網(wǎng)絡(luò)環(huán)境中的AP、信道及SSID劃分情況進(jìn)行分析，分析是否存在不合理的劃分，從而進(jìn)行結(jié)構(gòu)調(diào)整。

　　而對于一般的無線網(wǎng)絡(luò)安全監(jiān)測則包括無線信號泄露檢測、無線安全機制檢測、非法無線接入點檢測及定位、惡意無線干擾檢測、惡意無線方式的攻擊、Ad-hoc檢測與定位、無線安全相容性測試等。

　　通過該測試方法可幫助用戶發(fā)現(xiàn)無線網(wǎng)絡(luò)中是否存在安全隱患，查找且定位一些安全問題，如:AP安全機制、無線加密方式、無線信號泄露、Ad-hoc檢測、非法無線設(shè)備的接入、惡意無線干擾、惡意的無線訪問點接入及各種攻擊等。經(jīng)過測試，用戶可以很清楚的了解目前無線網(wǎng)絡(luò)中存在的安全隱患，并通過相應(yīng)解決方案達(dá)到有效的防范目的。

　　無線安全 有章可循

　　就安全本身而言，無線網(wǎng)絡(luò)比有線網(wǎng)絡(luò)要難于防護(hù)，這是因為有線網(wǎng)絡(luò)的固定物理訪問點數(shù)量是有限的，而無線網(wǎng)絡(luò)在天線輻射的范圍內(nèi)任何一點都可以使用——這雖然體現(xiàn)了無線網(wǎng)絡(luò)的方便、靈活性，但是也為無線網(wǎng)絡(luò)的安全防護(hù)提出了一定挑戰(zhàn)，但通過科學(xué)、合理的方法我們還是可以有效規(guī)避其中的風(fēng)險的。

　　首先制定及執(zhí)行安全政策，每個政府、企業(yè)的無線網(wǎng)絡(luò)都應(yīng)該有使用和安全方面的政策，雖然每個政府、企業(yè)對于無線網(wǎng)絡(luò)的使用和安全需求各不相同，政策也不盡相同，但是合理的安全及使用規(guī)則將避免不必要的安全漏洞。比如，對價格低廉、老舊的無線接入點或非法接入點連接到有線網(wǎng)絡(luò)進(jìn)行政策上限制，將可大范圍縮小無線網(wǎng)絡(luò)的漏洞;再如，如果制訂政策限制WLAN流量在指定信道上傳輸，并且只允許在規(guī)定時間段訪問，就可以大大提高WLAN的安全。

　　其次，建議使用無線虛擬專用網(wǎng)(VPN)，無線加密協(xié)議有線對等保密(WEP)協(xié)議標(biāo)準(zhǔn)雖然有助于阻礙闖入的黑客，但存在重大缺陷。2001年，研究人員和黑客向世人展示了他們能夠破譯WEP的標(biāo)準(zhǔn)加密方法。沒過多久，黑客就發(fā)布了WEPCrack等免費軟件，誰都可以用這些工具破譯該加密方法，只要觀察網(wǎng)絡(luò)上足夠數(shù)量的流量，就能明白加密密鑰。此事件發(fā)生后，許多企業(yè)都不敢把WEP添加到部署的無線網(wǎng)絡(luò)中。但這樣一來，他們的網(wǎng)絡(luò)就完全暴露無遺。因為這些加密和驗證標(biāo)準(zhǔn)很容易受到攻擊，所以政府、企業(yè)應(yīng)該部署更牢固的加密和驗證方法，利用VPN和RADIUS服務(wù)器更加全面地保護(hù)無線網(wǎng)絡(luò)的安全。

　　第三，隱藏、變更SSID及禁止SSID廣播:服務(wù)集標(biāo)識符(SSID)實際上是每個接入點的名字，思科接入點的默認(rèn)SSID是tsunami;Linksys接入點的默認(rèn)SSID是linksys;而英特爾和Symbol接入點的默認(rèn)SSID是101。這些默認(rèn)的SSID無異于把易受攻擊的WLAN匯報給了黑客。應(yīng)當(dāng)把SSID改成對外人來說毫無意義的名字。而禁用廣播模式是因為在廣播模式下，接入點會不斷廣播其SSID，作為搜尋哪些用戶站與之相連的信標(biāo)。但如果關(guān)閉了這項默認(rèn)特性，用戶必須知道SSID，才能連接到接入點。

　　第四，建議禁用DHCP和SNMP設(shè)置。禁用DHCP對無線網(wǎng)絡(luò)很有意義。如果采取這項措施，黑客不得不破譯你的IP地址、子網(wǎng)掩碼及其它所需的TCP/IP參數(shù)(無疑也就增加了難度)。無論黑客怎樣利用你的訪問點，他仍需要弄清楚IP地址。而關(guān)于SNMP設(shè)置，要么禁用，要么改變公開及專用的共用字符串。如果不采取這項措施，黑客就能利用SNMP獲得有關(guān)你網(wǎng)絡(luò)方面的重要信息。

　　另外，政府、企業(yè)的網(wǎng)絡(luò)管理員還可以采取MAC地址過濾，MAC地址過濾是通過對AP的設(shè)定，將指定的無線網(wǎng)卡的物理地址(MAC地址)輸入到AP中。而AP對收到的每個數(shù)據(jù)包都會做出判斷，只有符合設(shè)定標(biāo)準(zhǔn)的才能被轉(zhuǎn)發(fā)，否則將會被丟棄。但這種方式比較麻煩，而且不能支持大量的移動客戶端，所以一般用于SOHO、中小型企業(yè)的安全加密。