最近，F(xiàn)BI向人們證明了這樣一個(gè)事實(shí)，人們可以很容易的分析攻擊有線(xiàn)等效加密，從而可以獲得那些使用了這個(gè)安全協(xié)議的無(wú)線(xiàn)網(wǎng)絡(luò)的訪(fǎng)問(wèn)權(quán)。根據(jù)這個(gè)公告，Jonathan Yarden正在考慮進(jìn)行這樣的一次檢驗(yàn)，也就是對(duì)安全性在無(wú)線(xiàn)網(wǎng)絡(luò)中扮演的角色進(jìn)行一次檢驗(yàn)，并且根據(jù)這個(gè)檢驗(yàn)的結(jié)果，他將針對(duì)如何保護(hù)無(wú)線(xiàn)網(wǎng)絡(luò)的安全提出一些建議。

多年以前，在網(wǎng)絡(luò)概念股非常繁榮時(shí)期的一次計(jì)算機(jī)展覽上，我在一個(gè)現(xiàn)在已經(jīng)癱瘓了的高速無(wú)限網(wǎng)絡(luò)提供商的展臺(tái)前駐足，針對(duì)這個(gè)提供商的無(wú)線(xiàn)網(wǎng)絡(luò)，我向他們咨詢(xún)了一些關(guān)于無(wú)線(xiàn)網(wǎng)絡(luò)的安全性方面的問(wèn)題。因?yàn)?02.11是當(dāng)時(shí)非常流行的一種無(wú)線(xiàn)網(wǎng)絡(luò)規(guī)格，因此在這些問(wèn)題中，我還專(zhuān)門(mén)提到了802.11標(biāo)準(zhǔn)本身所固有的不安全因素。

當(dāng)時(shí)在這個(gè)展臺(tái)上服務(wù)的工程師向我保證，該公司的無(wú)線(xiàn)訪(fǎng)問(wèn)技術(shù)當(dāng)然是非常安全的，但是他無(wú)法向我解釋他們是如何實(shí)現(xiàn)這種無(wú)線(xiàn)網(wǎng)絡(luò)的安全性的，并且沒(méi)有解釋這種技術(shù)為什么是安全的。非常明顯的一點(diǎn)是，對(duì)于我作為一個(gè)潛在的客戶(hù)，竟然能夠提出這樣簡(jiǎn)單的問(wèn)題，他們甚至感到非常可笑，并且看起來(lái)他當(dāng)時(shí)對(duì)我的態(tài)度非常惡劣，除了想讓我從展臺(tái)前離開(kāi)外，他不想回答我的任何問(wèn)題。

當(dāng)然，這個(gè)展臺(tái)是經(jīng)過(guò)精心制作的，完全使用了當(dāng)時(shí)非常流行的A/V 展覽，并且每個(gè)經(jīng)過(guò)展臺(tái)的觀眾都回被他們那非常現(xiàn)眼的著裝所吸引。但是，他們這種外表掩飾了他們的無(wú)知，因?yàn)樗麄儾涣私庾约寒a(chǎn)品中所存在的不安全性。

雖然我們中的大多數(shù)人都認(rèn)識(shí)到這種事實(shí)：表面現(xiàn)象往往很容易欺騙自己，但是，既便是這樣，對(duì)于絕大多數(shù)人來(lái)說(shuō)，外表仍然能夠代表幾乎所有的一切。所以，我對(duì)聯(lián)邦調(diào)查局這個(gè)非常正規(guī)的機(jī)構(gòu)最近一次向人們的演示感到非常贊賞：他們最后向人們演示了這樣的一個(gè)事實(shí)，那就是絕大多數(shù)的無(wú)線(xiàn)網(wǎng)絡(luò)都是不安全的。另外，該機(jī)構(gòu)還宣稱(chēng)802.11b也是一種不安全的技術(shù)，雖然我在幾年前曾經(jīng)非常關(guān)注802.11b這種技術(shù)，它使用有線(xiàn)等效加密技術(shù)來(lái)代替標(biāo)準(zhǔn)的802.11a進(jìn)行訪(fǎng)問(wèn)。這種技術(shù)被認(rèn)為是802.11a的一種安全替代技術(shù)，曾經(jīng)得到了大家的大力追捧。

我真的希望這個(gè)事實(shí)能夠讓人們能夠相信，一定要有充分的信息安全知識(shí)。表面上看來(lái)，F(xiàn)BI只是花費(fèi)了三分鐘就演示完了如何攻擊WEP加密技術(shù)，并且獲得了安全網(wǎng)絡(luò)的訪(fǎng)問(wèn)權(quán)限。

FBI的發(fā)現(xiàn)應(yīng)該可以作為給目前正在使用無(wú)線(xiàn)訪(fǎng)問(wèn)技術(shù)的機(jī)構(gòu)的一個(gè)警告，并且這可以作為阻止某些公司全面使用無(wú)線(xiàn)網(wǎng)絡(luò)的一個(gè)理由。無(wú)論怎么說(shuō)，那些使用無(wú)線(xiàn)網(wǎng)絡(luò)的公司應(yīng)該更應(yīng)該意識(shí)到，安全在無(wú)線(xiàn)網(wǎng)絡(luò)中所扮演的角色。

無(wú)論FBI的演示能夠說(shuō)明什么，對(duì)于一個(gè)公司來(lái)說(shuō)，很重要的一點(diǎn)就是應(yīng)該懂得這樣的概念：無(wú)論你使用了多么安全的無(wú)線(xiàn)網(wǎng)絡(luò)，除非你部署了端到端的加密技術(shù)，否則都沒(méi)有所謂的真正的安全通信。雖然無(wú)線(xiàn)技術(shù)有很多的優(yōu)勢(shì)，但是無(wú)線(xiàn)的安全性永遠(yuǎn)也沒(méi)有辦法和有線(xiàn)網(wǎng)絡(luò)的安全性相提并論。

不幸的是，大多數(shù)的公司在選擇可用性和安全性方面，更趨向于可用性，很多公司都已經(jīng)部署了無(wú)線(xiàn)接入網(wǎng)絡(luò)，在很多軟件公司中這種使用方式尤其明顯。另外，在很多情況下，許多組織并沒(méi)有考慮到這樣的事實(shí)，那就是在很多場(chǎng)合下，無(wú)線(xiàn)接入技術(shù)并非真的有比有線(xiàn)網(wǎng)絡(luò)多更多的優(yōu)勢(shì)。

事實(shí)上，這真的可能會(huì)引入更多的新問(wèn)題。我都記不清我曾經(jīng)親自見(jiàn)證過(guò)多少次使用802.11b技術(shù)的無(wú)線(xiàn)網(wǎng)絡(luò)出現(xiàn)問(wèn)題，這些問(wèn)題完全是由于使用2.4GHz的無(wú)線(xiàn)電話(huà)（常常是無(wú)線(xiàn)PBX系統(tǒng)）所導(dǎo)致的。

雖然我個(gè)人對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)訪(fǎng)問(wèn)技術(shù)存在一定的偏見(jiàn)，但是如今無(wú)線(xiàn)網(wǎng)絡(luò)已經(jīng)大量存在于公司環(huán)境中，并且配置無(wú)線(xiàn)網(wǎng)絡(luò)的公司還在不斷增加。然而，對(duì)于那些在決定是否使用無(wú)線(xiàn)網(wǎng)絡(luò)的公司來(lái)說(shuō)，我還是強(qiáng)烈建議他們使用下面的戰(zhàn)略：只在那些不可能使用有線(xiàn)網(wǎng)絡(luò)訪(fǎng)問(wèn)的情況下使用無(wú)線(xiàn)網(wǎng)絡(luò)訪(fǎng)問(wèn)技術(shù)，不要將其作為一個(gè)簡(jiǎn)單的替換技術(shù)或者作為一種趨勢(shì)來(lái)替換有線(xiàn)網(wǎng)絡(luò)。

并且，在作出決定時(shí)，安全性應(yīng)該是首先要考慮的因素，一定要記住的是，之所以要保留有線(xiàn)網(wǎng)絡(luò)，要考慮的因素是多方面的，而不僅僅是安全性的因素。例如，有線(xiàn)網(wǎng)絡(luò)可以處理非常高速的帶寬，并且可以提供較好的安全性，因?yàn)樗麄儾恍枰诰W(wǎng)絡(luò)中廣播信息包。

當(dāng)然，如果帶寬不是要考慮的主要問(wèn)題，并且可以確信無(wú)線(xiàn)是解決問(wèn)題的方法的話(huà)，剩下的問(wèn)題是確保盡可能的讓無(wú)線(xiàn)接入網(wǎng)絡(luò)不要依賴(lài)于WEP技術(shù)而盡可能的采取其他更為安全手段。目前實(shí)現(xiàn)這個(gè)目的的兩個(gè)方法為：使用安全協(xié)議如點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）或者第二層隧道協(xié)議（L2TP），并且根據(jù)用戶(hù)的名字和口令來(lái)實(shí)現(xiàn)訪(fǎng)問(wèn)控制或者一些其他的認(rèn)證方法。如果在混合網(wǎng)絡(luò)中使用IPSec安全協(xié)議，那你既可以獲得訪(fǎng)問(wèn)控制功能，也可以獲得端到端的加密功能，這樣一來(lái)，可以讓你的無(wú)線(xiàn)網(wǎng)絡(luò)比有線(xiàn)網(wǎng)絡(luò)的訪(fǎng)問(wèn)更為安全。但是，要記住的是，目前這個(gè)解決方案仍然還存在一些沖突需要解決。

當(dāng)然，有些人可能會(huì)認(rèn)為，Wi-Fi保護(hù)訪(fǎng)問(wèn)（WPA）提供的802.11i具有上述所有安全特性， WEP將會(huì)被WPA所替代，并且可以具備很好的沖突控制功能。雖然這是一個(gè)很好的新聞，但是，在有規(guī)劃替換現(xiàn)存的無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)備或者升級(jí)現(xiàn)存的無(wú)線(xiàn)網(wǎng)絡(luò)固件之前（即使這種技術(shù)可能能夠?qū)崿F(xiàn)），802.11i對(duì)大家還沒(méi)有任何用處。

另外，要記住的是，無(wú)論出現(xiàn)了什么樣的安全技術(shù)或者安全標(biāo)準(zhǔn)，總是會(huì)有人在那里試圖對(duì)其進(jìn)行攻擊，WPA也不例外。在我的經(jīng)驗(yàn)中，你可以以很低的成本部署吉比特以太網(wǎng)進(jìn)行訪(fǎng)問(wèn)，在不考慮數(shù)據(jù)加密的前提下，這種技術(shù)可以提供更好的安全性和帶寬。

如果無(wú)線(xiàn)接入網(wǎng)絡(luò)是你的唯一選擇的話(huà)，在決定替換或者升級(jí)現(xiàn)存的802.11a和802.11b設(shè)備之前，先看一看在你現(xiàn)存的基礎(chǔ)設(shè)施上使用PPTP/L2TP 或者IPSec等安全協(xié)議的可能性。雖然從技術(shù)的觀點(diǎn)出發(fā)，這并不是一個(gè)"非常好的"解決方法，但是這是一種非常有用的做法，并且可以證明這種做法將比802.11i更為安全。至于我，我仍然愿意使用有線(xiàn)網(wǎng)絡(luò)。

責(zé)任編輯 趙毅 zhaoyi#51cto.com TEL:（010）68476636-8001