安全，运营商级WLAN应用要慎重

　　基于MAC地址过滤的接入控制：即AP只允许有合法MAC地址终端接入。这种方法的效率会随着终端数目的增加而降低；而且非法用户通过网络侦听（sniffer）就可获得合法的MAC地址表，而实际中的许多PCMCIA网卡和操作系统（如Windwos NT、Linux等）都可方便地更改网卡的MAC地址，因而非法用户完全可以盗用合法用户的MAC地址来非法接入。

    基于有线等价保密(WEP)的共享密钥认证：这是WLAN标准 802.11中提出的认证加密方法。由于其使用固定的加密密钥和过短的初始向量，加上无线局域网的通信速度非常高，该方法已被证实存在严重的安全漏洞，在15分钟内就可被攻破。现已有专门的自由攻击软件airsnort。而且这些安全漏洞和WEP对加密算法的使用机制有关，即使增加密钥长度也不可能增加安全性。

    利用RADIUS服务器提供PAP、CHAP等认证，这些基于口令的认证方式无法有效抵抗字典式攻击。

    基于端口的网络访问控制协议802.1x，这被许多公司认为是当前较安全的解决方案。但802.1x并非专为WLAN设计，没有充分考虑WLAN的特点。首先，它只提供了端口的单向认证机制，只有认证者（authenticator，相当于AP）对申请者（supplicant, 相当于终端）的认证，这在有线环境下不成问题，但在WLAN中会招致中间人（man-in-middle）攻击；另外，802.11的认证、登录状态和802.1X间的认证状态不同步，会话可被很简单地截获。

    总之，上述几种方法都存在安全隐患。其中基于MAC地址过滤和共享密钥认证还存在不支持漫游、维护费用较高等问题，如共享密钥认证方法一旦一个用户的密钥丢失，就必须修改网络内所有用户的密钥，在大用户数的情况下其管理难度和费用都不可想象。MAC地址过滤方法也存在同样的问题，在用户和WLAN基站数量很大时，在每个基站上设置MAC 访问列表其工作量是不可想象的，而且会使漫游性能受到影响。

    仅仅依靠接入控制也并不能完全解决安全问题。在WLAN 中，非法用户等待合法用户认证成功后，利用拒绝服务攻击使合法用户下线，再伪装合法用户的身份接入WLAN也是常用的攻击方法。而无线的特点也使用户的信息很容易被截获，不能保护用户的隐私权。因此，合理地选择数据加密方法也是不可忽视地问题。

    由于WLAN标准IEEE802.11中存在安全漏洞，许多厂商都各自开发其安全解决方案，因此，尽管众多厂商都宣称其产品通过了WI-FI的兼容性检测，但加上安全模块后，各厂商的产品许多情况下是不能互通的。运营商在进行产品采购时应引起足够的重视。还有一些设备供应商不能提供完全的WLAN安全解决方案，如其提供了支持802.1x的WLAN基站，而事实上目前只有WindowsXP终端支持此种协议，Windows98/me/nt/2000等并未集成此协议模块，客户实际使用时会存在一些问题。

    总之，对于运营商级WLAN的安全问题不容忽视，广泛普及应慎重安全！

 《《《  上一页