连载：更新的措施让你的WLAN更安全(一)

前言

随着无线网络使用的激增，新的安全和认证工具被采用来迎战日益增加的安全风险。不管你采用什么样的技术，构建并增强一个移动性的安全策略是至关重要的。

Wi-Fi协议支持的无线网络对于当今日常的企业运行越来越关键，无线笔记本正迅速地代替台式机，成为雇员的首要的计算机选择。智能电话也像笔记本电脑一样，能够处理从敏感的电子邮件到产品价格和客户列表的所有信息。

面对日益增长的无线网络和由此导致的对无线服务的需求，当今的安全管理员们在利用最新的加密和认证技术时，必须继续遵守或服从那些被证明了的、基本的无线安全预防措施。但最重要是，他们必须使无线安全成为一个确定的、连续的基于策略的过程，来保护其公司的网络和数据，甚至其事业。

新挑战

每一种新的协议，每一种新的无线服务类型和每一种新的无线设备都代表了黑客可以利用的新弱点，除非它们被正确地部署、配置和维护。

即使今天的无线网络服务也可以导致攻击。每一种新计算机和通信技术都吸引着黑客的破坏企图，无论是为了某种利益还是刺激。许多SMS系统允许将消息从互联网上的计算机传到移动电话上，这也会使得黑客利用计算机将病毒和恶意软件传到移动或智能设备上更加容易。

被证实的基本问题

据调查，大多数的Wi-Fi访问点和客户端无线网卡及其软件都采用了默认的配置，如果不加以改变，就会使黑客的“工作”更加轻松。根据Gartner的预计，到2010年，90%的WLAN安全事件都会是由没有为最大安全性而配置的系统造成的。

基本的安全预防措施包括改变SSID，将其从易识别的默认名字改为一个不会透露访问点或网络的名称的不明显的另一个名字。例如，在一个黑客看到一个默认的SSID时，他马上就会知道关于此设备的许多其它细节，因此他攻击起来就更加容易。

正因为许多Wi-Fi客户端会自动连接它们发现的任何SSID，管理人员应该在任何只用于公司内部的访问点上关闭SSID广播特性，因为访问点不能被外部的人员（如顾问人员或合同工等）访问。虽然“访问点的SSID仍可能被发现”，实践证明，这样的发现会需要更多的时间和更复杂的探测工具。应该使用设备所配备的无线管理软件来关闭特定的网络特性─这个特性允许那些设备彼此连接。这种特定的网络接连增加了黑客利用某个无线网络设备攻击公司网络的可能性。

建议使用客户端防火墙内部基于规则的过滤器或基于网络的入侵防御系统来确保客户端的有线和无线的网络接口卡不同时处于活动状态。如果它们同时处于活动的状态，客户端设备就既能登录公司网络，又能同时登录到黑客端的无线网络,允许黑客通过无线连接攻击公司的有线网络。

另外一个安全挑战来自于外部人员，如来访者或访问客户端的顾问人员。他们需要对公司网络的临时访问。在这种情况下，我们推荐使用虚拟局域网（VLAN）通道将用户路由到防火墙之外的一个点上。应该指出，“第三代访问点支持可被限制到一组访问点的VLAN ，还支持其它形式的VLAN。”

访问点的放置也是相当重要的，因为如果攻击者不能轻易地到达一个足够近的物理位置来试图与访问点关联，或者如果访问点缺少支持DDOS攻击的能力，它们“更难被攻击。”建议用户通过规划并使用Wi-Fi监视工具，来将访问点的覆盖范围限制为最需要它的区域，并限制通过天线的传输强度和发送端的输出设置，使得黑客难于获得一个连接。

网络管理人员需要通过最新的安全补丁保持其无线网卡驱动程序的最新。近来，在一些驱动程序中已经发现了一些允许常见的攻击（如缓冲区溢出）的漏洞；在缓冲区溢出中，黑客将超过缓冲区容量的数据填入缓冲区来实施对系统的攻击。最后，强烈建议用户调整个人防火墙以防止在客户端系统上的端口暴露，并关闭VPN上的分离通道，因为这会允许数据直接传输而不采用VPN中的数据加密。

改进的技术

保护无线网络需要强认证，还要加强数据加密以保证数据即使被黑客得到也不能使用。

在Wi-Fi刚开始流行之时，无线网络的管理员们就拥有了非常广泛的高级工具。管理员应将易于遭受攻击的WEP（Wired Equivalent Privacy）加密标准换为WPA2，后者类似于802.11i标准。我们呼吁将WPA2作为第一选择并至少实施对笔记本电脑和访问点的最低层次的保护。WPA2或者使用（扩展认证协议-传输层安全）(EAP-TLS)，或者使用受保护的可扩展认证协议（PEAP）用于RADIUS服务器的认证，应与AES一起验证无线数据传输。PEAP是一个EAP-TLS版本，它易于实施，因为它并不需要授权证明书。注意，AES可使用临时密钥完整性协议（TKIP）。

缺少AES处理能力的更小型的移动设备可以使用临时密钥完整性协议（TKIP），对那些不想花费金钱和时间来维护身份验证服务器以确保用户身份合法性并为其分配加密和解密密钥的公司，可以使用预共享密钥（使用之前在无线设备和访问点之间共享的密钥）。然而，建议用户不要使用WPA个人模式的预共享密钥，在WPA2模式中也不要使用，因为它们易于遭受身份攻击。因为组成预共享密钥的口令词语相对较短，黑客可以使用特别的软件轻易地猜测之，并因此获得对网络的访问权。

在这些技术中，我们推荐WPA2企业模式，通过EAP-TLS或PEAP进行身份验证，通过AES实施加密。建议你不要使用WPA个人模式和WPA2的个人模式，因为它们依靠的是存储在访问点中的静态密钥列表，从而使得漏洞攻击工具可以被普遍地使用。

许多专家还推荐使用可以连续地监视无线网络所有部分的入侵检测工具，以发现欺诈的访问点和那些损害安全性的任何错误配置的访问点或客户端。

许多厂商已开始发布可以处理WLAN漏洞问题的产品，近来的产品还包括将Wi-Fi路由器与VPN性能结合起来的安全设备。还包括VPN监视设备，这种设备可以生成能够处理特定行业或企业安全标准的客户报告。