早期無線網絡由于自身的非凡性和設備昂貴的原因，一直沒有普遍開來，因此，無線的網絡安全一直也沒有引起多少人的注重，隨著近幾年，無線網絡設備的價格一降再降，終于降到了大多數人可以接受的地步，而配置一個無線的網絡也不需要具備以往的高級工程師技術，在Win XP下，只需要按照向導點擊幾下鼠標，用不了幾分鐘就可以建成一個無線網絡，簡易就是不安全的代名詞，因此，無線網絡的安全也越來越被人們所關注。 目前無線網絡的主要風險體現在服務盜用、數據盜取，數據破壞、干擾正常服務幾個方面，這些在XP的無線網絡里同樣存在。為避免安全風險的威脅，我們將逐一進行分析。 還是應了上面的那句話：“簡易就是不安全的代名詞”，XP的無線安全風險的最大因素，恰恰是來自于XP最簡單易用的功能——“無線零配置”(WIRELESS? ZERO? CONFIGURATION)，由于接入點可以自動發送接收信號，因此XP客戶端一旦進入了無線網絡信號的覆蓋范圍，就可以自動建立連接，假如進入了多個無線網絡的信號覆蓋范圍，系統能自動與最近的接入點聯系，并自動配置網卡進行連接，完成后，在“可用網絡”中將出現建立的連接的SSID，由于不少廠商使用網卡的半個MAC地址來默認命名SSID，因此，使得SSID默認名可以推測，攻擊者知道了默認名稱后，至少連到接入點的網絡是輕而易舉了。 主要的針對措施有三個： 1、啟用無線設備的不廣播功能，不進行SSID的擴散。 這個功能需要在硬件設備的選項里尋找，啟用后將封閉網絡， 這個時候想連接網絡的人必須提供準確的網絡名，而不是XP系統自動提供的網絡名。 2、使用不規則網絡名，禁止使用默認名。 假如不廣播了，攻擊者還是可以通過猜測網絡名連入網絡，因此有必要修改默認名。 這里的不規則可以借鑒一下密碼設置技巧，不設置具有敏感信息的網絡名。 3、客戶端MAC地址過濾 設定只有具有指定的MAC的客戶端才可以連接接入點，可以將連入者進一步把關。 上面的三個辦法只是屬于XP無線安全的初級設置，不要指望設置了這三個步驟后就可以高枕無憂了，從目前的安全設置來看，雖然可以防御部分無線攻擊了，但是，由于并沒有對傳輸中的數據采取任何加密措施，因此，只要攻擊者使用一些特定的無線局域網工具，就可以抓取空中的各種數據包，通過對這些數據包的內容分析，可以獲得各種信息，其中就包括SSID和MAC地址，因此前面的三個辦法對于這種攻擊就形同虛設了。我們下一步面臨的是無線傳輸的加密問題----WEP。 這是一個極具爭議的話題，因此，為避免走入誤區，我們將不對這個問題的強項和弱點一一具體解釋，只一句話帶過：“WEP為無線局域網提供了從數據安全性、完整性到數據來源真實性較為全面的安全性，但是WEP的密鑰輕易被攻擊者得到”。雖然目前針對這一點廠商有所加強，微軟也發布了相關的升級包(KB826942，support.microsoft.com/default.ASPx?scid=kb;zh-cn;826942)， 但是不能從根本上解決這個問題。 WEP運行于接入點，假如我們是在2000上啟用WEP，那么必須使用客戶端軟件提供的共享密鑰，假如是使用的XP，就不需要了，系統會在第一次接入啟用WEP的時候進行提示，輸入密鑰后可繼續以下的配置： 1、打開“網絡連接”，點擊無線網卡的屬性。 2、選中“首選網絡”，選中或添加一個條目，然后點擊屬性。 3、打開“無線網絡屬性”后進行以下操作： 1)修改“網絡名” 2)將“數據加密(WEP)”打勾 3)將“網絡驗證”打勾 4)選擇匹配接入點的“密鑰格式”(ASCII或十六進制)和“密鑰長度”(40或 104)。 5)需要輸入正確的“網絡密鑰” 6)不選“自動選中密鑰”。 4、保存關閉。 OK，針對XP下針對WEP的設置基本上就完成了，但是為了無線網絡的更加穩固， 我們再注重看看其它的安全措施 1、網絡中盡可能包含一個驗證服務器。 將網絡配置成所有連接請求必須先通過驗證服務器的驗證， 將大大提高無線網絡的安全性。 2、每月修改一次WEP密鑰 因為WEP有記錄缺陷，所以最好每隔一段時間就修改一次WEP密鑰。 3、避免有線與無線網絡互聯。 無線網絡應該是獨立的，為避免互相牽連，避免增加安全風險，應將有線與無線網絡分開，至少應該在二者之間建立防火墻。 4、建立VPN驗證 在接入點和網絡之間再加入一臺VPN服務器，這樣一來攻擊者可能可以接上接入點，但只是死蟹一只，進不了網絡，無法對網絡搞任何破壞。 5、定期維護 維護的內容是檢查網絡和審查日志， 檢查網絡可以使用一些攻擊無線網絡的掃描工具， Netstumbler(.netstumbler.com/'>www.netstumbler.com) Kismet www.kismetwireless.net 審查日志的重點是審查帳戶登陸事件。 最后附上Ed Bott的無線網絡的檢查清單： 1、給接入點設置一個強壯的密碼。 2、禁用接入點的遠程治理功能。 3、無線網絡設備的固件(FirmWare)保持升級到最新。 4、修改接入點的網絡名的默認名。 5、使用MAC過濾控制 6、啟用WEP并設置強壯密碼。