安全问题仍待改进

    虽然我们不想打击各位读者的信心，但以上的 SSID、WEP 或 MAC 地址绑定保护方式，对于一般的恶意使用者已经足够，但真正有心且有能力的黑客，只要花一段时间就可以破解，接下来就是电脑管理与电脑代为管理了。

    由于Wi-Fi无线网络架构在以太网IEEE 802.3之下，因此所有的特性都和以太网相同，包括最重要的数据传输方式是属于广播型的特性。简单的说，以太网就像在一个房间中一堆人在讲话，每个人都听得到对方在说什么，就算说的是密码，一样可以听得到。因此就算无线网卡无法使用无线接入点的服务 (不能通过无线接入点连上Internet) ，它还是可以看到其它网卡与无线接入点之间传输的数据(或称封包)，只要使用专门的网络软件如Sniffer，查看这个内部网络的传输数据，扫描特定位置且重复的数据，就可以看出封包内的SSID、WEP及MAC地址资料，进而更改设定便可使用无线接入点的服务，虽然更改MAC地址会造成冲突（同一内部网络里不能有两个MAC地址相同的网络设备，后来的会使先到的失效），但入侵的目标已经达成。

    目前最好的认证方式是802.1x，它同时适用于有线与无线网络，且不易被破解，但它要用专用的服务器，通常只有企业用户才会架设，对于一般家庭使用者，则可等待今年会出现的802.11i，它将有更强的加密机制。至于现阶段，以上所教的设定就能架起基本的防护，如果你真的需要利用无线网络传输非常隐密而重要的数据，最好还是咨询专业人员，架设安全性更高的网络环境。

    占用带宽较大的私接问题

    宽带接入服务器（ BAS ）作为用户的接入管理系统，是用户接入宽带服务网络的第一道门户，解决上述问题是 BAS 目前面临的一项重要需求。如果原来的接入系统并不满足这样的要求，那么就需要增加额外的系统来满足这样的需要，笔者在这里只简单介绍一下自己实验室用到的一套系统吧：

    目前用户私接的手段一般有两种：使用 NAT 的技术，包括使用即插即用功能的 ADSL MODEM 、小型的 router 、其他含有 NAT 功能的拨号终端等等；还有就是使用 PROXY 等各种应用代理技术的一些软件，例如 windows 平台上的 WINGATE 等等。后者在判断上比前者困难的多。

    针对这些私接手段，从技术上而言，目前有以下的防护机制：

    控制 TCP 连接并发数目或者是速率。这种方法并不能准确得达到防用户私接目的，但是对于防止私接网吧和企业用户还是有相当不错的效果，而且私接的用户越多，效果将会越好；

    根据用户发出的 IP 数据包判断是否是有 NAT 网关存在，这种技术仅仅能判断用户是否通过 NAT 来进行用户私接，如果做的好的话，还可以辨识到底有多少私接用户；

    判断是否是通过 proxy 等各种应用代理技术来进行判断。因为如果通过应用代理，经过代理器处理以后，与单独一个正式用户上网的表现就显的一模一样，那么使用在 NAT 检测类似的技术就不行了。同时在解决此问题的时候，必须兼容各种各样的以应用代理技术和各种的操作系统。

    笔者的实验室采用的是中太防私接解决方案，它的特点主要有：

    可以作为 BAS ，防私接是其中的一部分安全功能模块，节约用户投资；

    可以作为单独的产品，为原有的接入系统提供防私接的功能，组网上可以进行串接和并接方式的组网；由于基于 BAS 的硬件平台，有很高的性能，没有数据包处理性能瓶颈；

    识别 NAT 方式还是代理方式进行私接，与私接设备的代理技术、系统无关；

    可以判定私接用户的数量，提供接口供运营商决定对于用户如何处理；对于只有一个用户的 NAT 方式或代理方式，并不影响其上网，保证了目前 ADSL modem 的各种工作模式；

    可以强制推送页面给私接用户，进行警告；可以提供各种更加严格的私接用户限制接口供运营商来决定如何处理私接用户；

    标准的 SYSLOG 日志；