導言

　　隨著無線技術的廣泛應用，人們迫切需要安全機制保護網絡和數(shù)據(jù)完整性免遭惡意威脅。較之于有線的局域網(LAN)，通過無線傳播的WiFi數(shù)據(jù)，其數(shù)據(jù)控制與數(shù)據(jù)訪問限制更加困難。自WiFi問世以來，已經取得了迅猛進展。近年來針對現(xiàn)代無線網絡保護的新功能與新標準也接踵而至。一般而言，WiFi安全機制旨在實現(xiàn)以下功能：

　　?身份驗證——僅限授權用戶使用無線局域網(WLAN)。用戶通過身份認證后僅能連接至指定接入點。

　　?完整性——傳輸數(shù)據(jù)以原始形式到達一個終端設備;操縱數(shù)據(jù)應被識別并拒絕。

　　?機密性——未經授權方不能攔截網絡報文。

　　本文件概述了施耐德電氣WiFi設備的安全特性。欲了解基礎技術的更多信息，請參閱其他文件(詳細配置信息可參閱參考手冊)。建議客戶充分利用所有可用的安全機制保護無線網絡免受攻擊。

　　有線等效保密(WEP)64/128/152

　　WEP安全技術起源于WLAN加密標準。WEP的首要目標是保護數(shù)據(jù)免遭非法竊取。WEP有效利用長度不同的對稱密鑰。WEP64與WEP128加密技術確保市場上的任何標準客戶端適配器均可兼容。

　　接入點與路由器均支持加長密鑰的WEP152加密技術。不同WEP可提供基本水平的加密技術，保護網絡免遭未授權的嗅探。而WEP可輕而易舉地被專家破解，因此僅推薦家庭網絡使用WEP安全技術。

　　工業(yè)網絡應另當別論，采用更加先進的保密技術以保無虞。

　　注：有關WEP的更多信息，請參閱施耐德電氣文件“WPA與IEEE 802.11i”。

　　WPA&IEEE 802.11i

　　據(jù)證實，WEP數(shù)據(jù)加密不足以保護無線局域網絡免遭專業(yè)攻擊，而WPA與IEEE 802.11i屬于先進的加密技術，可提供可靠的無線網絡保護。

　　注：有關WPA與IEEE 802.11i的更多信息，請參閱施耐德電氣文件“WPA與IEEE 802.11i”。配置

　　加密的詳細說明請參閱設備手冊。

　　(1)WPA

　　WPA使用一種經改進的、基于軟件的加密方法來解決WEP中存在的技術漏洞。這種動態(tài)密鑰不再在未加密的狀態(tài)下進行傳輸，且WPA的密鑰長度為48比特，是WEP密鑰長度的兩倍。此外，WPA可定期修改加密密鑰，因此，即使沒有RADIUS服務器，也可使用真正的會話密鑰。WPA與IEEE 802.1x結合使用可為公司網絡提供認證選擇。

　　(2)IEEE 802.11i

　　硬件加速AES-CCK加密算法與IEEE802.11i認證方式結合使用時，可實現(xiàn)比WPA安全技術更高水平的加密方法，安全系數(shù)堪與虛擬專用網絡(VPN)相比擬。由于接入點和無線路由器均實現(xiàn)硬件加速，AES-CCK加密算法在性能上絲毫不受影響?？沙浞掷镁W絡的最大帶寬(比如：加速模式下高達108Mbps。)

　　(3)帶密碼口令的IEEE 802.11i

　　在一個小型網絡中，用IEEE 802.11i加密一個無線網絡連接的一個簡單方式就是為每個無線網絡設置一個“口令”，用于直接進入接入點和無線客戶端適配器。這一口令是每次連接至WLAN時加密密鑰的計算依據(jù)。理想情況下，口令應該盡可能長且復雜，僅供相關人員知曉使用，并定期修改?？诹罘峙渑c管理中的“人為”因素是其薄弱環(huán)節(jié)。

　　(4)支持點對點連接的IEEE 802.11i

　　IEEE 802.11i的推出使得點對點連接直接加密成為可能，不再需要來自虛擬專用網絡(VPN)的額外保護。施耐德電氣產品的硬件加速可執(zhí)行這一加密方式，且不影響性能。

　　基于WLAN的IPSec技術

　　在接入點使用虛擬專用網絡(VPN)網關時，基于IEEE 802.11i的WLAN安全認證的另一可行方案就是IPSec。IPSec能通過點對點連接提供保護，全面抵御網絡攻擊。配置向導與管理工具令IPSec這項復雜技術的掌握變得輕而易舉。

　　IEEE 802.1x

　　在大型網絡中，IEEE 802.1x協(xié)議與IEEE 802.11i相結合令每個WLAN連接都進行身份認證。認證時無需交換密鑰或口令。構建IEEE 802.11x架構需通曉高級網絡知識，CA服務器與IEEE 802.1x服務器的建立同樣如此。只有這樣，才能使面向大型公司網絡應用的IEEE 802.1x認證方式成為現(xiàn)實。

　　注：欲了解IEEE 802.1x更多信息，請參閱施耐德電氣文件“IEEE 802.1x”。

　　MAC過濾器列表——訪問控制列表(ACL)

　　進行身份認證的一個簡單但有效的方法是使用MAC地址過濾(MAC address filter)。授權客戶端適配器的MAC地址在接入點進入ACL，而接入點只允許授權用戶訪問WLAN。對于大型設備安裝，ACL可由一個RADIUS服務器集中管理。由于經驗豐富的黑客可輕而易舉地繞過ACL所設定的限制，因此不應該僅僅使用這種唯一的安全機制。ACL設定說明請參閱配置手冊。

　　閉環(huán)網絡

　　無線網絡的每個單元都需要一個網絡名稱來標識，即服務集標識(SSID)。設置了正確的SSI每個客戶端適配器只能連接到一個無線網絡。SSID出廠設置為“any”的多個無線網絡，SSID的不斷使用可降低潛在入侵者發(fā)現(xiàn)無線局域網(LAN)SSID的風險性。要求用戶知曉登陸WLAN的SSID的封閉的網絡特性可阻止這種潛在風險。有關封閉的網絡特性的設置介紹請參閱配置手冊。

　　SSID廣播

　　接入點通過傳輸SSID廣播無線網絡的存在。潛在入侵者能通過“掃描”周邊環(huán)境搜索到無線網絡，從而從這種公共廣播中“受益良多”?？梢越筍SID廣播以防止未經授權的用戶通過掃描周邊環(huán)境尋得可用網絡。WLAN網絡的名稱因此將不再出現(xiàn)在掃描軟件的結果列表中。而精密復雜的掃描工具仍然能夠發(fā)現(xiàn)SSID。由于這些掃描工具不是WLAN標準客戶端所有，被禁止的SSID廣播對WLAN網絡攻擊來說確實是一項額外障礙。使用IEEE 802.11a認證標準的無線網絡不能禁止SSID。

　　有關SSID廣播的禁止說明請參閱LCOS參考手冊。

　　公共點

　　公共熱點(Public Spot Option)允許在一個WLAN網絡內進行身份認證。與IEEE 802.1x不同，公共熱點無后續(xù)連接加密。因此，公共熱點適合監(jiān)測利用率、充電和監(jiān)控。即使在無需配備服務器的小型網絡中，公共熱點也可簡單應用。公共熱點可在RADIUS服務器和外部賬號軟件的組合中進行擴展。

　　LANCOM增強密碼口令安全性(LEPS)

　　LEPS創(chuàng)建了一個配置帶密碼口令的IEEE 802.11i的高效方法，可消除密碼口令分布中潛在的誤差來源。

　　LEPS使用ACL中的額外一列將一個4位到64位的ASCII密碼分配到每個MAC地址中。只有密碼與MAC地址匹配無誤，才可能連接到接入點和隨后的IEEE 802.11i加密認證或WPA。密碼口令與MAC地址二者組合可有效防止MAC地址欺騙，從而消除網絡攻擊能力。如果WPA或IEEE 802.11i用于加密，MAC地址可被攔截——但這種方式從不通過無線電波傳輸密碼口令。由于MAC地址和密碼口令的組合需要二者匹配后才能進入加密認證，因此這種組合方式逐漸加大了入侵者攻擊WLAN的難度。LEPS可在本地設備獨立使用，也可由RADIUS服務器集中管理。LEPS可不經過任何修改即與市場上所有的WLAN客戶端適配器相兼容。LEPS只需在接入點配置，確保與第三方產品具有高度兼容性。通過單獨的秘密口令LEPS還可用于單個的點對點連接。即使點對點連接裝置的接入點被竊，密碼與MAC地址泄露，尤其是ACL存儲到RADIUS服務器之時，獲得LEPS認證的所有其他的WLAN連接都安全無虞。

　　多個SSID

　　多個SSID設置可使多達8個邏輯WLAN網絡在一個物理WLAN網絡中運行——每個邏輯網絡由各自的SSID區(qū)分。這種方法允許一個單一的接入點支持多個WLAN網絡，每個WLAN網絡均有不同的安全設置。這意味著，單個接入點可同時支持一個完全開放的WLAN網絡和另一個受到IEEE 802.11i保護的網絡。

　　虛擬局域網(VLAN)

　　虛擬局域網(VLAN)為多個邏輯無線網絡“延伸”到一個有線網絡時依然啟用安全措施，其中涉及每個邏輯無線網絡到一個虛擬網絡的分配。來自一個安全無線網絡的數(shù)據(jù)流量可在正常的有線網絡中受到保護，免遭竊聽。

（轉載）