無線局域網(wǎng)安全不管是在企業(yè)還是家庭中我們都不能掉以輕心，

無線局域網(wǎng)安全意識不可松懈

。很多朋友在公司使用網(wǎng)絡(luò)的時候都是很謹(jǐn)慎的，但是一回到家就放松了警惕。這就給不安的潛入因子提供了可乘之機(jī)……

　　正如許多人所共知的，通過無線方式連接至家庭網(wǎng)絡(luò)，再通過ISP連接到Internet確實是一種行之有效的方式。但是如何保護(hù)用戶以及在他們計算機(jī)上存儲的公司數(shù)據(jù)，就必須首先理解所存在的無線局域網(wǎng)安全風(fēng)險。

　　把握安全風(fēng)險

　　毋庸質(zhì)疑，WLAN確實存在脆弱性，當(dāng)這種脆弱性與威脅等級遭遇到敏感信息竊取事件后，將會為公司造成大量損失。且這一脆弱性完全是因為WLAN技術(shù)本身的原因而造成的。對此，很多人有過親身體驗，當(dāng)驅(qū)車行駛于高速公路時，甚至可采集到多達(dá)8個WAP訪問點。但是WLAN技術(shù)所產(chǎn)生的威脅（或者威脅等級）則很難具體衡量，還須綜合考慮多種物理參數(shù)。

　　當(dāng)將對公司網(wǎng)絡(luò)的威脅分析拓展至員工家庭網(wǎng)絡(luò)，同樣存在價值。因此，一旦攻擊者將目標(biāo)鎖定于家庭網(wǎng)絡(luò)用戶，威脅等級將會攀升。至于如何估算因一次家庭網(wǎng)絡(luò)入侵而對公司（或個人）造成的損失？這需酌情而定。實際上，在屋內(nèi)安裝了一臺家用WAP（Wireless Acess Point,以下簡稱WAP）后，就相當(dāng)于從一臺交換機(jī)拉了一條5類網(wǎng)線到車道盡頭，為寬帶的高速公路增添了新的快車道。然而，別有用心之人卻可以跑到房子外面，插好網(wǎng)線，然后訪問用戶的家庭網(wǎng)絡(luò)。通過連接WAP，他們可以肆無忌彈，甚至可以嗅探到在WAP和每一個無線客戶端之間傳送的所有無線數(shù)據(jù)包。

　　重視策略、規(guī)程制定

　　針對家庭用戶，或許最好的無線局域網(wǎng)安全應(yīng)用策略就是禁止使用。但即使知道可能存在著無線局域網(wǎng)安全風(fēng)險，用戶出于使用需求，卻仍可能選擇忽略這條禁令。因此，切實可行的是制定一些切實可行的操作準(zhǔn)則，便于遵守。

　　首先，應(yīng)該使用WEP來進(jìn)行身份驗證和保證完整性。支持128位或者更高位數(shù)加密的PC卡要貴一些，所以許多家庭用戶不會考慮購買它們。但是，假如用戶想把他們的工作用電腦連接到家庭無線局域網(wǎng)上，就應(yīng)該在策略中規(guī)定必須購買此類高位加密產(chǎn)品。

　　接著，要求用戶使用一個隨機(jī)密鑰。許多WAP會根據(jù)一個密碼來生成一個密鑰。但是這在實現(xiàn)上存在的缺陷，使這個密鑰生成機(jī)制成為一個擺設(shè)，

電腦資料

《無線局域網(wǎng)安全意識不可松懈》(http://www.msguai.com)。如果用戶采用這個方法，他們應(yīng)該為密碼使用隨機(jī)字母和數(shù)字，并允許WAP生成密鑰。然后，它們可以將生成的加密密鑰人工輸入無線客戶端中。另外，必須每周改變一次密鑰。

　　用戶應(yīng)該改變其WAP上的所有默認(rèn)設(shè)置。默認(rèn)密鑰必須更換，默認(rèn)無線局域網(wǎng)安全設(shè)置必須修改（因為所有這些設(shè)備都默認(rèn)禁用了WEP），默認(rèn)的廣播頻道也必須更換，而且必須將SSID重命名為某個不常見的名字。

　　用戶應(yīng)該更改WAP的默認(rèn)IP地址以及默認(rèn)的管理密碼。有的WAP使用一個外置的USB端口來進(jìn)行管理，但許多產(chǎn)品都允許使用一個通過網(wǎng)絡(luò)連接的Web界面來進(jìn)行管理。如果鄰居家的小孩啟動了他的無線網(wǎng)卡，并看到了您的WAP廣播（因為兩家使用的廣播頻道是一樣的），并看到您的SSID是“Linksys”，他就可能好奇地嘗試連接IP地址“192.168.1.251”，并使用密碼“admin”來登錄。每有廠商都有類似的默認(rèn)設(shè)置，這正是為什么必須更改默認(rèn)設(shè)置的原因。

　　運行WLAN的用戶將面臨比其他移動用戶更大的無線局域網(wǎng)安全風(fēng)險。PC斷電和待機(jī)的時候，可以通過磁盤加密來保護(hù)PC上的數(shù)據(jù)。然而，如果數(shù)據(jù)在一個家庭網(wǎng)絡(luò)中傳輸，就需要對網(wǎng)絡(luò)或者計算機(jī)實行額外的保護(hù)。個人防火墻是必須使用的，而且要設(shè)置一個防火墻策略，不允許計算機(jī)之間的SMB服務(wù)。否則，就難以避免外部的計算機(jī)訪問。

　　最后，或許是最重要的一點：建立一個策略，要求家庭無線局域網(wǎng)用戶必須配置他們的WAP來進(jìn)行過濾，只和固定MAC地址的設(shè)備進(jìn)行通信。如果一個企業(yè)部署的計算機(jī)很多，這明顯是一個相當(dāng)繁瑣的任務(wù)。但是，對于在家庭網(wǎng)絡(luò)上工作的人來說，要進(jìn)行這個配置是非常容易的。

　　并不是每個員工都安裝了家庭無線局域網(wǎng)，也并不是每個人都有家庭網(wǎng)絡(luò)。但是，就像目前沒有家庭網(wǎng)絡(luò)的每個計算機(jī)用戶都有可能在某一天裝上家庭網(wǎng)絡(luò)一樣，目前有家庭網(wǎng)絡(luò)的每個人都有可能很快添加一個無線訪問點。用戶可以在某種程度上控制WLAN在辦公室中的使用。但是，企業(yè)信息主管經(jīng)常開車至每個員工住宅附近檢查WAP的使用情況無法完全實現(xiàn)，所以必須提前制定好相關(guān)的策略和操作規(guī)程，盡可能減小員工現(xiàn)在或者將來在家庭無線局域網(wǎng)中使用工作電腦所帶來的無線局域網(wǎng)安全風(fēng)險。在這種情況下，人們雖然是在家中工作，但也必須接受網(wǎng)絡(luò)的監(jiān)管。