无线网络安全性设计

（3）完整性：通过使用WEP或TKIP，无线网络提供数据包原始完整性。有线等效保密协议是由802.11 标准定义的，用于在无线局域网中保护链路层数据。WEP 使用40 位钥匙，采用RSA 开发的RC4 对称加密算法，在链路层加密数据。WEP 加密采用静态的保密密钥，各无线工作站使用相同的密钥访问无线网络。WEP 也提供认证功能，当加密机制功能启用，客户端要尝试连接上AP时，AP 会发出一个Challenge Packet 给客户端，客户端再利用共享密钥将此值加密后送回存取点以进行认证比对，如果正确无误，才能获准存取网络的资源。现在的WEP也一般支持128 位的钥匙，能够提供更高等级的安全加密。在IEEE 802.11i规范中，TKIP： Temporal Key Integrity Protocol（暂时密钥集成协议）负责处理无线安全问题的加密部分。TKIP在设计时考虑了当时非常苛刻的限制因素：必须在现有硬件上运行，因此不能使用计算先进的加密算法。TKIP是包裹在已有WEP密码外围的一层“外壳”，它由WEP使用的同样的加密引擎和RC4算法组成。TKIP中密码使用的密钥长度为128位，这解决了WEP的密钥长度过短的问题。
（4）机密性：保证数据的机密性可以通过WEP、TKIP或VPN来实现。前面已经提及，WEP提供了机密性，但是这种算法很容易被破解。而TKIP使用了更强的加密规则，可以提供更好的机密性。另外，在一些实际应用中可能会考虑使用IPSec ESP来提供一个安全的VPN隧道。VPN（Virtual Private Network，虚拟专用网络） 是在现有网络上组建的虚拟的、加密的网络。VPN主要采用4项安全保障技术来保证网络安全，这4项技术分别是隧道技术、密钥管理技术、访问控制技术、身份认证技术。实现WLAN安全存取的层面和途径有多种。而VPN的IPSec（Internet Protocol Security） 协议是目前In- ternet通信中最完整的一种网络安全技术，利用它建立起来的隧道具有更好的安全性和可靠性。无线客户端需要启用IPSec，并在客户端和一个VPN集中器之间建立IPSec传输模式的隧道。
（5）可用性：无线网络有着与其它网络相同的需要，这就是要求最少的停机时间。不管是由于DOS攻击还是设备故障，无线基础设施中的关键部分仍然要能够提供无线客户端的访问。保证这项功能所花费资源的多少主要取决于保证无线网络访问正常运行的重要性。在机场或者咖啡厅等场合，不能给用户提供无线访问只会给用户带来不便而已。而一些公司越来越依赖于无线访问进行商业运作，这就需要通过多个AP来实现漫游、负载均衡和热备份。
当一个客户端试图与某个特定的AP通讯，而认证服务器不能提供服务时也会产生可用性问题。这可能是由于拥塞的连接阻碍了认证交换的数据包，建议赋予该数据包更高的优先级以提供更好的QoS。另外应该设置本地认证作为备用，可以在AAA服务器不能提供服务时对无线客户端进行认证。
（6）审计：审计工作是确定无线网络配置是否适当的必要步骤。如果对通信数据进行了加密，则不要只依赖设备计数器来显示通信数据正在被加密。就像在VPN网络中一样，应该在网络中使用通信分析器来检查通信的机密性，并保证任何有意无意嗅探网络的用户不能看到通信的内容。为了实现对网络的审计，需要一整套方法来配置、收集、存储和检索网络中所有AP及网桥的信息。
4 无线网络安全性解决方案
不同规模的无线网络对安全性的要求也不相同。
对小型企业和一般的家庭用户来说，因为其使用网络的范围相对较小且终端用户数量有限，因此只需要使用传统的加密技术就可以解决了。如果进一步采用基于MAC地址的访问控制就能更好地防止非法用户盗用。
在公共场合会存在相邻未知用户相互访问而引起的数据泄漏问题，需要制定公共场所专用的AP。该AP能够将连接到它的所有无线终端的MAC地址自动记录，在转发报文的同时，判断该报文是否发送给MAC列表的某个地址，如果是就截断发送，实现用户隔离。
对于中等规模的企业来说，安全性要求相对更高一些，如果不能准确可靠的进行用户认证，就有可能造成服务盗用的问题。此时就要使用IEEE802.1x 的认证方式，并可以通过后台RADIUS 服务器进行认证计费。
对于大型企业来说，无线网络的安全性是至关重要的。这种场合可以在使用了802.1x 认证机制的基础上，解决远程办公用户能够安全的访问公司内部网络信息的要求，利用现有的VPN 设施，进一步完善网络的安全性能。
图1展示了一个典型的安全无线网络的设计案例。
无线网络实际上是对远程访问VPN的扩展，在无线网络中，用户成功通过认证后，可以从RADIUS服务器获得特定的网络访问模块，并从中分配到用户的IP。在无线用户连接到交换机并访问企业网络前，802.1x和EAP提供对无线设备和用户的认证。另外，如果需要加密数据，应在无线客户端和VPN集中器之间使用IPsec。小型网络也许仅采用WEP对AP和无线客户端之间的信息进行加密，而IPSec提供了更优越的解决方案。Cisco works的WLSE/RMS解决方案可以用来管理WLAN。Cisco works无线局域网解决方案引擎（WLSE）是专门针对Cisco wlan基础设施的管理软件，配合Cisco works资源管理事务（RME）可以极大地简化设计工作。此外，在网络边界安装入侵检测设备，可以帮助检测网络通信，检测对企业网络的潜在攻击。