无线LAN安全指南

新的WPA标准将会为家庭和企业无线局域网提供更好的安全性

你是否曾经因为无线局域网（WLAN）存在致命的安全缺陷而放弃了这种方便的联网方式？如果是这样的话，那么现在你可以重新考虑一下你的选择。Wi-Fi联盟（一家检测和认证基于802.11标准的无线产品的机构）最近发布了新的安全标准WPA（Wi-Fi Protected Access），它可以为所有的WLAN提供可靠的安全保证。

目前大多数WLAN产品提供的WEP（Wired Equivalent Privacy）安全标准只能提供部分的安全保障，因为它只使用单一的静态密钥（40位或128位）进行加密和身份验证。该密钥将被WLAN上的每个人所共享。对大中型网络来说，WEP方式大大增加了管理员的负担，因为管理者必须为每一台WLAN设备手动输入WEP密钥信息。即便抛开这个因素不谈，WEP方式在安全上的隐患也是非常令人担忧的，如果密钥被某个黑客获得，他就能在整个WLAN通行无阻，而这类密钥破解工具在Internet上甚至可以免费获得。

面向企业用户的WLAN销售商往往会在他们的硬件中提供专门的、更可靠的安全措施，但这些专用的方案通常无法与其他公司的产品相兼容。这就是Wi-Fi联盟和IEEE组织制定WPA的原因，它可以在不同的WLAN环境中提供统一的、更高的安全性，其中包括那些位于机场候机厅和星巴克咖啡厅的WLAN热点。

目前，来自Atheros Communications、Broadcom Corp.、Cisco Systems、Intel Corp.、Intersil和Symbol Technologies等公司的WPA芯片产品已经通过了Wi-Fi联盟的认证，而D-Link、Linksys、Netgear、SMC和3Com等公司也已推出了支持WPA的WLAN硬件产品。如果你正在使用原有的老WLAN设备也不要紧，多数情况下你可以到厂商的Web网站下载新的固件或升级驱动程序来获得对WPA的支持。

WPA是什么？

WPA包含了现有的802.1x认证机制（带有扩展认证协议）、临时密钥完整性协议（Temporal Key Integrity Protocol，TKIP）和消息完整性检查机制（MIC），这些技术的结合可以保证数据包的安全性。对于不同规模的网络，WPA的应用情况也将有所不同。大多数大型企业会使用他们现有的RADIUS服务器来对WLAN用户进行认证。

当采用WPA标准时，客户端无线网卡首先会与无线AP进行联络。在用户身份没有通过认证服务器的确认之前，AP将拒绝该客户端访问WLAN。如果用户身份正确，认证服务器就会生成一个唯一的128位主会话密钥并通过TKIP协议分发给用户和AP。该用户随后就可以加入WLAN，并且WPA会建立起一种密钥管理机制，该机制能够为每个传输的数据包自动生成不同的密钥。相对WEP标准而言，WPA的优势是显而易见的：它不仅提供了符合工业标准的认证和加密机制，而且还采用了动态的密钥分配方式。

对于中小企业和家庭用户来说，往往不太可能拥有RADIUS服务器，WPA可以提供预先共享的主会话密钥，也就是所谓的通行字。然后WPA会自动为每个数据包生成密钥并提供消息完整性检查机制来检查数据包在会话过程中是否被篡改。用户还可以得到更强壮的TKIP加密机制。

WPA的未来

WPA实际上只是加强WLAN安全性的第一步。在2004年初，IEEE将发布另一个安全标准，它将被命名为802.11i（也有人称之为WPA2），该标准将把用于联邦政府的AES（Advanced Encryption Standard）加密机制引入WPA。目前的WPA产品将向前兼容802.11i。不过，尽管目前的WPA标准尚未影响到WLAN的性能，未来的802.11i将有可能需要更高的处理能力。

WPA和802.11i的出现表明人们越来越关注WLAN的安全性。不管你在家里或者在公司使用WLAN，新的WPA标准都能给你带来更高的安全性和必要的保护。

安全提示

当心Modem被劫持

全世界的PC正面临着一种新的危险：某些看上去像是拨号软件的程序会悄悄地使用你的modem拨打长途电话，等到你收到数额庞大的话费帐单已经为时已晚。有些程序会在你浏览Web时进行操作，它们会断开你的拨号连接，然后通过拨打新的号码重新连接Internet。另一些拨号软件则会在你离开机器时进行操作，当它们觉察到系统较长时间处于空闲状态就会用你的modem拨打长途电话。

这种类型的欺诈行为通常被称为“Modem劫持”、“拨号软件劫持”或“Internet垃圾”，在过去的几个月中，这种黑客行为已经变得相当普及。

通常情况下，这种拨号软件是通过ActiveX脚本进入到你的系统中的。因此，最简单的防范措施就是确保你的Internet浏览器被设置成拒绝ActiveX代码或在运行ActiveX代码时对你进行警告。如果你对浏览器仍然不放心，可以使用SpywareInfo提供的拨号软件测试服务（www.spywareinfo.com/newsletter/archives/may-2003/20.php#alyon）来检查你的浏览器是否存在漏洞。

如果想得到更高级别的保护，你还可以购买一家名为stopITnow!的澳大利亚公司（www.stopitnow.com.au）推出的软件，该软件专门用于防止黑客劫持你的modem。这个软件的售价为24.95美元，它能够监视Windows拨号网络，确保你的电脑不会拨打未经允许的电话号码。如果想了解更多的情况，你还可以访问www.pcmag.com/article2/04149111090600.asp。