为确保无线网络的安全，迫使IT经理们面临着与以往使用有线网络全然不同的许多挑战。内建的无线安全标准如WEP（Wired Equivalent Privacy）在去年遭受猛烈攻击的事实，并不表示无线网络永远无法获得安全。但是最近在IEEE标准802.1x中所暴露的瑕疵，却透露着在许多方面，安全的无线网络依然是个梦想。
  
   　　802.1x标准本来应该要同时强化有线与无线网络的安全，因为它定义的是接端口式的网络存取控制。而没过多久：无线网络的需求高涨，使得许多企业由于面临强烈的使用者压力，不得不推出无线网络。
  
   　　但是在一些情形中，许多公司忽略了要采取最基本的步骤来防范自己受到严重攻击或甚至偶而的渗透。网络管理者由于无线的广播特性而被迫忍受以往所不能容忍的开放层度。
  
   　　但是这并不表示保护无线网络的安全是一项毫无希望的工作。由于无线是在下滑的经济局势当中少数仍维持成长的IT领域之一，因此无可避免的，网络与安全厂商将会把注意力放在强化无线基础架构之上，而这正是802.1x派得上用场的地方。
  
   　　就像其名称所暗示的，802.1x与特定的网络机制没有任何关联。反之，它是定义实体网络上认证使用者之方法的基础技术，不论其网络协议为何，它是透过EAP（Extensible Authentication Protocol）的使用来完成认证，而它的根源则是PPP，而PPP则是目前大部分拨接连线的基础。
  
   ●x代表接埠？
  
   　　就像在凯撒（Caesar）统治下的高卢（Gaul）一样，802.1x认证被区分为三部分：客户端、存取点及认证服务器。使用802.1x的客户端与存取点是以开放或「未授权」状态开始。只有经过802.1x（通常只有认证细节而已）特别允许的通讯才能通过，因此邮件客户端、Web浏览器及其它使用者应用程序所使用之较高层次的协议会遭到阻挡。即使是基本的网络组态，如IP地址指派，在此一阶段还未发生。
  
   　　存取点与客户端会进行典型的挑战：响应对话（challenge-response），然后认证服务器会以预先决定的算法加以确认。有效的客户端要求会使得存取点移除接埠的存取限制，因此网络组态将能完成，且HTTP、POP（Post Office Protocol）、SMTP与其它应用程序通讯将可通过该存取点。
  
   　　一切在纸上作业看起来都没问题，而且厂商已经开始加入802.1x支持到其产品之中（Funk Software的Odyssey与Meetinghouse Data Communications的SecureSupplicant是两个最新范例）。但问题就出在细节部分，因此当马里兰大学计算机科学部门的一对麻烦制造者，亦即William Arbaugh与Arunesh Mishra，开始深入挖掘时，要找出一些毛病的确不是什么难事。
  
   　　根据Arbaugh与Mishra表示，最大问题在于客户端与存取点间的认证仅是单向的：在客户端上的接埠永远被认为是经过认证的。不幸的是，某人只要伪装成存取点，然后送出一些造假的EAP封包，接着整个主架构就会出现漏洞。
  
   ●相信VPN
  
   　　当然，甚至在Arbaugh与Mishra指出被中间人拦截的可能性之前，802.1x很明显就不是无线安全的防弹衣。一开始，它就无法解决资料讯框加密，因此在企业无线网络上执行VPN依然是个不错的构想。802.1x也无法跨入金钥管理的业务，使得厂商不得不提出自己的方式。或许将目标建立成开放标准是值得赞许的，但在真实世界中，认证管理仍是相对较新的作法就不怎么棒了。
  
   　　这项最新的打击是否意味着公司应该停止所有无线部署？答案为否，但它却意味着客户可能必须花费不少经费在附加产品上，如此才能建立与有线网络有相同特性的无线网络。但是此举也代表着企业又面临了另一波的困难选择，也就是必须在方便性与安全性之间的平衡做出选择。
  
   　　虽然解决方案是建立更好的802.1x，但现实是我们将会继续生活在不安全的无线网络世界中一段时间。因此，加密、通讯过滤以及限制无线网络在敏感区域的存取，依然是确保无线网络不会成为你下一个后门的非常好的选择。