无线网络安全问题解决方案

　　随着网购的兴起，各家银行纷纷推出网上银行。但网上银行有很多弊端的存在，容易被非法分子盗用银行资金。更有统计，早在2003年，针对无线局域网的攻击已经占互联网攻击事件总数的23%，而04年6月就达到了03年综合。近年来，针对无线网络的攻击更为严重。发生这些事件的原因是由于无线安全技术还不周全，无线局域网在能够给网络用户带来便捷和实用的同时，也存在着一些缺陷，AP隔离等技术，防范能力较弱。

　　无线局域网拓扑结构概述：基于IEEE802.11标准的无线局域网允许在局域网络环境中使用未授权的2.4或5.3GHz射频波段进行无线连接。它们应用广泛，从家庭到企业再到Internet接入热点。随着网购的兴起，各家银行纷纷推出网上银行。但网上银行有很多弊端的存在，容易被非法分子盗用银行资金。更有统计，早在2003年，针对无线局域网的攻击已经占互联网攻击事件总数的23%，而04年6月就达到了03年综合。近年来，针对无线网络的攻击更为严重。发生这些事件的原因是由于无线安全技术还不周全，无线局域网在能够给网络用户带来便捷和实用的同时，也存在着一些缺陷，AP隔离等技术，防范能力较弱。

　　大多数这类无线局域网允许你在接入点之间漫游，因为它们配置在相同的以太子网和SSID中。从管理的角度看，每个接入点以及连接到它的接口都被分开管理。在更的支持多个虚拟SSID的操作中，VLAN通道被用来连接访问点到多个子网，但需要以太网连接具有可管理的交换端口。这种情况中的交换机需要进行配置，以在单一端口上支持多个VLAN。

　　现在，不仅对个人用户来说，无线上网成了流行趋势，对企业用户来说，无线局域网也大有取代有线网络的趋势，因为无线网络相比于有线网络来说有无可替代的优势。一是无线网络所提供的带宽越来越高；二是无线接入方面，成本更为低廉；三是无线网络在部署方面更为简洁，有线网络需要考虑布线等问题，而无线网络不受办公条件的限制，更加适合在企业中应用。另外，随着统一通信的流行，无线局域网可以把员工的无线终端纳入统一通信的管理之中，方便企业之间的通信，为企业带来极大方便。

　　但是，无线网络的安全问题不得不引起我们的重视。对无线网络来说，部署网络安全的困难不是在网络规划部署方面，而是如何去说服用户去进行客户端的配置。而对于801.11i来说，方式在配置方面较为复杂。如果说一个企业里有100个接入设备，那么用户想要使用这种方式，就必须在这100个设备上分别进行配置。承袭IEEE802系列，802.11规范了无线局域网络的介质存取控制 （Medium Access Control ； MAC）层及实体 （Physical ；PHY）层。此较特别的是由于实际无线传输的方式不同，IEEE802.11在统一的 MAC层下面规范了各种不同的实体层，以因应目前的情况及未来的技术发展。

　　消除无线通信中的干扰

　　由于无线网络利用的是空中的无线资源，不可避免会产生干扰。干扰包括影响正常的无线通讯工作的不需要的干扰信号。在企业用户的无线网络中，同一个AP的用户之间可能会产生干扰，同一个信道中的用户也可能产生干扰。通常，解决无线射频干扰的方法有降低物理数据率、降低受影响AP的发射功率以及改变AP信道分配三种方式。

　　目前市场上充斥着大量采用全向双极天线的AP，这些天线从各个方向发送和接收信号。由于这些天线总是不分环境，不分场合地发送和接收信号，一旦出现干扰，这些系统除了与干扰做斗争以外没有其它办法。而且随之而来的是，共享该AP的所有用户将会感受到无法忍受的性能下降。

　　另一种是降低AP的发射功率，从而更好地利用有限的信道数量。这样做可以减少共享一台AP的设备数量，以提高AP的性能。但是降低发射功率的同时也会降低客户端接收信号的强度，这就转变成了更低的数据率和更小范围的Wi-Fi覆盖，进而导致覆盖空洞的形成。而这些空洞必须通过增加更多的AP来填补。而增加更多AP，可以想象，它会制造更多的干扰。

　　大多数WLAN厂商希望用户相信，解决Wi-Fi干扰的方案是“改变信道”。就是当射频干扰增加时，AP会自动选择另一个“干净”的信道来使用。虽然改变信道是一种在特定频率上解决持续干扰的有效方法，但干扰更倾向于不断变化且时有时无。通过在有限的信道中跳转，引发的问题甚至比它解决的问题还要多。

　　这三种抗干扰方式都无法从根本上解决无线网络中的干扰问题。针对这些情况，新型Wi-Fi技术结合了动态波束形成技术和小型智能天线阵列，成为一种理想的解决方案。动态波束形成技术专注于Wi-Fi信号，只有在他们需要时，即干扰出现时才自动“引导”他们绕过周围的干扰。

　　Ruckus公司中国区技术总监宣文威认为，智能天线阵列会主动拒绝干扰。由于Wi-Fi只允许同一时刻服务一个用户，Wi-Fi是一种可以将个人电脑、手持设备（如PDA、手机）等终端以无线方式互相连接的技术。Wi-Fi是一个无线网路通信技术的品牌，由Wi-Fi联盟（Wi-Fi Alliance）所持有。目的是改善基于IEEE 802.11标准的无线网路产品之间的互通性。现时一般人会把Wi-Fi及IEEE 802.11混为一谈。因此，这些天线并非用于给某一个指定的客户端传输数据之用，而是用于所有客户端，这样才能忽略或拒绝那些通常会抑制Wi-Fi传输的干扰信号。尤其重要的一点是，Ruckus ZoneFlex系列产品易于配置和管理，在安全方面，为技术人员和用户都减轻了很多负担。经过这两所学校的使用证明，这种新的动态波束形成技术可以很有效地防止干扰问题。

　　Aruba公司亚太地区技术顾问Eric Wu在谈及干扰问题时介绍了一种将AP转换为AM（Air Monitor）的方式。比如说一个网络能够容纳80个AP，但是实际规划时，却有100个AP。由于AP太密集，AP之间或者同信道之间都会产生干扰。这时，一部分AP将转换为AM，AM会检测该信道的资源使用情况。在AM模式下，AP作为网络监测器工作，AM负责检测无线环境和有线环境。而AP和AM之间的转换，也不需要额外的其他设备参加，只需在无线控制器中进行。

　　身份和授权

　　无线网络黑客一个经典的攻击方式就是欺骗和非授权访问。黑客试图连接到网络上时，简单的通过让另外一个节点重新向AP提交身份验证请求就可以很容易的欺骗无线身份验证。还有一种威胁就是当访客身份的用户接入到网络中时，理应被授予访客的权限。但是由于传统的身份和授权功能是分别在两个设备上进行，两个设备缺乏有效地性的沟通，访客就有可能获得更高的权限而侵犯到该公司的机密信息。

　　传统上，针对用户非法接入的无线局域网安全技术有：无线网卡MAC地址过滤技术，服务区标识符（SSID）匹配，有线等效保密（WEP）等。但是这些技术都证明在无线网络中不能有效解决问题。

　　通过Ruckus开发的一种叫做动态预共享密钥（PSK）的新技术，可以消除安全访问无线网络时所需的加密密钥、口令或用户证书的繁琐、耗时的手动安装程序。动态PSK只需很少或者无需人工操作，就可以通过为每个用户动态生成强有力且的安全密钥，并将这些加密密钥自动安装到终端客户端设备上。

　　再以TRAPEZE公司为东莞假日酒店设计的无线解决方案为例，酒店中心存在两种类型的用户，一种是网络移动设备，二是酒店中的接入客户。TRAPEZE无线网络解决方案支持内置和外置的MAC地址数据库用于网路的设备，同时内置的静态WEP算法采用了防止“弱”初始化向量措施，使得对于此类网络的破解大为困难。

　　针对用户和用户权限不统一的情况，Eric Wu表示，由于传统的和授权功能是分别设在两个设备上，这样授权用户就有可能在两个设备缺乏沟通的情况下获得更高的权限，威胁到局域网的安全。针对这种问题，目前的和授权功能都是设在同一个设备上。用户身份一经，通过一个存取记号通知授权功能模块，用户的权限就被设定，不会出现用户身份和用户权限不统一的情况，有效保证了无线网络的安全。

　　无线入侵检测和保护

    现在网上有很多无线入侵工具可以，一些黑客可以利用这些工具对无线网络进行攻击，具有很大的杀伤力。另外一个问题就是因为用户购买的AP，在接入有线网络钟后，可能会自动创建一些“软”AP。这若是外部入侵者利用这些软AP实现恶意目的，企业将遭受巨大的损失。而且这种事情发生时，员工可能并不知道已经遭受攻击，无意之中促成了攻击。

　　前面一个建议的局限就是它只适用于基于网络的应用程序。但是一些邮件应用程序呢？譬如Outlook。这正是虚拟个人网络大展拳脚的地方。但是很多人根本就不使用虚拟个人网络。虚拟个人网络保证用户即使在外的话也相当于家庭或是办公网络中的一部分。这样，所有的商业应用程序，文件共享或是网络访问都由公司的网络来完成。市面上的选择很多，推荐Open个人虚拟网络。

　　针对这种情况，出现了一些尝试入侵软件。就是人为的将这些入侵软件带入企业局域网内部。但是这些入侵软件具有一些特定的功能，包括跟测、防御和定位功能。也就是说，这些入侵软件在接入局域网之后，可以跟踪入侵者的动态，并且进行防御，同时还可以定位入侵者的动作和位置。

　　另外，针对病毒入侵的情况，无线终端病毒防护的步是准入检查，当无线终端连接试图访问网络时，无线系统要求用户在之前一个小程序，不能通过检查的终端将被策略禁止访问网络，也可设置成将无线用户重定向到一台升级服务器，经过一系列程序之满足安全机制后，该无线终端才可以进入环节进行用户的。

　　宣文威认为，当无线终端通过了准入检查，但是如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护手段。 ZoneFlex系列产品简化了安全需要的配置，就可在整个系统范围支持非法接入点入侵检测，并能通过网络将这些接入点客户端设备列入黑名单。当多个接入点的位置十分接近时，Ruckus产品则可以自动控制每个接入点的功率和信道设置，从而确保的覆盖范围和连贯性。

　　它同样提供网络，射频和定位管理等功能，帮助用户轻松建立自主访问控制菜单以保障无线网络的安全。用户不仅可通过统一的强制网络门户和内部数据库来完成，还可转发至RADIUS、ActiveDirectory等现有的3A服务器来完成。一旦用户通过，客户端流量将勿须再通过ZoneDirector，从而使得用户即便是采用了802.11n或是其它新兴的更高速Wi-Fi技术也不会有潜在网络瓶颈问题。

　　此外，只需简单配置，ZoneDirector还可在整个系统范围支持非法接入点入侵检测，并能通过网络将这些接入点客户端设备列入黑名单。当多个接入点的位置十分接近时，Ruckus ZoneDirector则可以自动控制每个接入点的功率和信道设置，从而确保的覆盖范围和连贯性。

　　防止盗窃引起的安全威胁

　　无线网络中的AP不像有线网络中的路由器和交换机一样，是放在比较隐秘的机柜或者专门的机房里面。无线AP可能是在天花板上或者屋内的任何位置，方便用户接入。这也就带来了一定的安全威胁。而在瘦AP环境下，加密解密以及防火墙等安全措施可以通过一个单独的安全设备来实现，除了显而易见的成本降低之外，提升了AP的性能，还提升了安全性能与安全管理的方便性。在瘦AP环境下，用户访问网络的需求通过AP传递到AP之后的防火墙上，由防火墙进行统一的身份验证，并且赋予用户不同的权限，这种良好的身份以及其他的统一安全管理将有效的规避大量的安全问题。

　　Eric Wu在谈及此问题时表示：“传统的无线网络，接入网络的金钥是放在了AP中，一旦AP被人拿走，就可以破解得到这个金钥。这样他就可以接入该公司网络，窃取信息。所有与安全和其他控制信息有关的功能都放在了无线控制器（Controller）中。” 这样，即使AP丢失或遭盗窃，也不会担心会丢失信息。

　　良好的成本控制、便捷的网络管理以及可控可管理的安全特性，都让无线网络的发展前景无限宽广。而随着笔记本出货量超越台式机以及802.11n的全面普及，无线网络正在越来越广泛的存在于我们的身边。相比于家庭网络，企业网络拥有更多的终端，更复杂的网络管理，无线网络的控制措施将不在AP中实施，都放在无线控制器中进行，简化的AP更易于部署和管理。未来，无线网络的目标不是为了取代有线网络，而是和有线网络结合为用户带来的体验。

　　现在，不仅对个人用户来说，无线上网成了流行趋势，对企业用户来说，无线局域网也大有取代有线网络的趋势，因为无线网络相比于有线网络来说有无可替代的优势。一是无线网络所提供的带宽越来越高；二是无线接入方面，成本更为低廉；三是无线网络在部署方面更为简洁，有线网络需要考虑布线等问题，而无线网络不受办公条件的限制，更加适合在企业中应用。另外，随着统一通信的流行，无线局域网可以把员工的无线终端纳入统一通信的管理之中，方便企业之间的通信，为企业带来极大方便。

　　但是，无线网络的安全问题不得不引起我们的重视。对无线网络来说，部署网络安全的困难不是在网络规划部署方面，而是如何去说服用户去进行客户端的配置。而对于801.11i来说，方式在配置方面较为复杂。如果说一个企业里有100个接入设备，那么用户想要使用这种方式，就必须在这100个设备上分别进行配置。承袭IEEE802系列，802.11规范了无线局域网络的介质存取控制 （Medium Access Control ； MAC）层及实体 （Physical ；PHY）层。此较特别的是由于实际无线传输的方式不同，IEEE802.11在统一的 MAC层下面规范了各种不同的实体层，以因应目前的情况及未来的技术发展。

　　消除无线通信中的干扰

　　由于无线网络利用的是空中的无线资源，不可避免会产生干扰。干扰包括影响正常的无线通讯工作的不需要的干扰信号。在企业用户的无线网络中，同一个AP的用户之间可能会产生干扰，同一个信道中的用户也可能产生干扰。通常，解决无线射频干扰的方法有降低物理数据率、降低受影响AP的发射功率以及改变AP信道分配三种方式。

　　目前市场上充斥着大量采用全向双极天线的AP，这些天线从各个方向发送和接收信号。由于这些天线总是不分环境，不分场合地发送和接收信号，一旦出现干扰，这些系统除了与干扰做斗争以外没有其它办法。而且随之而来的是，共享该AP的所有用户将会感受到无法忍受的性能下降。

　　另一种是降低AP的发射功率，从而更好地利用有限的信道数量。这样做可以减少共享一台AP的设备数量，以提高AP的性能。但是降低发射功率的同时也会降低客户端接收信号的强度，这就转变成了更低的数据率和更小范围的Wi-Fi覆盖，进而导致覆盖空洞的形成。而这些空洞必须通过增加更多的AP来填补。而增加更多AP，可以想象，它会制造更多的干扰。

　　大多数WLAN厂商希望用户相信，解决Wi-Fi干扰的方案是“改变信道”。就是当射频干扰增加时，AP会自动选择另一个“干净”的信道来使用。虽然改变信道是一种在特定频率上解决持续干扰的有效方法，但干扰更倾向于不断变化且时有时无。通过在有限的信道中跳转，引发的问题甚至比它解决的问题还要多。

　　这三种抗干扰方式都无法从根本上解决无线网络中的干扰问题。针对这些情况，新型Wi-Fi技术结合了动态波束形成技术和小型智能天线阵列，成为一种理想的解决方案。动态波束形成技术专注于Wi-Fi信号，只有在他们需要时，即干扰出现时才自动“引导”他们绕过周围的干扰。

　　Ruckus公司中国区技术总监宣文威认为，智能天线阵列会主动拒绝干扰。由于Wi-Fi只允许同一时刻服务一个用户，Wi-Fi是一种可以将个人电脑、手持设备（如PDA、手机）等终端以无线方式互相连接的技术。Wi-Fi是一个无线网路通信技术的品牌，由Wi-Fi联盟（Wi-Fi Alliance）所持有。目的是改善基于IEEE 802.11标准的无线网路产品之间的互通性。现时一般人会把Wi-Fi及IEEE 802.11混为一谈。经过这两所学校的使用证明，这种新的动态波束形成技术可以很有效地防止干扰问题。

　　Aruba公司亚太地区技术顾问Eric Wu在谈及干扰问题时介绍了一种将AP转换为AM（Air Monitor）的方式。比如说一个网络能够容纳80个AP，但是实际规划时，却有100个AP。由于AP太密集，AP之间或者同信道之间都会产生干扰。这时，一部分AP将转换为AM，AM会检测该信道的资源使用情况。在AM模式下，AP作为网络监测器工作，AM负责检测无线环境和有线环境。而AP和AM之间的转换，也不需要额外的其他设备参加，只需在无线控制器中进行。

　　身份和授权

　　无线网络黑客一个经典的攻击方式就是欺骗和非授权访问。黑客试图连接到网络上时，简单的通过让另外一个节点重新向AP提交身份验证请求就可以很容易的欺骗无线身份验证。还有一种威胁就是当访客身份的用户接入到网络中时，理应被授予访客的权限。但是由于传统的身份和授权功能是分别在两个设备上进行，两个设备缺乏有效地性的沟通，访客就有可能获得更高的权限而侵犯到该公司的机密信息。这是由于用户和用户权限不统一带来的安全威胁。

　　传统上，针对用户非法接入的无线局域网安全技术有：无线网卡MAC地址过滤技术，服务区标识符（SSID）匹配，有线等效保密（WEP）等。但是这些技术都证明在无线网络中不能有效解决问题。

　　通过Ruckus开发的一种叫做动态预共享密钥（PSK）的新技术，可以消除安全访问无线网络时所需的加密密钥、口令或用户证书的繁琐、耗时的手动安装程序。动态PSK只需很少或者无需人工操作，就可以通过为每个用户动态生成强有力且的安全密钥，并将这些加密密钥自动安装到终端客户端设备上。

　　再以TRAPEZE公司为东莞假日酒店设计的无线解决方案为例，酒店中心存在两种类型的用户，一种是网络移动设备，二是酒店中的接入客户。TRAPEZE无线网络解决方案支持内置和外置的MAC地址数据库用于网路的设备，同时内置的静态WEP算法采用了防止“弱”初始化向量措施，使得对于此类网络的破解大为困难。

　　针对用户和用户权限不统一的情况，Eric Wu表示，由于传统的和授权功能是分别设在两个设备上，这样授权用户就有可能在两个设备缺乏沟通的情况下获得更高的权限，威胁到局域网的安全。针对这种问题，目前的和授权功能都是设在同一个设备上。用户身份一经，通过一个存取记号通知授权功能模块，用户的权限就被设定，不会出现用户身份和用户权限不统一的情况，有效保证了无线网络的安全。

　　无线入侵检测和保护

　　目前可以在互联网上到很多无线入侵和攻击的工具，这些工具对无线网络造成了很大的威胁，可以使AP无法征程工作，甚至可以突破无线网络的安全措施，非法盗取网络资源。另外一个问题就是因为用户购买的AP，在接入有线网络钟后，可能会自动创建一些“软”AP。这若是外部入侵者利用这些软AP实现恶意目的，企业将遭受巨大的损失。而且这种事情发生时，员工可能并不知道已经遭受攻击，无意之中促成了攻击。

　　前面一个建议的局限就是它只适用于基于网络的应用程序。但是一些邮件应用程序呢？譬如Outlook。这正是虚拟个人网络大展拳脚的地方。这样，所有的商业应用程序，文件共享或是网络访问都由公司的网络来完成。市面上的选择很多，推荐Open个人虚拟网络。

　　针对这种情况，出现了一些尝试入侵软件。就是人为的将这些入侵软件带入企业局域网内部。但是这些入侵软件具有一些特定的功能，包括跟测、防御和定位功能。也就是说，这些入侵软件在接入局域网之后，可以跟踪入侵者的动态，并且进行防御，同时还可以定位入侵者的动作和位置。

　　另外，针对病毒入侵的情况，无线终端病毒防护的步是准入检查，当无线终端连接试图访问网络时，无线系统要求用户在之前一个小程序，不能通过检查的终端将被策略禁止访问网络，也可设置成将无线用户重定向到一台升级服务器，经过一系列程序之满足安全机制后，该无线终端才可以进入环节进行用户的。

　　宣文威认为，当无线终端通过了准入检查，但是如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护手段。 ZoneFlex系列产品简化了安全需要的配置，就可在整个系统范围支持非法接入点入侵检测，并能通过网络将这些接入点客户端设备列入黑名单。当多个接入点的位置十分接近时，Ruckus产品则可以自动控制每个接入点的功率和信道设置，从而确保的覆盖范围和连贯性。

　　它同样提供网络，射频和定位管理等功能，帮助用户轻松建立自主访问控制菜单以保障无线网络的安全。用户不仅可通过统一的强制网络门户和内部数据库来完成，还可转发至RADIUS、ActiveDirectory等现有的3A服务器来完成。一旦用户通过，客户端流量将勿须再通过ZoneDirector，从而使得用户即便是采用了802.11n或是其它新兴的更高速Wi-Fi技术也不会有潜在网络瓶颈问题。

　　此外，只需简单配置，ZoneDirector还可在整个系统范围支持非法接入点入侵检测，并能通过网络将这些接入点客户端设备列入黑名单。当多个接入点的位置十分接近时，Ruckus ZoneDirector则可以自动控制每个接入点的功率和信道设置，从而确保的覆盖范围和连贯性。

　　防止盗窃引起的安全威胁

　　无线网络中的AP不像有线网络中的路由器和交换机一样，是放在比较隐秘的机柜或者专门的机房里面。无线AP可能是在天花板上或者屋内的任何位置，方便用户接入。这也就带来了一定的安全威胁。而在瘦AP环境下，加密解密以及防火墙等安全措施可以通过一个单独的安全设备来实现，除了显而易见的成本降低之外，提升了AP的性能，还提升了安全性能与安全管理的方便性。在瘦AP环境下，用户访问网络的需求通过AP传递到AP之后的防火墙上，由防火墙进行统一的身份验证，并且赋予用户不同的权限，这种良好的身份以及其他的统一安全管理将有效的规避大量的安全问题。

　　Eric Wu在谈及此问题时表示：“传统的无线网络，接入网络的金钥是放在了AP中，一旦AP被人拿走，就可以破解得到这个金钥。这样他就可以接入该公司网络，窃取信息。所有与安全和其他控制信息有关的功能都放在了无线控制器（Controller）中。” 这样，即使AP丢失或遭盗窃，也不会担心会丢失信息。

　　良好的成本控制、便捷的网络管理以及可控可管理的安全特性，都让无线网络的发展前景无限宽广。而随着笔记本出货量超越台式机以及802.11n的全面普及，无线网络正在越来越广泛的存在于我们的身边。相比于家庭网络，企业网络拥有更多的终端，更复杂的网络管理，无线网络的控制措施将不在AP中实施，都放在无线控制器中进行，简化的AP更易于部署和管理。未来，无线网络的目标不是为了取代有线网络，而是和有线网络结合为用户带来的体验。