每次举办无线局域网安全主题活动的时间,总是有人问我虚拟专用网络是不是无线网络安全的一种解决方案。(无线网络Wi-Fi是支持802.11系列标准无线局域网的通俗称呼)。我总是要告诉他们虚拟专用网络不能代替有效的无线网络安全措施,为此我甚至发布了关于企业无线局域网安全的全面指南,但是,虚拟专用网络的支持者还是坚持他们的虚拟专用网络万能论,我不得不在到的每一个地方利用所有的时间来解释虚拟专用网络和无线网络安全之间的区别。
虚拟专用网络专属阵营
虚拟专用网络专属阵营包括了专门销售虚拟专用网络的公司和与无线网络安全相比更熟悉虚拟专用网络的一部分人,他们将无线网络安全的问题,看着虚拟专用网络的范畴,因为这样就可以将他们的业务包括在内了。这是一个很典型的例子,当你有一把锤子的时间,所有的东西看起来都象钉子。他们会告诉你,只要使用了虚拟专用网络就不用担心无线网络的安全了。来自虚拟专用网络专属阵营的论点是,IEEE 802.11标准本身不能为安全提供一个有效的解决方案。为了加强论点,他们就会以动态有线等效保密(WEP)模式的崩溃为例子,或者直接指出无线网络保护访问(WPA)模式是怎么轻易被破解的。
无线网络保护访问(WPA)模式真的能被破解
任何声称无线网络保护访问(WPA)模式能被破解的人其实并不了解什么是无线网络保护访问或者如何进行破解。他们所指的,实际上是这样一种情况,一些简单模式的无线网络保护访问(通常为家庭用户所使用)使用的是预共享密钥PSK,当它们被拦截的时间,可能由于过于简单被猜测出来。但这只能说明无线网络保护访问预共享密钥是无效的。一个简单的包含十个(或者更多)随机字母和数字的预共享密钥是不可能被暴力穷举法所破译的。并且,我也可以指出,在使用预共享密钥的虚拟专用网络中同样存在这样的问题。
动态有线等效保密(WEP)模式是对IEEE 802.11标准的控诉
动态有线等效保密(WEP)模式已经被完全破解,这个是毫无疑问的。IEEE 802.11的动态有线等效保密(WEP)模式是二十世纪九十年代后期设计的,当时功能强大的加密技术作为有效的武器受到美国严格的出口限制。由于害怕强大的加密算法被破解,无线网络产品是被被禁止出口的。然而,仅仅两年以后,动态有线等效保密模式就被发现存在严重的缺点。但是二十世纪九十年代的错误不应该被当着无线网络安全或者IEEE 802.11标准本身,无线网络产业不能等待电气电子工程师协会修订标准,因此他们推出了动态密钥完整性协议TKIP(动态有线等效保密的补丁版本)。
