企业使用无线局域网技术，却没有采取适当的安全措施时，即使一些初级黑客也有可能利用容易得到的廉价设备对企业网络进行攻击。正因为如此，许多企业不得不在更高的移动性和灵活性与网络安全之间进行权衡，安全问题已经成为阻碍WLAN进入信息化应用领域的最大障碍。

给无线网络更大的安全保障

　　其实，很多无线协议都提供一些方法用来保护机密信息和阻止未经授权的访问。我们可以从以下几个方面来保障无线网络的安全性：

控制访问设备的合法性：
　　控制访问设备的合法性可以从MAC地址访问控制、SSID的设置、合理选择接入点位置和禁用DHCP四个方面加以考虑。
　　（1）MAC地址访问控制：
　　为了提高无线网络的安全性，在IEEE 802.11b协议中包含了一些基本的安全措施，包括MAC地址访问控制和设置无线网络设备的服务区域认证ID（SSID，Service Set Identifier）来防止非法无线设备接入。我们可以通过限制接入终端的MAC地址来确保只有经过登记的设备才可以接入无线网络。
　　由于每一块无线网卡拥有惟一的MAC地址，在接入点（AP，Access Point）内部可以建立一张“MAC地址控制表”，只有无线网卡的MAC地址在表中列出，该网卡的连接才是合法，否则将会被拒绝连接。
基于设备MAC地址的认证策略会因为设备的丢失或失窃而失效，所以每当此类事件发生时，都需要对保存在每一台网络接入点设备内的MAC地址数据库进行变更。
　　点评：MAC地址控制可以有效地防止未经过授权的用户非法接入无线网络。虽然攻击者通过将自己设备的MAC地址修改成合法设备的MAC地址，有可能出现MAC地址欺骗，但这种方法仍然可以使对网络的攻击变得困难。
　　（2）SSID的设置规则：
　　每个制造厂商的接入点都具有不同的配置界面，结合了不同的硬件和软件，但是基本配置选项相同。　　在把接入点插入到网络之前，修改缺省设置是至关重要的。
　　每一个AP内可以设置一个SSID（Service Set Identifier），无线终端设备（如无线网卡）也可以设置SSID。每当无线终端设备要连上AP时，AP会检查其SSID是否与自己的ID一致，只有当AP和无线终端的SSID相匹配时，AP才接受无线终端的访问并提供网络服务，如果不符就拒绝服务。
　　点评：利用SSID可以很好地进行用户群体分组，避免任意漫游带来的安全和访问性能的问题。
　　（3）合理选择接入点位置
　　当局域网中安装了接入点，整个网络都处于风险之中。网络中不受保护的接入点就像一扇打开的大门，将吸引攻击者进入。因此，需要把接入点放在网络中一个风险尽可能小的地方（攻击者很难修改或者篡改接入点设置的位置）。如果将接入点直接放置在原有网络中，虽然方便，但是却使网络暴露出来。
　　我们应该把接入点看作非信任设备，放置在非信任网段中，采取一定的措施将非信任网段与原有网络隔离，这样可以为原有网络提供保护，即使攻击者接入接入点，破解了WEP密钥，它们也无法访问网络中的数据。
　　小提示：如果攻击者可以使用自己笔记本上的USB接口就能与接入点直连，那么他能轻松修改接入点的配置和WEP密钥，接入点配置得再安全也不起什么作用。因而，必须确保接入点配置不被修改，还要确保接入点不能通过远程方式配置，尤其是无线远程方式进行配置。
　　（4）禁用DHCP
　　从网络管理的角度看，DHCP提供了一种为请求方提供IP地址的方法。但是，从安全角度看，这对得到地址的请求方的控制很少。因此，应该关闭该服务，尤其是在无线局域网中。
　　资料卡片：许多接入点和网络上提供动态主机配置协议DHCP（Dynamic Host Configure Protocol），这是一种用来为网络上的新机器分配IP地址而设计的服务。接受到广播请求之后，DHCP服务器就从请求池中指定一个IP地址，并配置路由和域名系统信息。
　　这是因为DHCP提供了IP地址和路由信息，所以攻击者会立刻加入到WLAN网段中。通过对用户无线网卡的IP地址进行分别配置，可以迫使攻击者不得不花费更多时间进行窥探，为网络管理员提供了更长的时间来追捕攻击者。分别指定IP地址还能使网络管理员更容易跟踪恶意活动，因为指定的IP地址被绑定在具体用户上。

控制无线信号泄露
　　为什么企业在物理建筑和有线网络上的安全防范意识不能延伸到无线系统中呢？回答也许是企业对无线网络的安全性缺乏了解——人们可能会天真地以为信号不会跑到公司的围墙外面去，或者直觉地认为如果您无法看见信息，就无法窃取信息。但事实是，无线信号可以穿越墙壁和窗户，并没有明显的界限。因此，一定要对无线信号进行测量，确定接入点的放置位置，使得合法用户范围内信号强度较强，合法用户范围之外信号强度较弱。比如，接入点要远离窗户，这样信号在离开建筑物之前就已经很弱了。
　　无线网络不同于有线网络，企业在向网络添加无线技术时，需要注意网络的安全性和随之而来的管理问题。无线网络的数据传输是利用微波在空气中进行辐射传播，因此只要在AP覆盖的范围内，所有的无线终端都可以接收到无线信号，AP无法将无线信号定向到一个特定的接收设备。
　　WLAN的覆盖范围是三维的，这意味着可能会有一些事先没有预料到的区域进入接入点的覆盖范围。由于射频范围内的任何人都可以查看网络中传输的分组，传统的物理安全控制已经不足以确保网络的安全。
　　在采用了WLAN以后，网络的边界发生了变化。访问网络的客户端需要检查他们当前加入的是哪个网络。网络管理人员需要尽快地发现并阻止网络攻击。

启用无线加密协议
　　如果企业用户通过一个局域网交换中心互相连接，人们就可认为他们已经成为信任用户。而WLAN则会暴露某个网络，因此，从安全的角度来讲，不能像核心企业网络而必须像接入网络那样来对待。
　　要将WLAN发射的数据仅仅传送给一名目标接收者是不可能的，而防火墙对通过无线电波进行的网络通讯起不了作用，任何人在视距范围之内都可以截获和插入数据。由于完全控制无线信号的泄露几乎是不可能的，所以还需要采取其它措施，如使用无线加密协议。
　　（1）有线对等保密WEP
　　资料卡片：WEP（Wired Equivalent Privacy）是对无线网络上的流量进行加密的一种标准方法，是IEEE 802.11b协议中基本的无线安全加密措施。WEP利用一套基于40位/128位共享加密密钥的RC4加密算法对网络中所有通过无线传送的数据进行加密，由IEEE制定，可以提供接入控制，防止未授权用户访问网络，WEP加密算法对数据进行加密，防止数据被攻击者窃听，防止数据被攻击者中途恶意纂改或伪造。
　　WEP加密采用静态的保密密钥，这是一种在会话过程中不发生变化也不针对各个用户变化的密钥。静态WEP密钥对于WLAN上的所有用户都是通用的，这让WLAN很容易受到“密码再度使用”式攻击。密钥的管理不善将会导致黑客的入侵：企业网络系统管理员经常会为整个公司分配一个密钥，一旦被黑客获得，就能访问公司所有的专有信息和网络资源。这意味着如果某个无线设备丢失或者被盗，所有其它设备上的静态WEP密钥都必须进行修改，以保持相同等级的安全性。
　　管理员也许会赋予每一个用户不同的密钥，但这些用户却可能从来不对其进行变更。黑客一旦获得了访问权限，就可以一直进行非法访问，并共享企业的重要资源。
　　管理严格的小型企业网络可以使用方便的手动密钥管理。但是，随着无线网络用户的增加，这种手动管理方式会变得非常烦杂，容易造成网络系统管理人员的工作疏忽。
　　类似AirSnort这样的破解工具使攻击者可以主动地监控、接收和分析数据分组，破解静态WEP密钥。实际上，黑客就是在公司楼宇外通过笔记本电脑获取一串加密数据流，利用从互联网上得到的专用软件对其进行解密，从而得到企业网络的访问密钥。黑客通过这种反解码过程获得密钥，并进入公司的网络。
　　点评：虽然WEP的安全性有不足之处，存在这样那样的漏洞，但在整体安全计划中，它仍然是比较有效的一种手段，可以阻止初级攻击者的攻击，或者延长攻击者花费的时间，提高攻击的代价。在无线覆盖范围不是很大、终端用户数量不是很多且对安全要求不是很高的应用环境下，一些小型企业、家庭用户等小型环境的无线网络应用，使用WEP技术是非常经济、方便的。但对大型企业，WEP显然无法满足需求。
　　（2）新一代无线安全协议IEEE 802.11i
　　大型企业如银行、证券行业，其现有的网络结构比较复杂，且对网络的安全性要求很高，仅使用基本的安全措施并不能达到其安全需求。
　　为了帮助解决WEP的缺陷，进一步加强无线网络的安全性，同时减轻设备厂商的负担，降低用户的成本，IEEE802.11工作组成立了I工作组（Tasks groups I），目前正在开发一种802.11的升级标准—IEEE 802.11i无线安全标准，并且致力于从长远角度考虑解决IEEE 802.11无线局域网的安全问题。802.11i标准就是围绕802.1x用户端口身份验证和设备验证来制定的。
　　最后完成的802.11i标准主要包括两项研制内容：“Wi-Fi保护存取”（WPA）技术和“强健安全网络”(RSN)。WPA技术的首要任务是在老式设备中插入安全孔，通常是通过固件或驱动程序升级。Wi-Fi联盟已经建立了一个称为WPA的802.11i标准草案的子集，目前该联盟正在为能够满足这一需求的设备颁发许可。WPA采用的是名为“TKIP”（Temporal Key Integrity Protocol）的协议和运算法则，旨在改进WEP密钥的安全性。RSN在接入点和移动设备之间使用的是动态身份验证方法和加密运算法则。在标准草案中所建议的身份验证方案是以802.1x协议和“可扩展身份验证协议”（EAP Extensible Authentication Protocol）为依据的。加密运算法则使用的是“高级加密标准”（AES Advanced Encryption Standard）。
　　点评：基于802.11i的增强安全解决方案利用针对每个用户、每个会话的动态WEP密钥来阻止未经授权的网络访问。该解决方案建立在802.1x身份认证框架和EAP的基础之上，可以提供基于用户的身份认证，弥补了第一代静态WEP密钥和基本安全保护的所有不足。
　　为了部署大规模的企业WLAN，需要可扩展的、轻松的管理管理方案，以避免加重网管人员的工作负担。增强的安全保护可以提供一个这样的解决方案，同时还可以阻止各种精心策划的被动或者主动的WLAN攻击，消除对于管理静态WEP密钥的需要。这种强大的企业级WLAN安全解决方案可以将服务质量和移动性集成到它的框架之中，从而可以支持一组更加丰富的企业级应用。
建立虚拟专用网络（VPN）
　　在某些情况下，企业可能需要端到端的安全性来保护他们的WLAN业务应用。管理员可以利用专业安全保护建立一个虚拟专用网络（VPN），让身处公共场所（例如机场和宾馆）的移动用户可以通过隧道访问企业网络。
　　资料卡片：虚拟专用网（VPN）能够在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性，目前许多企业以及运营商已经采用VPN技术。只要具有IP的连通性，就可以建立VPN。VPN技术不属于802.11标准定义，因此它是一种增强性网络解决方案。严格来讲，VPN可以替代连线对等保密解决方　案以及物理地址过滤解决方案，也可以与WEP协议互补使用。
　　VPN协议包括第二层PPTP/L2TP协议以及第三层的IPsec协议。实际上，VPN只涉及发起端、终结端，因此对无线接入点AP来讲是透明的，并不需要在无线接入点支持VPN。IPsec是标准的第三层安全协议，用于保护IP数据包或上层数据，可以定义哪些数据流需要保护，怎样保护以及应该将这些受保护的数据流转发给谁。由于它工作在网络层，因此可以用于两台主机之间、网络安全网关之间或主机与网关之间。
　　在WLAN环境，主要采用客户端到网关组网方式。VPN安全技术适合于既有中心Radius服务器，又需要提供安全认证和计费的网络环境，比如大中型企业网络或公共无线访问网络。
　　小提示：为了建立一个安全的VPN，管理员必须特别注意隧道、加密、分组完整性、防火墙、用户和设备认证，以及网络管理等。大多数企业都不需要在他们的内联网中部署一个专业安全WLAN。但对一些特殊行业，例如需要采取广泛的安全措施的金融机构（如银行、证券等），可能需要部署专业安全解决方案和增强的安全方案。

部署多层防御措施抵御黑客

　　保障WLAN的安全只是整个企业安全框架的一个组成部分。网络管理员会由于部署WLAN而在一定程度上增加网络的安全风险，所以要在网络中部署多层防御措施，以减轻黑客攻击的威胁。
其它的安全组件包括防火墙、入侵检测系统和分段网络。网络管理员还可以通过精心地设计和安装无线网络采取行之有效的安全措施，以及使用安全专家所开发的网络安全产品和软件降低风险。
部署入侵检测系统（IDS）
　　应该考虑添加入侵检测系统（Intrusion Detection System，IDS），这样可以发现无线局域网中即将发生的攻击活动。入侵检测系统可以放置在接入点所在的非信任网段，这样有助于提醒管理员可能发生的潜在威胁。
　　如果攻击者获得了访问权限，并试图扫描其他用户或者防火墙，管理员就会得到有人滥用网络的警告。一旦这种行为发生，就意味着WEP密钥已经被破解，此时应该立即修改WEP。
　　要正确维护IDS，就必须经常阅读警告日志，否则跟没有安装IDS没什么区别。此外，也要经常查看防火墙日志和系统日志以及其它一些应用程序的日志。
使用访问控制列表ACL
　　为了进一步保护无线网络，我们可以使用访问控制列表 ACL。虽然不是所有的无线接入点都支持这项特性，但如果您的网络支持，您就可以具体地指定允许哪些机器连接到接入点。支持这项特性的接入点有时会使用普通文件传输协议（TFTP），定期下载更新的列表，以避免管理员必须在每台设备上手工设置使这些列表保持同步。
合理配置SNMP
　简单网络管理协议（SNMP）是目前TCP/IP网络中应用广泛的网络管理协议，它提供了一种监控和管理计算机网络的系统方法。SNMP在各行各业已经得到广泛的应用，并成为网络管理事实上的标准。
　　但由于SNMP缺少身份验证（Authentification）和加密机制（Privacy），所以在WLAN中容易成为泄密的突破口，因此如果接入点支持SNMP，建议禁用或者改变公开的共用字符串。如果不采取这项措施，黑客就可能利用SNMP获得有关我们网络的重要信息。
启用Radiut认证服务
　　大型无线局域网络需要更高的安全性，对它的管理不仅需要可以自动变更密钥的DSL功能，还需要更多安全性功能，从而满足更多用户和更复杂安全性的要求。设备的增多会需要更加强大的加密密钥管理技术、更加灵活的认证机制以及整个基础网络的集中用户管理，所有这些无法全部存储在一部无线局域网接入点设备的有限内存中。
　　尽管WEP和DSL解决方案中的安全性功能已经本地化（即在无线局域网接入点设备内部进行管理），但是一个能够支持上千名用户，具有先进加密和认证技术的大型系统通常需要一套能够进行集中化管理的安全性解决方案。这些系统通过Radius（拨号用户远程认证服务）进行管理。Radius能够对授权访问网络资源的网络用户进行集中化管理。不论是对有线的以太网络还是无线的802.11网络，Radius都是标准化的网络登录技术。
　　支持802.1x协议的Radius技术提高了企业级无线局域网用户的认证能力。考虑到现今网络的混合架构平台特性以及企业用户中Windows操作系统的普及，802.1x技术能够为用户带来一系列卓越、灵活的无线网络安全性。
分段网络隔离
对于安全网络来说，应该把VPN服务器放在非军事区（Demilitarized Zone，DMZ）中，接入点应置于防火墙外部。DMZ是一个添加在受保护网络和外部网络之间的网络，可以将敏感信息和公用信息隔离，以便提供另外一层安全。DMZ是分层安全设计的一个优秀实例,通过将VPN服务器隔离到一个网络段中，两个网络间数据共享的几率几乎为0。对已经获得DMZ中某个服务器访问权限的攻击者而言，这种隔离能阻止他在网络中的进一步渗透，这也是设立DMZ的目的所在——隔离并限制攻击者所能造成的破坏。
　　下面介绍一个某金融机构实施的具体的WLAN双重防火墙安全解决方案，该方案很好地部署了上面所介绍的多层防御措施：
　　如图2所示，该方案在分支节点使用WLAN AP+WLAN NIC实现内部移动办公，在分支节点网络边缘使用具有VPN功能的SOHO Firewall保护分支节点内部。分支节点内部采用802.1x认证，同时对数据采用WEP加密，节点边界配置VPN与中心节点实现安全互联。除了设置VPN，我们还可以在分支节点直接将WEP升级为WPA，或者直接采用802.11i。不过即使有了802.11i，最好也不要放弃防火墙，多一层保护就会给攻击者增加一定的障碍，减少网络被攻击的可能性。

　　图中中心节点两个防火墙Outside和Inside，一个保护内部网络，一个面向接入点。Outside防火墙提供VPN、DMZ、NAT等服务，802.1x Radius服务器位于DMZ区域内。在Outside防火墙通过VPN来容纳分支节点，Radius服务器对分支节点授权用户发出的802.1x认证报文进行处理，并将最终验证决定传给分支节点的AP，AP按照最终验证决定对相应用户开放虚拟端口，使其能在网络中正常使用。同时，授权用户只能访问DMZ区域中的服务器。
　　在这个案例中，VPN服务器的威胁并不能使攻击者攻击内部网络，而只能访问到一个空的DMZ。由于Outside、Inside防火墙采用的是不同厂家的产品，所以即使Outside区域被入侵者攻陷，入侵者也不能在第一时间内威胁并攻击内部网络。
　　当然，如果分支节点不使用具有VPN功能的Firewall也是可以的，我们可以在分支节点授权用户的设备上安装相应的VPN Client，同样在中心节点的Outside Firewall上终结VPN。

文章转载地址：http://www.365master.com/kt_article_show.php?article_id=1749&categ_code=10041003