昨天，小綿羊家里的寬帶斷了，上不了網(wǎng)，心急如焚。于是就打起了壞主意：偷用別人的無線網(wǎng)絡(luò)！

　　把網(wǎng)卡天線拉到窗臺上，一搜，果然不出所料，四周有不少的SSID，而且大部分是沒有加密的：

各種各樣名稱的SSID，品牌也不同，唯一的共同點就是沒加密

　　哈哈，照這情況，小綿羊的寬帶費用都可以省了。空閑之時，打開網(wǎng)上鄰居，看看別人的網(wǎng)絡(luò)上有什么內(nèi)容：

　　呵呵，還挺多的，看來是個小型公司的網(wǎng)絡(luò)啊。

還分了兩個工作組呢

　　再試試進(jìn)入某臺機器：

　　暈，企業(yè)網(wǎng)絡(luò)就這樣被我“入侵”了！“商業(yè)秘密”一覽無余。

　　看到此，大家發(fā)覺一個無加密的無線網(wǎng)絡(luò)是多么的危險了吧？小綿羊幾乎是如入無人之境（當(dāng)然，俺是沒有惡意的）。

　　不只是小綿羊入侵別人的網(wǎng)絡(luò)，今天，自己開上無線路由器，沒加密，立即有不速之客闖了進(jìn)來：

圖中的“gddsgsb-d410”即是“不速之客”

　　所以小綿羊在這里鄭重敬告大家：必須為您的無線網(wǎng)絡(luò)加密，非凡是企業(yè)級用戶！

普通的加密可以應(yīng)付基本的安全要求

無線路由器本身的登錄也必須加密

　　這只是基本的防護(hù)，下面小綿羊收集了一些具體的加密手段供大家參考下：

兩大基本安全防護(hù)手段

　　 在這個道高一尺，魔高一丈的環(huán)境里，怎樣保衛(wèi)這些數(shù)據(jù)的安全？致力于無線局域網(wǎng)ＷＬＡＮ發(fā)展的各廠家及國際Wi-Fi聯(lián)盟都紛紛提出新的方法來加固無線局域網(wǎng)，以使其廣泛應(yīng)用。2004年6月24日，IEEE通過了802.11i基于SIM卡認(rèn)證和AES加密的方法為無線局域網(wǎng)提供了安全保障，使得無線局域網(wǎng)擁有了更為廣闊的應(yīng)用空間。

　　 安全性主要包括訪問控制和加密兩大部分。訪問控制保證只有授權(quán)用戶能訪問敏感數(shù)據(jù)，加密保證只有正確的接收者才能理解數(shù)據(jù)。目前使用最廣泛的802.11b/g標(biāo)準(zhǔn)提供了兩種手段來保證WLAN的安全—— SSID服務(wù)配置標(biāo)示符和WEP無線加密協(xié)議。SSID提供低級別的訪問控制，WEP是可選的加密方案，它使用RC4加密算法，一方面用于防止沒有正確的WEP密鑰的非法用戶接入網(wǎng)絡(luò)，另一方面只答應(yīng)具有正確的WEP密鑰的用戶對數(shù)據(jù)進(jìn)行加密和解密，包括軟件手段和硬件手段。

　　 另外，802.11b/g標(biāo)準(zhǔn)定義了兩種身份驗證的方法：開放和共享密鑰。在缺省的開放式方法中，用戶即使沒有提供正確的WEP密鑰也能接入訪問點，共享式方法則需要用戶提供正確的WEP密鑰才能通過身份驗證。

針對不同用戶的三種安全措施

　　 很顯然，基本的安全手段只能提供基本的安全性。對于不同的用戶，有必要為他們提供不同級別的安全手段。Avaya公司的技術(shù)顧問劉海艦指出，Avaya公司為其WLAN設(shè)備提供了3種級別的安全措施。第一種是鏈路層的安全，也就是標(biāo)準(zhǔn)的WEP加密。第二種則是用戶身份驗證層次的安全，代表性做法是利用802.1x。第三種是利用VPN手段。劉海艦認(rèn)為，這三種級別的安全手段，適用于不同要求的用戶，VPN方法是最安全的。不過，在實際應(yīng)用中，目前用得最多的還是WEP方式。

WEP 的缺陷和解決之道

　　 WEP加密是存在固有的缺陷的。由于它的密鑰固定，初始向量僅為24位，算法強度并不算高，于是有了安全漏洞。 AT&T的研究員最先發(fā)布了WEP的解密程序，此后人們開始對WEP質(zhì)疑，并進(jìn)一步地研究其漏洞。現(xiàn)在，市面上已經(jīng)出現(xiàn)了專門的破解WEP加密的程序，其代表是WEPCrack和AirSnort。

　　 英特爾公司通訊事業(yè)部趙偉明指出，WEP加密方式本身無問題，問題出在密鑰的傳遞過程中——密鑰本身輕易被截獲。為了解決這個問題，WPA作為目前事實上的行業(yè)標(biāo)準(zhǔn)，改變了密鑰的傳遞方式。IEEE802.11TGi任務(wù)組已經(jīng)制訂了臨時密鑰完整性協(xié)議TKip，TKIP像WEP一樣基于RC4加密，但它提供了快速更新密鑰的功能。WPA利用TKIP協(xié)議傳遞密鑰，它在密鑰治理上采用了類似于RSA的公鑰、私鑰方式。利用TKIP，以及各個廠商計劃推出TKIP固件補丁，用戶在WLAN硬件上的投資將得到保護(hù)。

　　 思科公司的具體做法是：RADIUS服務(wù)器與客戶機進(jìn)行雙向的身份驗證，驗證完成后，RADIUS服務(wù)器與客戶機確定一個WEP密鑰（這意味著，這個密鑰不是與客戶機本身物理相關(guān)的靜態(tài)密鑰，而是由身份驗證動態(tài)產(chǎn)生的密鑰）。此后，RAIDUS服務(wù)器通過有線網(wǎng)發(fā)送會話密鑰到AP，AP利用會話密鑰對廣播密鑰加密，把加密后的密鑰送到客戶機，客戶機利用會話密鑰解密。然后，客戶機與AP激活WEP，利用密鑰進(jìn)行通信。Avaya的做法稱作WEP Plus，它的機理是針對初始向量的缺點，以隨機方式生成初始向量，使得上述的WEPCrack和AirSnort程序無法破解WEP密鑰。

綜合預(yù)防五大建議

　　 一、許多安全問題都是由于無線訪問點沒有處在一個封閉的環(huán)境中造成的。所以，首先就應(yīng)注重合理放置訪問點的天線。以便能夠限制信號在覆蓋區(qū)以外的傳輸距離。別將天線放在窗戶四周，因為玻璃無法阻擋信號。你最好將天線放在需要覆蓋的區(qū)域的中心，盡量減少信號泄露到墻外。

　　 二、將信號天線問題處理好之后，再將其加一層“保護(hù)膜”，即一定要采用無線加密協(xié)議（WEP）。

　　 三、建議禁用KHCP和SNMP設(shè)置。從禁用DHCP對無線網(wǎng)絡(luò)而言，這很有意義。

　　 假如采取這項措施，黑客不得不破譯你的IP地址、子網(wǎng)掩碼及其它所需的TCP/IP參數(shù)（無疑也就增加了難度）。無論黑客怎樣利用你的訪問點，他仍需要弄清楚IP地址。而關(guān)于SNMP設(shè)置，要么禁用，要么改變公開及專用的共用字符串。假如不采取這項措施，黑客就能利用SNMP獲得有關(guān)你方網(wǎng)絡(luò)的重要信息。

　　 四、使用訪問列表（也稱之為訪問控制列表）。為了進(jìn)一步保護(hù)你的無線網(wǎng)絡(luò)，建議選用此項特性，但請注重，并不是所有的無線訪問點都支持。

　　 因為此項特性可以具體地指定答應(yīng)哪些機器連接到訪問點。支持這項特性的訪問點有時會使用普通文件傳輸協(xié)議TFTP，定期下載更新的列表，非常有用。

　　 五、綜合使用無線和有線策略。無線網(wǎng)絡(luò)安全不是單獨的網(wǎng)絡(luò)架構(gòu)，它需要各種不同的程序和協(xié)議配合。制定結(jié)合有線和無線網(wǎng)絡(luò)安全的策略能夠最大限度提高安全水平。