正在阅读：WLAN无线网络安全管理三大风险和攻防九式WLAN无线网络安全管理三大风险和攻防九式

　　大部分的802.11g产品都支持WPA，但把老的产品升级为WPA2还有一个过程，甚至基于WPA2的802.11i标准在2004年6月才被批准。

　　本人推荐使用WPA，因为它和WPA2一样有效，并且有更广泛的支持，至少我是这样认为的。然而，要使用WPA的话，可能需要你购买一些新的设备了，特别是正在使用802.11b的WLAN中，不过标准的802.11g设备也不是很贵的，并能得到最佳的安全投资回报。

　　许多消费级的AP仅仅支持“Personal”版本，也叫做WPA-PSK(Pre-Shared Key)，也有一些消费级的无线产品支持WPA2或WPA“Enterprise”(也就是通常所说的WPA“RADIUS”)，不过如果没有实现它所必需的附加RADIUS服务支持的话，这项功能也没什么大的用处的。

　　对许多个人的WLAN来说，使用WPA-PSK就可提供足够的安全保护了，不过所使用的密码必需足够长并且是没有什么具体含义的，不要使用数字，或者来自字典中的单词，因为如同cowpatty之类的程序已经可完成对WPA-PSK的基于字典的攻击。许多安全方面的专家推荐使用128bit的PSK，现在的许多WPA设备都支持字母与数字的PSK，也就是说，只需要16个字符就可达到专家的要求。

　　在因特网上有许多的密码产生器，我们可以通过Google来快速搜索到。例如在http://www.elfqrin.com/pwgen.html这个页面中，有诸如小写字母、大写字母、数字、空格与定制这些的组合来产生密码，甚至还可估计出要破解产生的这些密码大致需要多长的时间。

　　在这点的最后，我想提到的是现在有些生产厂商已开始出售这样的产品了，他们许诺在无线连接的安全保密方便可轻易地通过“一键设置”来未完成。Buffalo Technology最先生产出来了基于他们的AOSS(AirStation One-Touch Secure Station)技术的第一款产品;Linksys最近也开始出售基于相似技术的产品了，不过这种技术是从Broadcom的SecureEasySetup授权过来的。

　　3、面对拥有WEP/WPS-PSK破解技术的人

　　虽然WPA和WPA2解决了许多由WEP带来的难题，但它们依旧容易受到攻击，特别是关于PSK，许多人已可破解WEP密钥了。要破解WPA和WPA2“Personal”的pre-shared key是比较困难的，并且在时间上的开销也是相当长在，特别是假如使用了AES加密编码的话更是困难。虽说如此，但它还是可能被破解。

　　对策8:增加身份验证

　　面对各种新兴的网络攻击，管理员应该在网络中使用身份验证。身份验证通过要求一台客户端计算机“注册”到网络中来增加另外一层次上的安全措施。一般来说，这个“注册”过程包含被身份验证服务器处理的证书、标记和手动输入的密码(也叫做Pre-Shared-Key)组成。802.1x通过WEP、WPA和WPA2提供存取控制构架的使用，并且支持进行真实身份验证的几种EAP(Extensible Authentication Protocol)类型，George Ou’s关于Authentication Protocols的文章有大量的关于EPA、WPA和WPA2方面的内容。