【正文】 只是今后大家就難得再聚在一起吃頓飯了吧，沒關(guān)系，各奔前程，大家珍重。四年了，仿佛就在昨天。您開朗的個性和寬容的態(tài)度，給我留下了很深的印象。[10](美)Jim Metzler，Lynn DeNoia著，盧澤新，周榕等譯．第 三層交換[M]．北京：機(jī)械工業(yè)出版社．2006．[11]郎為民．下一代網(wǎng)絡(luò)技術(shù)原理與應(yīng)用，北京：機(jī)械工業(yè)出版社，2006[12]christia。要保證WLAN的安全，需要從加密技術(shù)和密鑰管理技術(shù)兩方面來提供保障，使用加密技術(shù)可以保證WLAN傳輸信息的機(jī)密性，并能實現(xiàn)對無線網(wǎng)絡(luò)的訪問控制，密鑰管理技術(shù)為加密技術(shù)服務(wù)，保證密鑰生成、分發(fā)以及使用過程中不會被非法竊取，另外靈活的、基于協(xié)商的密鑰管理技術(shù)為WLAN的維護(hù)工作提供了便利。總 結(jié)無線局域網(wǎng)的便捷性和低成本等特點，更由于網(wǎng)路互聯(lián)的可移動性，使得應(yīng)用越來越來廣泛，是計算機(jī)有線網(wǎng)絡(luò)必不可少的補充，也是未來網(wǎng)絡(luò)互聯(lián)的方向，已經(jīng)成為一種比較成熟的技術(shù)。WLAN 實施是危險的，網(wǎng)絡(luò)技術(shù)人員應(yīng)該公布關(guān)于無線網(wǎng)絡(luò)安全的服務(wù)等級協(xié)議或政策，還應(yīng)指定政策負(fù)責(zé)人，積極定期檢查各級組織網(wǎng)絡(luò)上的欺騙性或未知接入點。重要的是幫助員工了解不采取安全保護(hù)的危險性，特別需要向用戶演示如何檢查其電腦上的安全機(jī)制，并按需要激活這些機(jī)制，這樣可以更輕松地管理和控制網(wǎng)絡(luò)。采用的安全措施越多，其網(wǎng)絡(luò)相對就越安全，數(shù)據(jù)安全才能得到保障。 為了保障無線局域網(wǎng)的安全，除了通過技術(shù)手段進(jìn)行保障之外，制定完善的管理和使用制度也是很有必要的。無線網(wǎng)絡(luò)安全不是單獨的網(wǎng)絡(luò)架構(gòu)，它需要各種不同的程序和協(xié)議配合。其次，由于很多無線設(shè)備是放置在室外的，因此需要做好防盜、防風(fēng)、防雨、防雷等措施，保障這些無線設(shè)備的物理安全。例如，將天線遠(yuǎn)離窗戶附近，因為玻璃無法阻擋信號。所以，首先,應(yīng)注意合理放置AP的天線。訪問控制可以基于下列屬性進(jìn)行：源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、協(xié)議類型、用戶ID、用戶時長等。用戶通過認(rèn)證，只是完成了接入無線局域網(wǎng)的第一步，還要獲得授權(quán)，才能開始訪問權(quán)限范圍內(nèi)的網(wǎng)絡(luò)資源，授權(quán)主要是通過訪問控制機(jī)制來實現(xiàn)。由于具備這些功能，WEP中的缺點得以解決。由于加強了生成加密密鑰的算法，因此即便收集到分組信息并對其進(jìn)行解析，也幾乎無法計算出通用密鑰。它還增加了消息完整性檢查功能來防止數(shù)據(jù)包偽造。 WiFi保護(hù)接入(WPA)，用來改進(jìn)WEP所使用密鑰的安全性的協(xié)議和算法。由于它的密鑰固定，初始向量僅為24位，算法強度并不算高，于是有了安全漏洞。WEP使用40位鑰匙，采用RSA開發(fā)的RC4對稱加密算法，在鏈路層加密數(shù)據(jù)。 數(shù)據(jù)加密在無線局域網(wǎng)中可以使用數(shù)據(jù)加密技術(shù)和數(shù)據(jù)訪問控制保障數(shù)據(jù)傳輸?shù)陌踩?。它是通過一種順序分析，找出那些偽裝WAP的無線上網(wǎng)用戶，無線入侵檢測系統(tǒng)可通過提供商來購買，為了發(fā)揮無線入侵檢測系統(tǒng)的優(yōu)良性能，他們同時還提供無線入侵檢測系統(tǒng)的解決方案。通過使用強有力的策略，會使無線局域網(wǎng)更安全。如今入侵檢測系統(tǒng)已用于無線局域網(wǎng)來監(jiān)視分析用戶的活動，判斷入侵事件的類型，檢測非法的網(wǎng)絡(luò)行為，對異常的網(wǎng)絡(luò)流量進(jìn)行報警。 無線入侵檢測系統(tǒng)無線入侵檢測系統(tǒng)同傳統(tǒng)的入侵檢測系統(tǒng)類似，但無線入侵檢測系統(tǒng)增加了無線局域網(wǎng)的檢測和對破壞系統(tǒng)反應(yīng)的特性。 ，然而。 　　RADIUS（遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)）是IETF提供認(rèn)證業(yè)務(wù)的一個標(biāo)準(zhǔn)方法。 在無線局域網(wǎng)的未來發(fā)展中，安全問題仍然將是一個最重要的、迫切需要解決的問題。 ● 實時監(jiān)測進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，對網(wǎng)絡(luò)異常行為發(fā)出報警。與WEP機(jī)制和MAC地址過濾接入不同，VPN方案具有較強的擴(kuò)充、升級性能，可應(yīng)用于大規(guī)模的無線網(wǎng)絡(luò)。AP可以被定義成無WEP機(jī)制的開放式接入(各AP仍應(yīng)定義成采用SSID機(jī)制把無線網(wǎng)絡(luò)分割成多個無線服務(wù)子網(wǎng))，但是無線接入網(wǎng)絡(luò)WLAN (AP和VPN服務(wù)器之問的線路)從局域網(wǎng)已經(jīng)被VPN服務(wù)器和內(nèi)部網(wǎng)絡(luò)隔離出來。各種隧道協(xié)議，包括點對點的隧道協(xié)議和第二層隧道協(xié)議都可以與標(biāo)準(zhǔn)的、集中的認(rèn)證協(xié)議一起使用。VPN方案已經(jīng)廣泛應(yīng)用于Internet遠(yuǎn)程用戶的安全接入。 在大型無線網(wǎng)絡(luò)中維護(hù)工作站和AP的WEP加密密鑰、AP的MAC地址列表都是非常艱巨的管理任務(wù)，對于高安全要求或大型的無線網(wǎng)絡(luò)，VPN方案是一個更好的選擇。 ● 加密確保即使攻擊者攔截竊聽到傳輸信號，沒有充足的時間和精力他也不能將這些信息解密。VPN技術(shù)提供了三級安全保障：用戶認(rèn)證、加密和數(shù)據(jù)認(rèn)證。 　　● 移動管理器可以控制接入點的配置，這樣可以防止入侵者通過改變接入點配置而連接到網(wǎng)絡(luò)上。目前，移動管理器有以下三個優(yōu)點： 　　● 移動管理器可以提高無線網(wǎng)絡(luò)的清晰度，如果網(wǎng)絡(luò)出現(xiàn)問題，它能產(chǎn)生告警信號通知網(wǎng)絡(luò)管理員，使其能迅速確定受到攻擊的接入點的位置。6 目前無線局域網(wǎng)的安全解決辦法 　　針對無線局域網(wǎng)出現(xiàn)的這些漏洞，許多公司紛紛開始進(jìn)行補救工作，并且，有些已經(jīng)開發(fā)了一些產(chǎn)品，有些提出了一些解決方案。這些拒絕服務(wù)可能來自工作區(qū)域之外。 拒絕服務(wù)（DOS）攻擊 在無線網(wǎng)絡(luò)里也很容易發(fā)生拒絕服務(wù)（DOS）攻擊，如果非法業(yè)務(wù)流覆蓋了所有的頻段，合法業(yè)務(wù)流就不能到達(dá)用戶或接入點，這樣，如果有適當(dāng)?shù)脑O(shè)備和工具的話，（flooding），破壞信號特性，直至導(dǎo)致無線網(wǎng)絡(luò)完全停止工作。 廣播監(jiān)聽 　　如果接入點與HUB相連，而不是與交換機(jī)相連，那么任意通過HUB的網(wǎng)絡(luò)業(yè)務(wù)流將會在整個的無線網(wǎng)絡(luò)里廣播。很可能經(jīng)過一段時間以后，通過使用上述技術(shù)，攻擊者能夠建立一個初始化變量與密鑰流的對照表。一旦知道了某個包的明文，它能夠計算出由所使用的初始化變量產(chǎn)生的RC4密鑰流。如果包的TCP頭被猜出來的話，那么甚至有可能將包的目的端口號改為80，如果這樣的話，它就可以暢通無阻的越過大多數(shù)的防火墻。 面向收發(fā)兩端的主動攻擊 　　在這種情況下，攻擊者可以不猜測消息的具體內(nèi)容而是只猜測包頭，尤其是目的IP地址，它是最有必要的，這個信息通常很容易獲得。這樣就將非法的業(yè)務(wù)流注入到網(wǎng)絡(luò)中，從而增加了網(wǎng)絡(luò)的負(fù)荷。 主動攻擊——注入業(yè)務(wù)流 　　假如一個攻擊者知道一條加密消息確切的明文，那么他可以利用這些來構(gòu)建正確的加密包。只要將兩個具有相同初始化變量的包進(jìn)行異或相加，攻擊者就可以得到兩條消息明文的異或值，而這個結(jié)果可以用來推斷這兩條消息的具體內(nèi)容。下面主要介紹一下常見的幾個攻擊類型。每個用戶使用各自單獨的密鑰可以減少密碼攻擊的可能性，但是實施一個合理的密鑰周期仍然是一個問題，因為密鑰只能手動改變。這個方法規(guī)定每個唯一的MAC地址都有1個單獨的密鑰。然而，在傳輸數(shù)據(jù)時，只能手動輸入1個密鑰——默認(rèn)密鑰。 密鑰管理 ，其實并沒有實現(xiàn)嚴(yán)格意義上的密鑰管理，只有少數(shù)開發(fā)商在他們的高端產(chǎn)品中實現(xiàn)了某一形式的密鑰管理或密鑰協(xié)議，所有開發(fā)商都沒有提供足夠的信息來確定產(chǎn)品所保證的安全等級。每一個接入點都可以用所列出的MAC地址來限制網(wǎng)絡(luò)中的用戶數(shù)。實質(zhì)上，網(wǎng)絡(luò)名稱在這里則充當(dāng)了一個共享密鑰的角色。運用這個機(jī)制，網(wǎng)