目前的無線局域網(wǎng)技術(shù)發(fā)展非常迅速，這里我們主要介紹無線局域網(wǎng)技術(shù)發(fā)展不能只依靠WEP，包括介紹通過動態(tài)秘鑰管理實現(xiàn)更好的安全性等方面。當(dāng)企業(yè)使用無線局域網(wǎng)技術(shù)，卻沒有采取適當(dāng)?shù)陌踩胧r，即使一些初級黑客都有可能利用容易得到的廉價設(shè)備對企業(yè)網(wǎng)絡(luò)進(jìn)行攻擊。網(wǎng)絡(luò)安全性對任何公司來說都是一個潛在的大問題。一旦進(jìn)入了網(wǎng)絡(luò)，黑客便能夠得到企業(yè)網(wǎng)絡(luò)的訪問口令，登錄到服務(wù)器上竊取信息，控制企業(yè)的Web站點，甚至中斷整個企業(yè)網(wǎng)絡(luò)的運行。

為什么企業(yè)在物理建筑和有線網(wǎng)絡(luò)上的安全防范意識不能延伸到無線系統(tǒng)中呢？回答也許是企業(yè)對無線網(wǎng)絡(luò)的安全性缺乏了解--人們可能會天真的以為信號不會跑到公司的圍墻外面去，或者直覺認(rèn)為如果你無法看見信息，就無法竊取信息。無線網(wǎng)絡(luò)安全解決方案供應(yīng)商提供的最令人信服的看法是：無線局域網(wǎng)技術(shù)的便利優(yōu)勢不是靠犧牲網(wǎng)絡(luò)安全性得到的，這意味著企業(yè)需要為無線網(wǎng)絡(luò)的安全性做好充分的準(zhǔn)備。

不能只依靠WEP

無線網(wǎng)絡(luò)最基本的安全措施是WEP（Wired Equivalent Privacy）。WEP是所有經(jīng)過Wi-Fi認(rèn)證的無線局域網(wǎng)技術(shù)所支持的一項標(biāo)準(zhǔn)功能。由電子與電氣工程師協(xié)會（IEEE）制定的WEP是用來：(a) 提供基本的安全性保證，(b) 防止有意的竊聽， (c) 利用一套基于40位共享加密秘鑰的RC4加密算法對網(wǎng)絡(luò)中所有通過無線傳送的數(shù)據(jù)進(jìn)行加密，從而有效地保護(hù)網(wǎng)絡(luò)。

除了設(shè)計一套強(qiáng)大的安全解決方案，避免簡單錯誤的發(fā)生也是非常明智的。避免一些錯誤，如沒有開啟WEP、將訪問點設(shè)置在防火墻之內(nèi)、使用缺省的WEP 秘鑰、以及沒有定期變更加密秘鑰等，能夠提高無線網(wǎng)絡(luò)的安全性。從理論上講，WEP秘鑰就是一套共享密碼，其能夠使用戶對在無線網(wǎng)絡(luò)上傳送的加密數(shù)據(jù)進(jìn)行解密。實際上，黑客就是在公司樓宇外通過筆記本電腦獲取一串加密數(shù)據(jù)流，利用從互聯(lián)網(wǎng)上得到的專用軟件對其進(jìn)行解密，從而得到企業(yè)網(wǎng)絡(luò)的訪問秘鑰。黑客通過這種反解碼過程獲得秘鑰，并進(jìn)入公司的網(wǎng)絡(luò)。

加密秘鑰算法本身并不存在缺陷，只是秘鑰的管理不善導(dǎo)致了黑客的入侵。企業(yè)網(wǎng)絡(luò)系統(tǒng)管理員經(jīng)常會為整個公司分配一個秘鑰，一旦黑客獲得秘鑰，就能訪問公司所有的專有信息和網(wǎng)絡(luò)資源。管理員也許會賦予每一個用戶不同的秘鑰，但這些用戶卻可能從來不對其進(jìn)行變更。一旦黑客獲得了訪問權(quán)限，他們便可以一直進(jìn)行非法訪問，并共享企業(yè)的重要資源。管理嚴(yán)格的小型企業(yè)網(wǎng)絡(luò)可以使用方便的手動秘鑰管理。但是，隨著無線網(wǎng)絡(luò)用戶的增加，這種手動管理方式會變得非常煩雜，容易造成網(wǎng)絡(luò)系統(tǒng)管理人員的工作疏忽。

通過動態(tài)秘鑰管理實現(xiàn)更好的安全性

目前，消除WEP安全性方面缺陷的工作正在加緊進(jìn)行，不論是WECA還是IEEE任務(wù)組i（TGi）都在努力對WEP進(jìn)行改進(jìn)。相關(guān)的規(guī)范會在2002年年中發(fā)布，并有可能在2002年年底成為Wi-Fi認(rèn)證標(biāo)準(zhǔn)的一個組成部分。

在標(biāo)準(zhǔn)改進(jìn)工作正在進(jìn)行的同時，3Com公司也在積極的加強(qiáng)用戶大規(guī)模實施無線聯(lián)網(wǎng)技術(shù)的信心。特別是，3Com公司正在利用一種被稱為動態(tài)安全鏈路（DSL）的技術(shù)來滿足用戶在無線局域網(wǎng)技術(shù)管理和認(rèn)證等方面的需求。當(dāng)一臺3Com公司的接入點設(shè)備與3Com公司無線客戶端設(shè)備協(xié)同工作時，動態(tài)安全鏈路會自動生成一個新的128位加密秘鑰，其對每個網(wǎng)絡(luò)用戶和每次網(wǎng)絡(luò)會話來說都是唯一的。這一技術(shù)能夠比靜態(tài)共享秘鑰策略提供更高的網(wǎng)絡(luò)安全性，幫助用戶從手工的輸入工作中解脫出來。由于確保了每一個用戶擁有一個唯一、可以不斷變更的秘鑰，因此，即使黑客攻破加密防線并獲取了網(wǎng)絡(luò)的訪問權(quán)，所獲取的秘鑰也只能工作幾個小時，從而降低了企業(yè)因此需要承擔(dān)的潛在損失。

為進(jìn)一步提高安全性，動態(tài)安全鏈路技術(shù)還能夠支持用戶認(rèn)證，即要求所有的用戶在開始每一個會話之前提供用戶名和密碼。相對基于設(shè)備MAC地址的認(rèn)證策略，基于用戶的認(rèn)證功能可以為企業(yè)網(wǎng)絡(luò)實現(xiàn)較高級別的安全和管理能力。基于設(shè)備MAC地址的認(rèn)證策略會因為設(shè)備的丟失或失竊而失效，而且每當(dāng)類似事件發(fā)生時，都需要對保存在每一臺網(wǎng)絡(luò)接入點設(shè)備內(nèi)的MAC地址數(shù)據(jù)庫進(jìn)行變更。動態(tài)安全鏈路的另一個優(yōu)勢在于其自動和動態(tài)的秘鑰管理能力完全是由訪問點設(shè)備自身來實施，因此這套解決方案不需要增加任何服務(wù)器設(shè)備和其他基礎(chǔ)設(shè)備。這種安全性實施策略非常適用不需要大量資金就可實現(xiàn)無線局域網(wǎng)技術(shù)安全性的小型企業(yè)，同時對希望以非集中化方式來實現(xiàn)企業(yè)網(wǎng)絡(luò)安全性的企業(yè)來說也是理想的選擇。

大型網(wǎng)絡(luò)需要更高的安全性

大型無線局域網(wǎng)技術(shù)絡(luò)的安全性管理不僅需要可以自動變更秘鑰的DSL功能，還需要更多安全性功能，從而來滿足更多用戶和更復(fù)雜安全性的要求。設(shè)備的增多會需要更加強(qiáng)大的加密秘鑰管理技術(shù)、更加靈活的認(rèn)證機(jī)制、以及整個基礎(chǔ)網(wǎng)絡(luò)的集中用戶管理，所有這些無法全部存儲在一部無線局域網(wǎng)技術(shù)設(shè)備的有限內(nèi)存中。

盡管WEP和DSL解決方案中的安全性功能已經(jīng)本地化-- 即在無線局域網(wǎng)技術(shù)設(shè)備內(nèi)部進(jìn)行管理-- 但是一個能夠支持上千名用戶，具有最先進(jìn)加密和認(rèn)證技術(shù)的大型系統(tǒng)通常需要一套能夠進(jìn)行集中化管理的安全性解決方案。這些系統(tǒng)通過RADIUS (撥號用戶遠(yuǎn)程認(rèn)證服務(wù)) 進(jìn)行管理。RADIUS能夠?qū)κ跈?quán)訪問網(wǎng)絡(luò)資源的網(wǎng)絡(luò)用戶進(jìn)行集中化管理。