安全專家建議使用802.11i認(rèn)證 + AES GCM加密，這套安全體系非常安全。每一個(gè)接入網(wǎng)絡(luò)的客戶端都需要使用TLS安全隧道加密 'username/password' 的組合完成認(rèn)證，安全性完全依賴于TLS安全可靠性，TLS安全可靠性無(wú)容置疑，這里幾乎沒(méi)有什么安全漏洞。

完成了認(rèn)證，TLS會(huì)輸出一套密鑰供AES GCM算法使用，以保護(hù)無(wú)線客戶端的用戶流量。這個(gè)加密算法為安全專家強(qiáng)烈推薦的算法，安全性也不容置疑。

好像一切都無(wú)懈可擊，天衣無(wú)縫。那就另辟蹊徑，壞人登場(chǎng)了，弄一個(gè)無(wú)線熱點(diǎn)，SSID和正規(guī)軍一摸一樣，哪些電腦、手機(jī)啥的連無(wú)線熱點(diǎn)時(shí)，會(huì)掃描可用的SSID，誰(shuí)的信號(hào)強(qiáng)就撲向誰(shuí)，假熱點(diǎn)還裝模作樣用戶認(rèn)證，用戶看到認(rèn)證框還輸入了“username/password”，電腦手機(jī)就綁定到假AP上了，用戶的上網(wǎng)流量全部流經(jīng)假AP，此時(shí)假AP如何操縱流量全看壞人的興趣與心情。

不要忘了，壞人還知道用戶的“username/password”，連入正規(guī)軍的熱點(diǎn)小菜一碟。真的有那么可怕？這套嚴(yán)密的安全體系普遍用在企業(yè)無(wú)線解決方案里。如果無(wú)線的解決方案不能有效對(duì)付假冒的無(wú)線AP，那么這個(gè)無(wú)線的解決方案是不安全的。

如何對(duì)付假冒AP？

無(wú)線管理監(jiān)控系統(tǒng)，需要實(shí)時(shí)監(jiān)控?zé)o線覆蓋區(qū)域假冒AP的存在，發(fā)現(xiàn)并定位它，然后將其從網(wǎng)絡(luò)里移走。當(dāng)然如果虛假AP在公司圍墻的外部，即使發(fā)現(xiàn)并定位它，移走也不一定現(xiàn)實(shí)。對(duì)付這個(gè)不可控區(qū)域最好的辦法就是，屏蔽外部無(wú)線信號(hào)進(jìn)入園區(qū)，同時(shí)屏蔽公司內(nèi)部信號(hào)離開(kāi)園區(qū)。這樣公司員工的電腦想連假冒的SSID也不能夠，因?yàn)樗巡坏教摷俚腟SID。

共享密碼認(rèn)證

使用共享密碼的PSK認(rèn)證方式的無(wú)線解決方案，由于每一個(gè)用戶都使用同一個(gè)密碼連AP，無(wú)法控制密碼的擴(kuò)散范圍，有些甚至擴(kuò)散到互聯(lián)網(wǎng)上。

凡是知道密碼的人都可以連入無(wú)線AP，可以盡情地捕獲所有的無(wú)線信號(hào)數(shù)據(jù)，然后把加密的無(wú)線數(shù)據(jù)全部解密出來(lái)，在明文數(shù)據(jù)的寶藏里尋寶了。

WEP加密

這是最弱的一種無(wú)線加密方案，弱就弱在使用24位的初始化向量（IV）長(zhǎng)度，意味著重復(fù)使用相同IV的概率非常高。網(wǎng)上破解無(wú)線密碼的教程都是針對(duì)這個(gè)算法的，使用工具可以非常輕松破解之。拿到了密碼就可以免費(fèi)蹭網(wǎng)了。。。

盡管WEP已經(jīng)被新一代無(wú)線技術(shù)標(biāo)準(zhǔn)所拋棄，但是在老款的無(wú)線路由器上還是支持的。沒(méi)有專業(yè)知識(shí)的群眾還會(huì)無(wú)意中繼續(xù)使用它。

如果有人還繼續(xù)在使用WEP，請(qǐng)無(wú)情地拋棄它，因?yàn)樗懿话踩?/strong>