Wi-Fi 打起防御战

选择哪一个EAP?

　　802.11i工作组主持同时兼任Cisco公司无线网络商业部软件系统经理的Dave Halasz 先生说,大多数企业会依据其所拥有的数据库的类型选择一种EAP身份识别方法。他认为，假如企业现在还没有对数据库中的用户进行身份识别认证，那么最好不要把它用于保证无线系统的安全。

　　在美国西雅图的一家系统集成公司NetVersant Solutions 的无线网络工程师Kevin Tseng认为："大多数的公司没有采用公用密钥机制"，而公用密钥机制要求使用在客户端和服务器端都具有安全证书的EAP方式,如EAP的传输层安全（TLS）。

　　Cisco公司广泛部署的轻量级的EAP（LEAP）支持易于管理的用户名/密码方案。LEAP也支持802.11i标准介绍的另一种方法相互身份识别功能，就像PEAP和另一个通用方法EAP的隧道传输层安全（TTLS）所提供的功能一样。

　　Tseng先生认为，"现在有很多的智能终端如笔记本电脑等支持LEAP，同时也有不少的设备如库存物品跟踪扫描仪等还不支持这一功能。"他估计，目前在无线领域只有不到30%的用户终端设备具备相互身份识别功能，距离普遍的部署相差太远了。

　　Disabato说，现在来看，WLAN安全还有很长的路要走。

　　小资料：WLAN的安全问题

　　WLAN容易受到各种各样的威胁。像802.11标准的加密方法和WEP（Wired Equivalent Privacy）都很脆弱。在"Weaknesses in the Key Scheduling Algorithm of RC-4"文档里就说明了WEP key能在传输中通过暴力被破解。

　　黑客可以通过欺骗（rogue）WAP得到关键数据。WLAN的用户在不知情的情况下，以为自己通过很好的信号连入WLAN，却不知道已遭到黑客的监听了。低成本和易于配置造就了现在的WLAN的流行，许多用户也可以在自己的传统局域网架设无线基站(AP)，随之而来的是一些用户在网络上安装的后门程序成了黑客发动攻击的最佳途径。

　　基于802.11标准的网络还有可能遭到拒绝服务攻击(DoS)的威胁。无线通信由于受到一些物理上的威胁，如树、建筑物、雷雨和山峰等，会造成信号衰减。而像微波炉、无线电话也可能威胁基于802.11标准的无线网络。黑客通过无线基站发起的恶意拒绝服务攻击(DoS)会造成系统重起。

　　另外一种威胁WLAN的是ever-increasing pace，这种威胁可能导致大范围的连锁反应。