部署無線LAN無疑會增加網(wǎng)絡(luò)的安全風(fēng)險，但由于部署無線網(wǎng)絡(luò)的成本低、容易部署，而且提高效率，因此，無線技術(shù)應(yīng)用的發(fā)展十分迅速。思科在SAFE的基礎(chǔ)上提供無線安全的策略和解決方案，以降低無線網(wǎng)絡(luò)的應(yīng)用所帶來的風(fēng)險。 
當(dāng)然，要實現(xiàn)絕對的安全是不可能的，但通過部署恰當(dāng)?shù)募夹g(shù)可以降低安全風(fēng)險。在各種設(shè)計方案中，需要利用SAFE中的多種模塊。

SAFE 無線技術(shù)是有線LAN的一種補充，因此它應(yīng)該盡可能遵循總體安全政策。一方面它必須提高無線網(wǎng)絡(luò)的安全性，另一方面盡可能保留傳統(tǒng)有線LAN的特性。最后，它還必須與基于SAFE安全體系結(jié)構(gòu)的現(xiàn)有網(wǎng)絡(luò)設(shè)計集成�？傊�，SAFE無線技術(shù)應(yīng)該盡可能地滿足網(wǎng)絡(luò)的功能要求。

一、無線LAN的安全環(huán)節(jié)

1.無線網(wǎng)絡(luò)成為攻擊目標(biāo)

無線網(wǎng)絡(luò)已成為當(dāng)今黑客最感興趣的目標(biāo)之一，單純的WLAN設(shè)備本身并不提供任何安全保護，從而使得黑客有機可尋。無線網(wǎng)絡(luò)是在空中傳輸數(shù)據(jù)的，通常傳輸范圍大于機構(gòu)的物理邊界，這使得傳統(tǒng)物理安全控制措施失去效力。

干擾無線通信也很容易，簡單的干擾發(fā)送器就能使通信陷于癱瘓。相同頻率的其它無線服務(wù)可以降低WLAN的安全性和可用帶寬。 例如，“藍牙”技術(shù)使用的頻率和WLAN相同，它的使用有可能嚴(yán)重干擾WLAN網(wǎng)絡(luò)。

2.普遍存在的問題

多數(shù)WLAN設(shè)備都使用直接排序擴展頻譜（DSSS）通信技術(shù)，但DSSS技術(shù)本身既不保密也沒有認(rèn)證功能。WLAN接入點可以按MAC地址識別每塊無線網(wǎng)卡，但它仍然存在一些問題。例如，在接受無線服務(wù)之前，某些WLAN要求對網(wǎng)卡進行登記，但這操作起來比較復(fù)雜。某些WLAN卡并不使用內(nèi)部MAC地址，而使用隨機選擇或特意假冒的地址，這也為黑客提供了便利。

3.特殊模式與基礎(chǔ)設(shè)施模式下的安全問題

多數(shù)WLAN都在“基礎(chǔ)設(shè)施”模式下操作，在這種模式下，所有無線客戶都通過AP相連。在部署WLAN技術(shù)時，用戶也可以形成獨立的對等網(wǎng)稱為特殊WLAN。在特殊WLAN模式下，掌上電腦或臺式計算機都配有WLAN適配器，而且不需要使用AP就可以共享文件。

特殊WLAN的安全問題比較大。許多無線網(wǎng)卡，包括PC制造商提供的無線網(wǎng)卡，一般都采用特殊模式。借助這些網(wǎng)卡，黑客可以立即與PC連接，并實現(xiàn)非法接入。

為了保證安全，WLAN設(shè)備至少要遵守以下規(guī)定：

· 接入點安全建議

﹣ 為管理接口提供用戶認(rèn)證。

﹣ 為簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）選擇特殊的公共字串，并經(jīng)常修改。

﹣ 如果管理基礎(chǔ)設(shè)施允許，應(yīng)配置為SNMP Read Only。

﹣ 關(guān)閉制造商提供的所有不安全、不必要的管理協(xié)議。

﹣ 只對專用有線子網(wǎng)提供流量管理。

﹣ 如果可能，對所有流量進行加密。

﹣ 如果可能，實施無線幀加密。

· 客戶機安全建議

﹣ 關(guān)閉特殊模式。

﹣ 如果可能，實施無線幀加密。

4.謹(jǐn)防欺詐AP

欺詐AP成為黑客盜竊網(wǎng)絡(luò)資源的重要手段，危險最大的是黑客在非法進入大廈之后將AP安裝到網(wǎng)絡(luò)中。由于AP體積較小，而且容易購買，便于黑客作案。要消除這種危險，可以從政策和防范這兩方面來考慮。從政策角度來看，思科建議在整體安全政策的基礎(chǔ)上制定完整的無線網(wǎng)絡(luò)政策，禁止非法AP連接到網(wǎng)絡(luò)中。例如IT部門應(yīng)該定期檢查辦公區(qū)，看有沒有欺詐性AP，這種檢查包括物理搜索和無線掃描。

從實施角度看，許多以太網(wǎng)交換機都能根據(jù)MAC地址限制對某些端口的訪問。這些控制可以識別與端口相連的第一個MAC地址，然后防止后續(xù)MAC地址連接。通過控制，還可以防止規(guī)定數(shù)量以上的MAC地址連接。這些特性都可以解決欺詐AP問題，但也會增加管理負(fù)擔(dān)。

【相關(guān)文章】

• 如何降低WLAN安全風(fēng)險(2)
  

• 你的WLAN安全嗎 保護WLAN中的數(shù)據(jù)
  

• 無線局域網(wǎng)的安全防護