无线局域网安全协议分析

协议间的过渡问题

企业在众多安全协议中做出选择后，接下来就面临着从WEP到WPA，再到802.11i的软、硬件问题了。在2003年秋，Wi-Fi规定新的802.11b硬件必须支持WPA才能获得联盟的认证。WPA在设计之初就考虑了系统升级问题，因
此传统的接入点和无线网卡只需进行简单的升级，理论上就能升级为WPA系统。但在实际应用中，可能不尽如人意。且不说一个企业的接入点是否能进行软件升级，单单从WPA的算法的复杂性来说，就远远高于WEP，这就需要设备有更强的处理能力，如果不引入更多的终端设备来分担处理任务的话，将会导致系统性能下降。这对使用WLAN的企业来说是不能接受的，因此，若想使用WPA，不仅要升级软件，还需要更新硬件设备。

在软件方面，企业需要操作系统支持WPA，这主要是要求操作系统能够对WPA设备正确设置数据包的格式，同时还能在用户和网络接口卡间传递802.1x的认证信息。在使用WPA协议的网络上，用户还需要安装802.1x认证的客户端软件，这个软件给用户提供了一个接口来配置和管理802.1x的认证信息，例如数字证书和口令等。仅仅用户配置了信息还不够，在网络上还需要一个RADIUS服务器来完成认证，该服务器要支持EAP和EAPOL标准。

从某种程度上说，针对WLAN的设计、维护网络安全远比在有线网络上复杂得多，也就是说需要更多的经济投入。但是如果企业很重视安全问题，又需要WLAN这种环境的灵活性，那么它必须在安全性和经济性之间找到平衡点。总的来说，从WEP过渡到WPA，可以使WLAN暂时处于更安全的保护下，同时，这也为将来采用802.11i做好了准备。

目前企业该如何选择安全协议

尽管WEP,WPA和802.11i看似界限清晰，但却有继承关系，企业可以通过逐步升级来使自己的无线局域网更加健壮安全。当然，对有些使用WLAN的企业来说，它们更喜欢一种跳跃式发展。这样，网络管理者面临的最基本的问题，就是选择等待802.11i的出台或是现在就应用WPA。考虑到WPA之后紧接着就是802.11i标准，那么现在采用WPA是否值得呢？答案是肯定的，因为对WLAN的安全袭击所造成的潜在损失实在太大了，我们无法知道等待802.11i出台期间会发生什么样的安全问题；而且，从WPA到802.11i具有很好的可移植性，802.11i对WPA向后兼容，即WPA的硬件和软件将继续与802.11i的硬件一起工作。802.11i在2004年年底将成为WLAN的最终安全标准，其相应的产品也会随后出现。但对大多数企业来说，现在使用WPA就已经足够了。WPA致力于解决WEP面临的所有问题，包括对AirSnort和WEPCrack这样的免费软件的攻击。如果一个企业想在WLAN上保证安全，WPA是一个明智的选择，即使在802.11i发布后它仍值得继续使用。

对于WEP来说，它作为目前应用最广泛的WLAN安全协议，还远远不能保证WLAN的安全，那么它是否就一无是处呢？还有，如果你的无线设备并不支持WPA，能先用WEP吗？答案是，如果恰当使用WEP，它也可以在一定程度上降低网络被入侵的可能性。

虽然WLAN技术在不断发展，但大多数安全专家还是主张将WLAN建立在企业核心系统网络之外，WLAN用户必须通过VPN才能访问网络内部。目前，Ipsec VPN仍是部署最为广泛的平台，为有线与无线客户设备和远程主机进行验证并提供安全访问，有效地保护着企业的内部资源。

即使最近的802.11i协议，也存在着缺陷，并不能完全消除安全隐患，而且不管是WPA还是802.11i，其设备的向后兼容性都不是很好，所以对很多仍然用早期操作系统的公司来说，采用它们也并不是一个明智的选择。可以说，没有一种方案是能完全解决所有安全问题的，对企业来说，与其依赖一种安全技术，不如选择适合自身情况的无线安全方案，建立多层次的安全保护，这样才能在自己力所能及的范围内有效地避免无线技术带来的安全风险。