无线局域网络安全解决方案

无线局域网络安全解决方案 
 

无线局域网（WLAN）技术的发展使人们摆脱了传统线缆的束缚，可以更方便、灵活、快捷地访问网络资源，这对于IT企业来说是新的赢利点和发展的契机。然而，若用户在没有采取适当安全措施的情况下使用无线局域网，入侵者就能够轻易地得到无线网络的访问口令，登录到服务器上并窃取信息、控制企业的Web站点，甚至中断整个企业网络的运行。因此，无线局域网络安全解决方案在无线局域网的建设和运行中显得格外重要。

为什么用户在有线网络领域的安全防范意识不能延伸到无线网络应用中呢？答案也许是用户对无线网络的安全性缺乏了解——人们可能会天真地以为网络信号不会跑到公司的围墙外面去，或者认为他人无法看见这些信息，就无法窃取信息。这种想法虽然可笑，但却是很普遍的。

事实上，便利的无线局域网同样不能忽视网络安全的重要性，用户需要为无线网络的安全做好充分的准备。

如上图所示，一套完整的、针对无线网络安全的解决方案需要能够利用标准及开放的架构去达到802.11b安全要求，提供最强大的安全存取和集中式的有效安全管理。由思科、微软以及一些其他组织所共同提交给IEEE委员会审核的一个无线局域网络安全解决方案正符合以上的要求。这个提案的主要核心元件如下：

Extensible Authentication Protocol（EAP），一个延伸的RADIUS认证服务器的使用界面，能允许无线网络用户端与RADIUS认证服务器直接沟通。

IEEE 802.1x，一个正在研究中的标准，用来控制连接端口。

当运用此套网络安全解决方案时，即使网络用户端已经连接到了无线基地，也不能立即存取网络上的资源，而是必须先完成网络上的登录动作。只有使用者正确地输入使用者名称及密码后，用户端与认证服务器（RADIUS或其他认证服务器）才会完成双向的认证动作，认证服务器与用户端便会共同取得一组此次登录所产生的专用WEP密钥，再利用此组密钥去完成当前的登录连接并获得网络存取的权限。这个过程中的所有敏感的资料，如密码等，均在保护环境下传输而不至被攻击或监控，此时的任何信息都是经过加密后在空中传送的。

除此之外，有些设备开发和制造商也提供其他形式的安全机制，例如思科公司在其生产的无线网络产品Aironet 350系列的无线基地及桥接器上，提供“公众网络封包安全转送（Publicly Secure Packet Forwarding，PSPF）”设定。PSPF避免用户通过用户端透过无线存取设备（无线基地或桥接器），去连接至同一无线存取设备的其他用户端并存取其中共享的档案资料。PSPF的设定一般只提供用户端连接/存取互联网络的需求，而不提供其他局域网络的服务功能。因此，通过PSPF的设定，无线网络的用户端就无法与连接至同一无线存取设备的其他用户端相互沟通。这个功能对机场或校园无线网络的安全性控制是非常实用的。

如果使用EAP及802.1x技术，就能够提供集中式的管理、标准的界面及开放的架构以符合802.11的安全标准要求。除此之外，EAP的架构也可以延伸到有线网络，这样用户仅使用一种安全架构便可以保障各种不同的存取方式。

目前要在Linux的环境下构建一个完整的802.1x环境还是相当容易的，比如在Radius Server端有Free Radius的套件可供使用；Access Point端可使用Open1x研究计划的成果；支持802.1x认证的用户者端也有Supplicant的套件能够应用。可以想像，在未来，当Wireless LAN的应用环境逐渐普及，安全问题必然会成为人们所重视的焦点。

目前EAP相关认证也正在逐渐涉及不同的领域，包括EAP-AKA、EAP-SIM等等。如果将来无线网络与目前手机通信的核心网络相结合，Linux作为其中的关键角色，会变得更具影响力。

背景资料

无线局域网络(WLAN)以前主要被应用于一些特殊的领域，如零售业、教育单位及医疗机构等。在这些场合，经常处在移动状态的工作者存取局域网络资源的时候，仅利用2Mbps或更小的带宽便可以完成资料的传输。虽然无线局域网络是有线网络的延伸，但是其特有的传输特征及较低的存取速度，使之在普通用户的使用及管理上依然有许多需要解决的问题。

为了让无线局域网络成为未来网络市场的主要应用模式之一，设备研发厂商必须发展并制订更高速的无线局域网络标准，并能达到不同生产厂商生产的产品间的互联，以降低建设成本，并提供符合目前用户应用的带宽需求。

由于便携式电脑设备（包括笔记本电脑和PDA等）的普及，这些设备的使用者要求随处都能够使用网络，但却不须“寻找”或“插拔”网络连接线。这样的需求导致了对无线局域网络需求的不断增加。

1999年，IEEE批准了现在的无线局域网络标准802.11的延伸规范，称为802.11b。它定义了无线局域网络产品的新标准，允许WLAN以类似以太网络的传送模式，达到11Mbps的资料传送速度。如此的传输带宽，让WLAN在企业及其他大型组织中的应用性大大增强。不同生产厂商间无线产品的互联，则由一个称为“无线以太网络相容性联盟(WECA)”的独立组织来进行认定，他们会在经测试后相容的产品上标注“Wi-Fi”的标志。

本文原载于计算机世界