每次举办无线局域网安全主题活动的时间，总是有人问我虚拟专用网络是不是无线网络安全的一种解决方案。我总是要告诉他们虚拟专用网络不能代替有效的无线网络安全措施，为此我甚至发布了关于企业无线局域网安全的全面指南，但是，虚拟专用网络的支持者还是坚持他们的虚拟专用网络万能论，我不得不在到的每一个地方利用所有的时间来解释虚拟专用网络和无线网络安全之间的区别。

虚拟专用网络专属阵营

虚拟专用网络专属阵营包括了专门销售虚拟专用网络的公司和与无线网络安全相比更熟悉虚拟专用网络的一部分人，他们将无线网络安全的问题，看着虚拟专用网络的范畴，因为这样就可以将他们的业务包括在内了。这是一个很典型的例子，当你有一把锤子的时间，所有的东西看起来都象钉子。他们会告诉你，只要使用了虚拟专用网络就不用担心无线网络的安全了。来自虚拟专用网络专属阵营的论点是，IEEE 802.11标准本身不能为安全提供一个有效的解决方案。为了加强论点，他们就会以动态有线等效保密（WEP）模式的崩溃为例子，或者直接指出无线网络保护访问（WPA）模式是怎么轻易被破解的。

无线网络保护访问（WPA）模式真的能被破解？

任何声称无线网络保护访问（WPA）模式能被破解的人其实并不了解什么是无线网络保护访问或者如何进行破解。他们所指的，实际上是这样一种情况，一些简单模式的无线网络保护访问（通常为家庭用户所使用）使用的是预共享密钥PSK，当它们被拦截的时间，可能由于过于简单被猜测出来。但这只能说明无线网络保护访问预共享密钥是无效的。一个简单的包含十个（或者更多）随机字母和数字的预共享密钥是不可能被暴力穷举法所破译的。并且，我也可以指出，在使用预共享密钥的虚拟专用网络中同样存在这样的问题。

动态有线等效保密（WEP）模式是对IEEE 802.11标准的控诉？

动态有线等效保密（WEP）模式已经被完全破解，这个是毫无疑问的。IEEE 802.11的动态有线等效保密（WEP）模式是二十世纪九十年代后期设计的，当时功能强大的加密技术作为有效的武器受到美国严格的出口限制。由于害怕强大的加密算法被破解，无线网络产品是被被禁止出口的。然而，仅仅两年以后，动态有线等效保密模式就被发现存在严重的缺点。但是二十世纪九十年代的错误不应该被当着无线网络安全或者IEEE 802.11标准本身，无线网络产业不能等待电气电子工程师协会修订标准，因此他们推出了动态密钥完整性协议TKIP（动态有线等效保密的补丁版本）。

对于坏的部分应该回避而不是放弃

虚拟专用网络和无线网络都存在有设计不良的验证机制。举例来说，ASLEAP可以让没有黑客技术的人采用几乎相同的方式成功破解非常流行的无线网络802.1x验证以及采用点对点隧道协议（PPTP）的虚拟专用网络的认证。因此，我们关注的应该是如何提高加密的程度，而不是是否需要加密。

现代的无线网络安全技术

无线网络保护访问（WPA）或者无线网络保护访问2（WPA2）是由无线网络联盟提出来的安全标准，包含了有效的策略和加密算法。无线网络保护访问是支持802.11i标准的草案，无线网络保护访问2支持的是802.11i标准的最后定稿版本。无线网络的加密是在“数据链路层”（开放式通信系统互联参考模型的第二层）进行的，硬件和固件之间操作也是透明的。需要注意的是，由于无线网络技术的发展，例外也可能是存在的。

在加密方面，无线网络保护访问和无线网络保护访问2唯一的区别是，无线网络保护访问2同时支持动态密钥完整性协议（RC4加密算法的一个执行版本）和高级加密标准（适合于顶级的政府安全策略），而无线网络保护访问只是支持动态密钥完整性协议和可选的高级加密标准。尽管动态密钥完整性协议和高级加密标准目前都没有被破解，但高级加密标准在安全方面毫无疑问有一定的优势。

无线网络保护访问和无线网络保护访问2包含了两种身份验证和访问控制模式：家用的预共享密钥模式和企业的802.1x模式。在家用模式下，将使用多个回合的散列，让暴力穷举法的速度会变得非常慢，而且在核心规则中不会使用预先计算出来的散列表（不包括攻击一个共同的服务集合标识符时）。企业802.1x模式是一个基于端口的标准网络访问控制机制，它对广泛的可扩展身份验证协议 （EAP）进行了开放，其中包括了功能强大的EAP-TLS、PEAP、EAP-TTLS等采用公钥基础设施技术类型数字证书的验证方式和功能相对比较薄弱的思科LEAP和EAP-FAST等方式。

1 2 3 下一页