无线安全技术大揭秘

安全方面，为技术人员和用户都减轻了很多负担。经过这两所学校的使用证明，这种新的动态波束形成技术可以很有效地防止干扰问题。

Aruba公司亚太地区技术顾问Eric Wu在谈及干扰问题时介绍了一种将AP转换为AM（Air Monitor）的方式。比如说一个网络能够容纳80个AP，但是实际规划时，却有100个AP。由于AP太密集，AP之间或者同信道之间都会产生干扰。这时，一部分AP将转换为AM，AM会检测该信道的资源使用情况。在AM模式下，AP作为网络监测器工作，AM负责检测无线环境和有线环境。而AP和AM之间的转换，也不需要额外的其他设备参加，只需在无线控制器中进行。

身份认证和授权

无线网络黑客一个经典的攻击方式就是欺骗和非授权访问。黑客试图连接到网络上时，简单的通过让另外一个节点重新向AP提交身份验证请求就可以很容易的欺骗无线身份验证。还有一种威胁就是当访客身份的用户接入到网络中时，理应被授予访客的权限。但是由于传统的身份认证和授权功能是分别在两个设备上进行，两个设备缺乏有效地一次性的沟通，访客就有可能获得更高的权限而侵犯到该公司的机密信息。这是由于用户和用户权限不统一带来的安全威胁。

传统上，针对用户非法接入的无线局域网安全技术有：无线网卡MAC地址过滤技术，服务区标识符(SSID)匹配，有线等效保密（WEP）等。但是这些技术都证明在无线网络中不能有效解决问题。

通过Ruckus开发的一种叫做动态预共享密钥（PSK）的新技术，可以消除安全访问无线网络时所需的加密密钥、口令或用户证书的繁琐、耗时的手动安装程序。动态PSK只需很少或者无需人工操作，就可以通过为每个认证用户动态生成强有力且唯一的安全密钥，并将这些加密密钥自动安装到终端客户端设备上。

再以TRAPEZE公司为东莞假日酒店设计的无线解决方案为例，酒店中心存在两种类型的用户，一种是网络移动设备，二是酒店中的接入客户。TRAPEZE无线网络解决方案支持内置和外置的MAC地址数据库用于网路的设备认证，同时内置的静态WEP算法采用了防止"弱"初始化向量措施，使得对于此类网络的破解大为困难。

针对用户和用户权限不统一的情况，Eric Wu表示，由于传统的认证和授权功能是分别设在两个设备上，这样授权用户就有可能在两个设备缺乏沟通的情况下获得更高的权限，威胁到局域网的安全。针对这种问题，目前的认证和授权功能都是设在同一个设备上。用户身份一经认证，通过一个存取记号通知授权功能模块，用户的权限就被设定，不会出现用户身份和用户权限不统一的情况，有效保证了无线网络的安全。

无线入侵检测和保护

目前可以在互联网上下载到很多无线入侵和攻击的工具，这些工具对无线网络造成了很大的威胁，可以使AP无法征程工作，甚至可以突破无线网络的安全措施，非法盗取网络资源。另外一个问题就是因为用户购买的AP，在接入有线网络钟后，可能会自动创建一些"软"AP。这些不安全的AP在缺乏安全机制的情况下自动在企业的局域网中出现。若是外部入侵者利用这些软AP实现恶意目的，企业将遭受巨大的损失。而且这种事情发生时，员工可能并不知道已经遭受攻击，无意之中促成了攻击。

针对这种情况，出现了一些尝试入侵软件。就是人为的将这些入侵软件带入企业局域网内部。但是这些入侵软件具有一些特定的功能，包括跟测、防御和定位功能。也就是说，这些入侵软件在接入局域网之后，可以跟踪入侵者的动态，并且进行防御，同时还可以定位入侵者的动作和位置。

另外，针对病毒入侵的情况，无线终端病毒防护的第一步是准入检查，当无线终端连接试图访问网络时，无线系统要求用户在认证之前下载一个小程序，这个程序将对终端的安全配置进行检查，不能通过检查的终端将被策略禁止访问网络，也可设置成将无线用户重定向到一台升级服务器，经过一系列程序之满足安全机制后，该无线终端才可以进入认证环节进行用户的认证。

宣文威认为，当无线终端通过了准入检查，但是如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护手段。 ZoneFlex系列产品简化了安全需要的配置，就可在整个系统范围支持非法接入点入侵检测，并能通过网络将这些接入点客户端设备列入黑名单。当多个接入点的位置十分接近时，Ruckus产品则可以自动控制每个接入点的功率和信道设置，从而确保最佳的覆盖范围和连贯性。

防止盗窃引起的安全威胁

无线网络中的AP不像有线网络中的路由器和交换机一样，是放在比较隐秘的机柜或者专门的机房里面。无线AP可能是在天花