WLAN和WiFi網絡的現代安全機制

　　由於WEP無法提供足夠的安全性，因此虛擬專用網絡被廣泛用於保護無線網絡。在這種情況下，OSI鏈路層被認為是不安全的，整個無線網絡等同於Internet，只有通過基於PPTP的VPN，隧道IPSec或L2TP + IPSec VPN保護的信道才能訪問企業網絡。但是，使用VPN對無線網絡的使用施加了許多限制。透明度消失，要與網絡一起使用，您需要激活無線連接。因此，由於虛擬專用網絡的組織的協議的服務業務，因此額外利用了無線信道的相當小的帶寬。

　　802.11標准系列的現代安全子系統由兩個規范表示：WPA和802.11i。它們中的第一個，例如WEP，使用RC4算法來保護流量，但具有動態生成的加密密鑰。支持802.11i的設備使用AES作為加密算法。802.11i和WPA兩種協議都可以使用靜態分布式密鑰和802.1X技術對設備進行身份驗證。

　　802.1X技術用於即使沒有物理連接也可以在訪問以太網技術的數據鏈路層之前對客戶端進行身份驗證。對於身份驗證，使用EAP協議及其變體(PEAP，EAP-TTLS，LEAP)。身份驗證服務器可以是對RADIUS協議實施必要擴展的服務器。802.1X的一個重要優點是它可以在有線和無線網絡中使用。即 該公司可以為WiFi實施802.1X，然後，隨著活動網絡設備的更新，使用相同的基礎結構來認證有線客戶端。通常，用於保護無線網絡的建議包括要求禁用網絡標識符的廣播(SSID廣播，訪客模式等)。

　　這可能會使未經授權的攻擊者難以檢測到無線網絡，但也會使客戶端設備的配置複雜化(尤其是如果訪問點在邊界信道上工作)。

　　另一種經常使用的訪問機制-MAC地址授權僅作為一種附加保護機制，而不能用作主要保護機制，因為它很容易被攻擊者繞開,防止数据泄漏(data leakage prevention)。

　　選擇無線WLAN和WiFi安全技術

　　無線網絡可以分為家庭(SOHO)，公共和企業。在每種情況下，確保安全性的不同方法都是有意義的，因為每種類型的網絡的威脅模型都不同。

　　SOHO網絡使用VPN構建技術(例如，PPTP，其服務器內置在許多無線路由器或IPSec-PSK中)和WPA-PSK(即，使用共享密鑰進行身份驗證)。但是，在選擇WPA-PSK作為安全協議時，請記住，任何基於密碼的身份驗證協議都容易受到來自被攔截會話的密碼恢複攻擊的攻擊。因此，為了保護無線網絡，您應該選擇足夠的密碼以防選擇(根據許多建議，至少由20個字符組成)。

　　為了保護公司網絡，最受歡迎的是基於802.1X技術或虛擬專用網絡構建工具的解決方案。一種和另一種技術都使得可以使用公司網絡上已經可用的組件，例如公鑰基礎結構，RADIUS服務器，VPN網關，以防止流量攔截和對無線網絡的未授權連接。VPN的優勢在於能夠使用現有設備，軟件產品以及從傳統虛擬專用網絡的運營中獲得的經驗。實施802.1X的另一個優勢是，隨著越來越多的有線交換機支持802.1X，該技術有可能進一步轉移到本地網絡，這些組件包括公鑰基礎結構，RADIUS服務器，VPN網關可以防止流量攔截和未經授權的無線網絡連接。VPN的優勢在於能夠使用現有設備，軟件產品以及從傳統虛擬專用網絡的運營中獲得的經驗。802.1X實施的另一個優勢是，隨著越來越多的有線交換機支持802.1X，該技術有可能進一步轉移到本地網絡,网络事件响应(cyber incident response)。

　　最後但並非最不重要的

　　與任何IT技術的引入一樣，決定實施無線WLAN和WiFi網絡的決定應伴隨風險分析，安全策略的制定以及有關管理員和用戶使用已實施技術的說明。在大型網絡中部署WiFi時，應考慮集中管理訪問點和客戶端站點設置的機制。由於無線安全要求不同於有線網絡，因此有必要使用防火牆將這些網絡分開。建議同時使用活動工具(漏洞掃描程序)和無線攻擊檢測系統來控制工作站和訪問點的設置。後者還將幫助解決連接未經授權的無線設備的問題。