無線局域網安全不管是在企業還是家庭中我們都不能掉以輕心。很多朋友在公司使用網絡的時候都是很謹慎的，但是一回到家就放松了警惕。這就給不安的潛入因子提供了可乘之機……

正如許多人所共知的，通過無線方式連接至家庭網絡，再通過ISP連接到Internet確實是一種行之有效的方式。但是如何保護用戶以及在他們計算機上存儲的公司數據，就必須首先理解所存在的無線局域網安全風險。

把握安全風險

毋庸質疑，WLAN確實存在脆弱性，當這種脆弱性與威脅等級遭遇到敏感信息竊取事件后，將會為公司造成大量損失。且這一脆弱性完全是因為WLAN技術本身的原因而造成的。對此，很多人有過親身體驗，當驅車行駛于高速公路時，甚至可采集到多達8個WAP訪問點。但是WLAN技術所產生的威脅（或者威脅等級）則很難具體衡量，還須綜合考慮多種物理參數。

當將對公司網絡的威脅分析拓展至員工家庭網絡，同樣存在價值。因此，一旦攻擊者將目標鎖定于家庭網絡用戶，威脅等級將會攀升。至于如何估算因一次家庭網絡入侵而對公司（或個人）造成的損失？這需酌情而定。實際上，在屋內安裝了一臺家用WAP（Wireless Acess Point,以下簡稱WAP）后，就相當于從一臺交換機拉了一條5類網線到車道盡頭，為寬帶的高速公路增添了新的快車道。然而，別有用心之人卻可以跑到房子外面，插好網線，然后訪問用戶的家庭網絡。通過連接WAP，他們可以肆無忌彈，甚至可以嗅探到在WAP和每一個無線客戶端之間傳送的所有無線數據包。

重視策略、規程制定

針對家庭用戶，或許最好的無線局域網安全應用策略就是禁止使用。但即使知道可能存在著無線局域網安全風險，用戶出于使用需求，卻仍可能選擇忽略這條禁令。因此，切實可行的是制定一些切實可行的操作準則，便于遵守。

首先，應該使用WEP來進行身份驗證和保證完整性。支持128位或者更高位數加密的PC卡要貴一些，所以許多家庭用戶不會考慮購買它們。但是，假如用戶想把他們的工作用電腦連接到家庭無線局域網上，就應該在策略中規定必須購買此類高位加密產品。

接著，要求用戶使用一個隨機密鑰。許多WAP會根據一個密碼來生成一個密鑰。但是這在實現上存在的缺陷，使這個密鑰生成機制成為一個擺設。如果用戶采用這個方法，他們應該為密碼使用隨機字母和數字，并允許WAP生成密鑰。然后，它們可以將生成的加密密鑰人工輸入無線客戶端中。另外，必須每周改變一次密鑰。

用戶應該改變其WAP上的所有默認設置。默認密鑰必須更換，默認無線局域網安全設置必須修改（因為所有這些設備都默認禁用了WEP），默認的廣播頻道也必須更換，而且必須將SSID重命名為某個不常見的名字。

用戶應該更改WAP的默認IP地址以及默認的管理密碼。有的WAP使用一個外置的USB端口來進行管理，但許多產品都允許使用一個通過網絡連接的Web界面來進行管理。如果鄰居家的小孩啟動了他的無線網卡，并看到了您的WAP廣播（因為兩家使用的廣播頻道是一樣的），并看到您的SSID是“Linksys”，他就可能好奇地嘗試連接IP地址“192.168.1.251”，并使用密碼“admin”來登錄。每有廠商都有類似的默認設置，這正是為什么必須更改默認設置的原因。

運行WLAN的用戶將面臨比其他移動用戶更大的無線局域網安全風險。PC斷電和待機的時候，可以通過磁盤加密來保護PC上的數據。然而，如果數據在一個家庭網絡中傳輸，就需要對網絡或者計算機實行額外的保護。個人防火墻是必須使用的，而且要設置一個防火墻策略，不允許計算機之間的SMB服務。否則，就難以避免外部的計算機訪問。

最后，或許是最重要的一點：建立一個策略，要求家庭無線局域網用戶必須配置他們的WAP來進行過濾，只和固定MAC地址的設備進行通信。如果一個企業部署的計算機很多，這明顯是一個相當繁瑣的任務。但是，對于在家庭網絡上工作的人來說，要進行這個配置是非常容易的。

并不是每個員工都安裝了家庭無線局域網，也并不是每個人都有家庭網絡。但是，就像目前沒有家庭網絡的每個計算機用戶都有可能在某一天裝上家庭網絡一樣，目前有家庭網絡的每個人都有可能很快添加一個無線訪問點。用戶可以在某種程度上控制WLAN在辦公室中的使用。但是，企業信息主管經常開車至每個員工住宅附近檢查WAP的使用情況無法完全實現，所以必須提前制定好相關的策略和操作規程，盡可能減小員工現在或者將來在家庭無線局域網中使用工作電腦所帶來的無線局域網安全風險。在這種情況下，人們雖然是在家中工作，但也必須接受網絡的監管。