(3) WPA2
WPA2与WPA后向兼容,支持更高级的AES加密,能够更好地解决的安全问题。由于部分AP和大多数移动客户端不支持此协议,尽管微软已经提供最新的WPA2补丁,但是仍需要对客户端逐一部署。该方法适用于企业、政府。
目前使用WPA2方式加密数据通讯可以为提供足够的安全,但是WPA2方式还不是很成熟,并不是所有用户都可以顺利使用,部分无线设备也不支持WPA2加密,所以对于这些用户和设备来说,只能被迫停留在不安全的技术上。
(4) 802.11i
IEEE 802.11i(当接入点经过Wi-Fi联盟认证时,它也被称为WPA2)为数据加密采用了高级加密标准(AES)。AES是目前最严格的加密标准,而且这种方法从来没有被破解过。
(5) WAPI
WAPI(WLAN Authentication and Privacy Infrastructure),即无线局域网鉴别与保密基础结构,它是针对IEEE802.11中WEP协议安全问题,在中国无线局域网国家标准 GB15629.11中提出的WLAN安全解决方案。同时本方案已由ISO/IEC授权的机构IEEE Registration Authority审查并获得认可。它的主要特点是采用基于公钥密码体系的证书机制,真正实现了移动终端(MT)与无线接入点(AP)间双向鉴别。用户只要安装一张证书就可在覆盖WLAN的不同地区漫游,方便用户使用。
目前WEP加密方式已经被黑客攻破,网上已经有完整的破解攻略及攻击软件,WPA最近也出现了暴力破解的攻略,而WPA2、WAPI及802.11i目前还是非常安全的数据加密手段。
3.4 建立无线虚拟专用网
VPN即虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网[5]。
VPN功能虽然不属于802.11标准定义下的技术,但它作为目前最常见的连接中、大型企业或团体与团体间的私人网络的通讯技术,已经成为无线路由器的一项基本功能。
如果客户端因为过于陈旧或者驱动程序不兼容而无法支持802.11i、WPA2或者WAPI,在这种情况下,VPN可以作为保护无线客户端连接的备用解决方案,利用VPN并使用定期密钥轮换和额外的MAC地址控制加强安全管理,达到安全目的。
3.5使用入侵检测系统
入侵检测系统(IDS)通过分析网络中的传输数据来判断破坏系统的入侵事件。无线入侵检测系统同传统的入侵检测系统类似,但无线入侵检测加入了一些无线局域网的检查和对破坏系统反应的特性,可以监视分析用户的活动,判断入侵事件的类型,检测非法的网络行为,对异常的网络流量进行报警等。
目前,市场上常见的无线入侵检测系统是AirdefenseRogueWatch和AirdefenseGuard。而一些无线入侵检测系统也得到了Linux系统的支持。例如:自由软件开放源代码组织的Snort-Wireless和WIDZ。
3.6 针对无线网络攻击工具的防范
