無線網(wǎng)絡安全問題是個一直值得我們深入探討的。關于各種加密，各種安全性的無線網(wǎng)絡文章層出不窮，但是只要加密了就能保證我們的網(wǎng)絡安全了嗎？不是還有各種解密和破密的手段嗎？

為什么企業(yè)在物理建筑和有線網(wǎng)絡上的安全防范意識不能延伸到無線系統(tǒng)中呢？回答也許是企業(yè)對無線網(wǎng)絡的安全性缺乏了解——人們可能會天真的以為信號不會跑到公司的圍墻外面去，或者直覺認為如果你無法看見信息，就無法竊取信息。無線網(wǎng)絡安全解決方案供應商提供的最令人信服的看法是：無線局域網(wǎng)技術的便利優(yōu)勢不是靠犧牲網(wǎng)絡安全性得到的，這意味著企業(yè)需要為無線網(wǎng)絡安全性做好充分的準備。

不能只依靠WEP

無線網(wǎng)絡最基本的安全措施是WEP（Wired Equivalent Privacy）。WEP是所有經(jīng)過Wi-Fi認證的無線局域網(wǎng)技術所支持的一項標準功能。由電子與電氣工程師協(xié)會（IEEE）制定的WEP是用來：(a) 提供基本的安全性保證，(b) 防止有意的竊聽， (c) 利用一套基于40位共享加密秘鑰的RC4加密算法對網(wǎng)絡中所有通過無線傳送的數(shù)據(jù)進行加密，從而有效地保護網(wǎng)絡。

除了設計一套強大的安全解決方案，避免簡單錯誤的發(fā)生也是非常明智的。避免一些錯誤，如沒有開啟WEP、將訪問點設置在防火墻之內(nèi)、使用缺省的WEP 秘鑰、以及沒有定期變更加密秘鑰等，能夠提高無線網(wǎng)絡的安全性。從理論上講，WEP秘鑰就是一套共享密碼，其能夠使用戶對在無線網(wǎng)絡上傳送的加密數(shù)據(jù)進行解密。實際上，黑客就是在公司樓宇外通過筆記本電腦獲取一串加密數(shù)據(jù)流，利用從互聯(lián)網(wǎng)上得到的專用軟件對其進行解密，從而得到企業(yè)網(wǎng)絡的訪問秘鑰。黑客通過這種反解碼過程獲得秘鑰，并進入公司的網(wǎng)絡。

加密秘鑰算法本身并不存在缺陷，只是秘鑰的管理不善導致了黑客的入侵。企業(yè)網(wǎng)絡系統(tǒng)管理員經(jīng)常會為整個公司分配一個秘鑰，一旦黑客獲得秘鑰，就能訪問公司所有的專有信息和網(wǎng)絡資源。管理員也許會賦予每一個用戶不同的秘鑰，但這些用戶卻可能從來不對其進行變更。一旦黑客獲得了訪問權限，他們便可以一直進行非法訪問，并共享企業(yè)的重要資源。管理嚴格的小型企業(yè)網(wǎng)絡可以使用方便的手動秘鑰管理。但是，隨著無線網(wǎng)絡用戶的增加，這種手動管理方式會變得非常煩雜，容易造成網(wǎng)絡系統(tǒng)管理人員的工作疏忽。

通過動態(tài)秘鑰管理實現(xiàn)更好的安全性

目前，消除WEP安全性方面缺陷的工作正在加緊進行，不論是WECA還是IEEE任務組i（TGi）都在努力對WEP進行改進。相關的規(guī)范會在2002年年中發(fā)布，并有可能在2002年年底成為Wi-Fi認證標準的一個組成部分。

在標準改進工作正在進行的同時，3Com公司也在積極的加強用戶大規(guī)模實施無線聯(lián)網(wǎng)技術的信心。特別是，3Com公司正在利用一種被稱為動態(tài)安全鏈路（DSL）的技術來滿足用戶在無線局域網(wǎng)技術管理和認證等方面的需求。當一臺3Com公司的接入點設備與3Com公司無線客戶端設備協(xié)同工作時，動態(tài)安全鏈路會自動生成一個新的128位加密秘鑰，其對每個網(wǎng)絡用戶和每次網(wǎng)絡會話來說都是唯一的。這一技術能夠比靜態(tài)共享秘鑰策略提供更高的無線網(wǎng)絡安全性，幫助用戶從手工的輸入工作中解脫出來。由于確保了每一個用戶擁有一個唯一、可以不斷變更的秘鑰，因此，即使黑客攻破加密防線并獲取了網(wǎng)絡的訪問權，所獲取的秘鑰也只能工作幾個小時，從而降低了企業(yè)因此需要承擔的潛在損失。

為進一步提高安全性，動態(tài)安全鏈路技術還能夠支持用戶認證，即要求所有的用戶在開始每一個會話之前提供用戶名和密碼。相對基于設備MAC地址的認證策略，基于用戶的認證功能可以為企業(yè)網(wǎng)絡實現(xiàn)較高級別的安全和管理能力?；谠O備MAC地址的認證策略會因為設備的丟失或失竊而失效，而且每當類似事件發(fā)生時，都需要對保存在每一臺網(wǎng)絡接入點設備內(nèi)的MAC地址數(shù)據(jù)庫進行變更。動態(tài)安全鏈路的另一個優(yōu)勢在于其自動和動態(tài)的秘鑰管理能力完全是由訪問點設備自身來實施，因此這套解決方案不需要增加任何服務器設備和其他基礎設備。這種安全性實施策略非常適用不需要大量資金就可實現(xiàn)無線局域網(wǎng)技術安全性的小型企業(yè)，同時對希望以非集中化方式來實現(xiàn)無線網(wǎng)絡安全性的也是理想的選擇。

大型網(wǎng)絡需要更高的安全性

大型無線網(wǎng)絡安全性管理不僅需要可以自動變更秘鑰的DSL功能，還需要更多安全性功能，從而來滿足更多用戶和更復雜安全性的要求。設備的增多會需要更加強大的加密秘鑰管理技術、更加靈活的認證機制、以及整個基礎網(wǎng)絡的集中用戶管理，所有這些無法全部存儲在一部無線局域網(wǎng)技術設備的有限內(nèi)存中。

盡管WEP和DSL解決方案中的安全性功能已經(jīng)本地化-- 即在無線局域網(wǎng)技術設備內(nèi)部進行管理-- 但是一個能夠支持上千名用戶，具有最先進加密和認證技術的大型系統(tǒng)通常需要一套能夠進行集中化管理的安全性解決方案。這些系統(tǒng)通過RADIUS (撥號用戶遠程認證服務) 進行管理。RADIUS能夠?qū)κ跈嘣L問網(wǎng)絡資源的網(wǎng)絡用戶進行集中化管理。