現(xiàn)在無(wú)線網(wǎng)絡(luò)已經(jīng)成為流行趨勢(shì)，無(wú)論是個(gè)人，還是企業(yè)用戶(hù)，無(wú)線網(wǎng)絡(luò)已有取代有線網(wǎng)絡(luò)的趨勢(shì)。無(wú)線AP網(wǎng)絡(luò)相比有線網(wǎng)絡(luò)有著不可取代的優(yōu)勢(shì)：一是辦公筆記本的價(jià)格逐漸降低，又因?yàn)楣P記本攜帶方便，越來(lái)越多中小企業(yè)選擇筆記本替代臺(tái)式機(jī);二是無(wú)線網(wǎng)絡(luò)在部署方面更為簡(jiǎn)潔，無(wú)需考慮布線等問(wèn)題，不受辦公條件的限制，更加適合在企業(yè)中應(yīng)用。WiFi無(wú)線網(wǎng)絡(luò)覆蓋產(chǎn)品的不斷降價(jià)，帶來(lái)了無(wú)線設(shè)備的普及，在市場(chǎng)一片繁華的同時(shí)，隨之無(wú)線產(chǎn)品的安全問(wèn)題也日益引人關(guān)注。

　　一、SSID難以兵來(lái)將擋

　　有線網(wǎng)絡(luò)通過(guò)線纜傳輸，除非有人在中途破取線纜進(jìn)行信號(hào)截取，一般不會(huì)存在信號(hào)被中途截取的問(wèn)題，而無(wú)線電波延射性讓其安全問(wèn)題更顯突出。

　　目前的IEEE 802.11系列標(biāo)準(zhǔn)已由最初的802.11a、802.11b、802.11g向802.11n發(fā)展，但SSID做為無(wú)線網(wǎng)的基本安全手段仍是基礎(chǔ)。SSID（服務(wù)集合標(biāo)識(shí)符，Service Set Identifier）也稱(chēng)為網(wǎng)絡(luò)名稱(chēng)，其做為無(wú)線網(wǎng)中一種標(biāo)識(shí)符，就好比無(wú)線設(shè)備連接到WLAN時(shí)的密碼。

　　SSID由無(wú)線AP、無(wú)線路由器或做為軟AP的無(wú)線網(wǎng)卡廣播出來(lái)，通過(guò)無(wú)線網(wǎng)卡自帶的驅(qū)動(dòng)或XP自帶的掃描功能可以相看當(dāng)前區(qū)域內(nèi)的SSID。而出于安全考慮可以不廣播SSID，此時(shí)你的無(wú)線網(wǎng)絡(luò)不會(huì)再不會(huì)出現(xiàn)在其他人所搜索到的可用網(wǎng)絡(luò)列表中，此時(shí)用戶(hù)就要手工設(shè)置SSID才能進(jìn)入相應(yīng)的網(wǎng)絡(luò)。

　　但可以肯定的是，這種初級(jí)防范手段不可能是很?chē)?yán)密的。比如，通過(guò)一些誘探軟件就能較容易的破解，如Network Stumbler、WildPackets AiroPeek NX、airodump等軟件。

　　其中，Network Stumbler可對(duì)一定區(qū)域內(nèi)的無(wú)線信號(hào)進(jìn)行嗅探掃描（在Monitor菜單中選擇Monitor Options，選擇Adapter，再選中具體的網(wǎng)卡），如果在這一區(qū)域內(nèi)存在接入點(diǎn)（包含AP和無(wú)線路由器等等設(shè)備）或是同類(lèi)適配器的話，它將列出搜索結(jié)果和一些相關(guān)的重要信息，比如SSID（無(wú)論其加密與否）。

　　AiroPeek NX利用WildPackets的WLAN分析技術(shù)使其具有了專(zhuān)家分析的能力，允許網(wǎng)絡(luò)管理者通過(guò)故障的檢測(cè)和診斷來(lái)監(jiān)控他們的網(wǎng)絡(luò)，并且具有802.11的特殊診斷功能。經(jīng)Network Stumbler嗅探后，可在WildPackets AiroPeek NX軟件中選擇New Capture按鈕，選擇Wireless statistics，可監(jiān)聽(tīng)出具體的SSID名稱(chēng)。而如果電腦上裝有地圖定位軟件，Network Stumbler甚至可以列出搜索到的裝置具體的經(jīng)緯度位置。

　　當(dāng)然，更多時(shí)候，很多獲取SSID的非授權(quán)用戶(hù)還不需要這樣麻煩，其只需通過(guò)使用該無(wú)線網(wǎng)絡(luò)的人之口或使用一下接入該無(wú)線網(wǎng)絡(luò)的計(jì)算機(jī)，就能很容易的獲取SSID。

　　二、MAC并非萬(wàn)無(wú)一失

　　通過(guò)網(wǎng)絡(luò)設(shè)備具備的MAC（Media Access Control）地址進(jìn)行物理過(guò)濾，一直以來(lái)都是網(wǎng)絡(luò)設(shè)備常用的安全防范手段，被用戶(hù)的認(rèn)可度也非常高。

　　這主要來(lái)自于MAC地址的唯一性。MAC地址由48比特長(zhǎng)16進(jìn)制的數(shù)字組成，0-23位是由廠家自己分配，24-47位叫做組織唯一標(biāo)志符，是識(shí)別LAN節(jié)點(diǎn)的標(biāo)識(shí)。其由廠家購(gòu)買(mǎi)，在生產(chǎn)時(shí)，逐個(gè)將唯一地址賦予網(wǎng)絡(luò)設(shè)備。

　　所以，要想杜絕其它非本網(wǎng)內(nèi)的電腦接入該網(wǎng)絡(luò)，就可使用無(wú)線AP或無(wú)線路由器都具備的MAC地址過(guò)濾功能。這樣通過(guò)MAC地址便可以輕松的設(shè)置允許或拒絕無(wú)線網(wǎng)絡(luò)中的計(jì)算機(jī)訪問(wèn)廣域網(wǎng)，有效控制無(wú)線網(wǎng)絡(luò)內(nèi)用戶(hù)的上網(wǎng)權(quán)限。你即可以利用按鈕添加新條目來(lái)增加新的過(guò)濾規(guī)則，通過(guò)在過(guò)濾規(guī)則中選擇“禁止列表中生效規(guī)則之外的MAC地址訪問(wèn)本無(wú)線網(wǎng)絡(luò)”，MCA地址列入其中的主機(jī)都不可以訪問(wèn)該無(wú)線網(wǎng)絡(luò)；也可通過(guò)“修改”、“刪除”鏈接來(lái)修改或刪除舊的過(guò)濾規(guī)則。

　　目前主流的交換網(wǎng)絡(luò)通過(guò)一張表來(lái)保存每臺(tái)計(jì)算機(jī)的MAC地址信息，并且把去往特定機(jī)器的數(shù)據(jù)包遞送到該機(jī)器所連接的端口，其比集線器組成的網(wǎng)絡(luò)具備更好的安全性，也可杜絕大多數(shù)嗅探器。但是非授權(quán)用戶(hù)還是可以通過(guò)ARP欺騙等手段來(lái)獲取無(wú)線網(wǎng)內(nèi)設(shè)備的MAC地址。

　　當(dāng)然，這種MAC地址的唯一性并非萬(wàn)無(wú)一失，就好象有重號(hào)的身份證存在一樣，正規(guī)廠家出廠網(wǎng)絡(luò)設(shè)備的MAC地址能保障其MAC地址的唯一性，而一些雜牌網(wǎng)絡(luò)設(shè)備就不一定能如此。

　　此外，MAC地址可以通過(guò)VxWorks重新燒制，MAC地址也可在注冊(cè)表中修改，這加大了MAC地址的唯一性的缺失。

　　非授權(quán)用戶(hù)要想接入該無(wú)線網(wǎng)絡(luò)，可修改自身網(wǎng)卡的地址為已授權(quán)的MAC地址。方法很簡(jiǎn)單，在網(wǎng)卡的“我的連接”圖標(biāo)上點(diǎn)右鍵，選“屬性”，點(diǎn)開(kāi)網(wǎng)卡的“配置”按鈕在網(wǎng)卡的屬性對(duì)話框中找到類(lèi)似“Network Address”、“本地管理的MAC地址”的選項(xiàng)，就可在右邊框中輸入想改的網(wǎng)卡MAC地址，這樣非授權(quán)“黑客”電腦就可在“本人”休息時(shí)，大搖大擺的接入你的無(wú)線網(wǎng)。

　　當(dāng)然，并不是所有網(wǎng)卡都支持MAC地址修改的，對(duì)此，可通過(guò)第三方軟件來(lái)進(jìn)行修改。比如SMAC就是一個(gè)強(qiáng)大的也是一個(gè)易于使用的和直觀的Windows MAC地址修改應(yīng)用軟件，它允許用戶(hù)為在Windows 2000/XP和2003等系統(tǒng)上的修改幾乎任何的網(wǎng)卡轉(zhuǎn)換MAC地址，而不管這些網(wǎng)卡產(chǎn)品是否允許修改。

　　三、WEP共享同一密鑰

　　WEP是WIFI保密最基礎(chǔ)的安全手段，其伴隨著無(wú)線設(shè)備的誕生而標(biāo)配。WEP做為IEEE 802.11b標(biāo)準(zhǔn)定義的無(wú)線網(wǎng)絡(luò)安全協(xié)議，WEP在推出之始號(hào)稱(chēng)可以提供和有線網(wǎng)絡(luò)相媲美的無(wú)線網(wǎng)絡(luò)安全等級(jí)。

　　WEP使用了共享秘鑰RC4加密算法，只有在用戶(hù)的加密密鑰與AP的密鑰相同時(shí)才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源，從而防止非授權(quán)用戶(hù)的監(jiān)聽(tīng)以及非法用戶(hù)的訪問(wèn)。密鑰長(zhǎng)度最初為40位（5個(gè)字符），后來(lái)增加到128位（13個(gè)字符），有些設(shè)備可以支持152/256位加密。

　　WEP做為一種1999年就已設(shè)立的標(biāo)準(zhǔn)，除了容易通過(guò)計(jì)算機(jī)使用者外泄外，由于WEP是靜態(tài)密鑰，對(duì)于一個(gè)訓(xùn)練有素的非授權(quán)用戶(hù)獲取WEP密鑰只需兩個(gè)小軟件即可搞定。

　　從原理來(lái)說(shuō)，各種WEP的破解都大同小異，先捕捉到足夠的數(shù)據(jù)包，然后通過(guò)分析便能得出密鑰。比如流行的破解無(wú)線路由的軟件WinAircrack就是這樣的軟件。WinAirCrackPack工具包做為一款無(wú)線局域網(wǎng)掃描和密鑰破解工具，包括airodump和aircrack等工具。它可以監(jiān)視無(wú)線網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)，收集數(shù)據(jù)包，并能計(jì)算出WEP/WPA密鑰。

　　在安裝有無(wú)線網(wǎng)卡的電腦上安裝好該工具軟件后，便可運(yùn)行airodump，選擇芯片類(lèi)型，選擇“0”信道以收集全部信道信息。當(dāng)捕捉到足夠的數(shù)據(jù)包后，便可啟動(dòng)WinAircrack，點(diǎn)擊“General”、“WEP”，添加捕獲的文件（testwep.ivs），選擇“Aircrack the key”，選擇待破解網(wǎng)絡(luò)的ESSID，回車(chē)就可得到最終WEP密鑰。

　　所以，WEP有線等效保密對(duì)于無(wú)線網(wǎng)來(lái)說(shuō)作用不是無(wú)敵的，而是很有限的。為此，WEP的后續(xù)安全版本W(wǎng)PA很快又被推出。

　　從技術(shù)角度看，WPA（Wi-Fi Protected Access：Wi-Fi保護(hù)訪問(wèn)）主要解決了WEP在共享密鑰上的漏洞，添加了用戶(hù)級(jí)的認(rèn)證措施。WPA=802.1X+EAP+TKIP+MIC，WPA以802.1x和擴(kuò)展認(rèn)證協(xié)議（EAP）作為其認(rèn)證機(jī)制的基礎(chǔ)。這樣，用戶(hù)在接入無(wú)線網(wǎng)絡(luò)前，需要首先提供相應(yīng)的身分證明，通過(guò)與合法用戶(hù)數(shù)據(jù)庫(kù)進(jìn)行比對(duì)檢查，以確認(rèn)是否具有權(quán)限。當(dāng)然，任何安全盾所提供的安全措施都不可能是無(wú)敵的，WPA同樣可被破解，雖然對(duì)于airodump、WinAircrack來(lái)說(shuō)這種破解的耗時(shí)更長(zhǎng)、機(jī)率更低。

　　而無(wú)論怎樣，無(wú)線網(wǎng)絡(luò)奈以維系的安全“盾”被非授權(quán)用戶(hù)輕易破解，都不是一件能讓人高興起來(lái)的事。所以，正因?yàn)檫@樣，在這場(chǎng)沒(méi)有無(wú)懈可擊的盾也沒(méi)有無(wú)堅(jiān)不催的矛的安全攻防中，WPA的后續(xù)改進(jìn)標(biāo)準(zhǔn)也將層出不窮。

　　比如WPA2，WPA2做為WPA的第二代標(biāo)準(zhǔn)，在2004年9月獲得了認(rèn)證。WPA2標(biāo)準(zhǔn)向下兼容WPA標(biāo)準(zhǔn)，并且保證計(jì)算機(jī)的無(wú)線軟件兼容IEEE制定的802.11i無(wú)線標(biāo)準(zhǔn)。WPA2支持更高級(jí)的AES加密，能夠更好地解決無(wú)線網(wǎng)絡(luò)的安全問(wèn)題。

　　編者后記：

　　誠(chéng)如文中所說(shuō)，這世界上本沒(méi)有“無(wú)懈可擊的盾也沒(méi)有無(wú)堅(jiān)不催的矛”一樣，安全是相對(duì)的，無(wú)線用戶(hù)也不必因此被“危言”聳聽(tīng)、因噎廢食。目前最常見(jiàn)的無(wú)線網(wǎng)安全的現(xiàn)實(shí)問(wèn)題是，絕大多數(shù)家庭或企業(yè)用戶(hù)連最基本的安全模式WEP、最基本的不廣播SSID都沒(méi)有打開(kāi)，暢開(kāi)大門(mén)熱迎四方客，何談安全。無(wú)論對(duì)于家庭還是企業(yè)用戶(hù)來(lái)說(shuō)，通過(guò)連環(huán)使用不廣播SSID、MAC過(guò)濾、IP捆綁、WPA2加密等安全措施，其提供的盾的強(qiáng)度將并不會(huì)低于進(jìn)入有線網(wǎng)的難度?？傊廊酥牟豢蔁o(wú)，無(wú)線安全防范技術(shù)需要進(jìn)一步拓展，但更需要拯救的是對(duì)此毫無(wú)戒備的心！