通过Linux工具来全面保障无线网络安全

　　根据许多权威组织的观点：Wlan及其无线应用和Linux系统是未来IT产品的热点。随着网络和电子商务的发展，人们对无线电子商务的期望越来越高，无线技术被称为电子商务的“生长激素”。特别是我国政府对IEEE802.11标准技术宣布支持后，无线网络技术和产品(包括无线网卡、网桥、无线宽频路由器等)进入许多企业和家庭的日常应用中。无线网络的“随时、随地、移动”的特点成为对它的需求的亮点。Linux在有线网络中的安全性一直备受关注。下面看看通过Linux工具全面保障无线网络安全。

　　一、 对Linux无线网络安全的主要威胁：

　　1、无线网络嗅探

　　无线局域网(WLAN)由于它传送的数据利用无线电波在空中传播，发射的数据可能到达预期之外的接收设备，因而WLAN存在着网络信息容易被窃取的问题。嗅探一般工作在网络的底层，可以在不易被察觉的情况下将网络传输的全部数据记录下来，从而捕获账号和口令、专用的或机密的信息，甚至可以用来危害网络邻居的安全或者用来获取更高级别的访问权限、分析网络结构进行网络渗透等。

　　WLAN中无线信道的开放性给网络嗅探带来了极大的方便。在WLAN中网络嗅探对信息安全的威胁来自其被动性和非干扰性，运行监听程序的主机在窃听的过程中只是被动的接收网络中传输的信息，它不会跟其它的主机交换信息，也不修改在网络中传输的信息包，使得网络嗅探具有很强的隐蔽性，往往让网络信息泄密变得不容易被发现。尽管它没有对网络进行主动攻击和破坏，但由它造成的损失也是不可估量的。

　　2、802.11标准的本身安全缺陷

　　根据CERT的数据，无线网络的重要安全问题整理如下：

　　1. 网络管理者未设定安全相关功能：无线网络设备出厂时的默认值大多没有启动安全相关的功能。虽然有些无线网络安全功能有已知的漏洞，但是这些安全相关的功能多少还是可以提高入侵难度。

　　2. IV(起始向量)长度太短或是常为固定值：24bits长度的IV造成加密用的金钥有重复使用的机会。当金钥重复时，一定程度的攻击者可能加以利用并破解加密的保护。

　　3. 加解密用的金钥长度太短：40bits长度的金钥已经不敷使用。104bits长度的金钥应该是最低要求。金钥长度愈长，攻击者使用暴力攻击法找到金钥的难度就愈高。

　　4. 缺乏适当的金钥管理机制：一个系统的安全有时候维系在金钥的安全程度上。若无适当的金钥管理机制能减少金钥被窃取的可能性，以及定期自动更换金钥的机制，金钥可能成为整个区网中最脆弱的地方。

　　5. RC4金钥算法存在弱点，且WEP使用RC4的方法也不正确：24bits长度的IV加上RC4金钥产生算法的弱点导致攻击者可以有效地从收集到的信息里找出金钥。这类攻击需要对WEP及RC4有较深入了解的攻击者。

　　6. 封包完整性的保护很脆弱：CRC32以及其它的线性方程式并不适用于提供密码学上数据完整性的保护工作。使用这类线性方程式并不能提高恶意窜改数据的门坎。要完善地保护资料完整性需要依靠一些密码学的方法，使用CRC32等非密码学的方法通常无法达到保护数据完整性的目标。

　　7. 没有使用者身份认证机制;仅有简易的SSID辨识：需要身分认证的系统若建构于无线区网上将会造成更多的弱点。

　　8. 设备认证方式采用挑战-响应方法：单向的挑战-响应认证方式会遭受「Man-In-The-Middle」方式的攻击。双向认证可互相确认使用者以及无线区网的身分。

　　9. 无线区网通讯协议设计缺陷：无线区网通讯协议在设计上有缺陷，导致恶意攻击者除了可以进行实体层的阻断服务攻击以外，还可执行数据链结层的阻断服务攻击。

　　10. 无线区网设备安全问题：无线区网设备包括存取点以及使用者端。两者都有很多的安全问题，导致攻击者有机可趁直接攻击无线区网设备，以取得控制权。

　　3、针对Linux无线网络的拒绝服务攻击

　　Fata-Jack是一个典型工具。它实际是一个Linux下的C程序。文件很小只有12KB。经过编译它就是一个攻击脚本。一旦一个恶意用户登陆AP，他首先向AP发送一个带有关联的客户端的源地址的验证请求。该验证数据包中故意包含一些非法信息。当AP介绍到该数据时，就对该IP地址欺骗的客户端撤消验证。马上受到侵害的客户端不得不使用AP进行重新验证，周而复始就形成一个死循环。实现的拒绝服务攻击。Fata-Jack详细信息可以查看：http://www.wi-foo.com/soft/attack/ 网页。

　　4. Rogue components

　　Rogue components是指那些未授权的无线组件。我们讨论得最多的流氓组件下面是主要的两种形式：

　　1. 不可靠的接入点

　　2. 恶意的接入点

　　不可靠的接入点

　　你应该提防的第一类Rogue components接入点是来自你邻近网络的不可靠接入点。那么来自其它网络的不可靠接入点会给你带来什么样的危害，首先，如果你的公司拥有严格的Internet访问控制策略而隔壁的公司没有，那么你的雇员也许能够通过一张无线网卡到未授权的站点上尽情的冲浪，而你却永远不会知道发生了什么事。其次，如果你的从隔壁的DCHP服务器分配到了一个IP地址，而这个IP地址又正好和本公司另一台客户机一样，则可能会引起网络冲突。

　　恶意的接入点

　　最应提防的Rogue components是怀有恶意的人连接到你网络的接入点。一般而言，当一个黑客想要嗅探数据包，或者想要将公司的资源泄露出去，他将会使用这样的技术。这名员工还将费尽心机地采取一些措施以让自己的行动更加隐蔽，例如配置Rogue components接入点使用隐藏的SSID。

　　二、 安全策略

　　1、使用安全的无线设备和网络拓朴

　　从你选择设备开始就得慎重考虑。虽然目前市面上充斥着很多极廉价的AP，表面上看可以节省企业的投资，但是从日后的管理上看，却很有可能是得不偿失的。我们可以将现有的AP归为两类，一类是所谓的Lightweight AP，可以翻译成简装AP，它省去了很多重要功能，尤其是管理功能以及内部安全功能，因而降低了成本;另一类则是所谓的Heavyweight AP，可以翻译成重装AP，比如思科的Aironet AP，本身就包含了内部安全以及管理功能。

　　如：基于MAC地址的访问控制，可锁定AP和设置AP密码。我们已经知道WEP并不安全，尤其64-bit(40-bit 加密金钥)的 WEP比较起128-bit更在是不堪一击，因此，选购无线网络设备时，记得避免购买只支持64-bit WEP的无线网络设备。如果您已经买了只有64-bit WEP的无线网络设备，那么试者找找看有没有新的驱动程序(有些卡只需要更新驱动程序即可以使用128-bit WEP)。

　　另外，记得尽可能购买可以更新韧体的设备，有韧体的更新，才能确保您的设备可以继续跟上标准。现今还有许多和安全相关的标准正在发展之中，如果您的韧体无法更新，相对地也就宣告了以后没有办法升级的命运了。

　　在组建无线局域网时，AP和无线路由器放置地点十分重要。如果摆放不当，网桥周围的障碍物会削弱信号的传输质量，影响数据传输速度。合理布置无线AP和无线路由器及工作站的位置，同样对网络安全性十分重要。例如，应将AP置于接近建筑物中心的地方，远离外向墙壁或窗户。这样不仅可使所有办公室能够更好地接入WLAN，而且还可减少来自外界的干扰，而且还应灵活地减少接入点广播强度，仅覆盖所需区域，减少被窃听的机会。

　　2、取消SSID自动播放功能

　　所有无线局域网都有一个缺省的SSID(服务标识符)或网络名。立即更改这个名字，用文字和数字符号来表示。如果企业具有网络管理能力，应该定期更改SSID。不要到处使用这个名字：即取消SSID自动播放功能。

　　3、使用干扰技术防范拒绝服务攻击

　　/fakeap.pl 是一个使用Perl语言编写脚本程序，是一个针对Linux网络嗅探的工具。具体应用软件是：fakeap-0.3.1可以在http://www.blackalchemy.to/project/fakeap/ 下载。下载后解压赋予权限即可运行。

　　chmod +x fakeap.pl

　　./fakeap.pl --interface wlan0 --words essid.words

　　fakeap 0.3.1 - Wardrivring countermeasures

　　Copyright (c) 2002 Black Alchemy Enterprises. All rights reserved

　　Using interface wlan0:

　　Using 5306 words for ESSID generation

　　Using 20 vendors for MAC generation

　　-------------------------------------------------------------------------

　　0: ESSID=pompey chan=10 Pwr=12 WEP=N MAC=00:04:E2:39:31:F3

　　1: ESSID=straub chan=10 Pwr=1 WEP=N MAC=00:02:2D:C0:B2:35

　　2: ESSID=galois chan=10 Pwr=14 WEP=N MAC=00:80:0F:5F:B7:1E

　　……

　　这里我们没有使用默认SSID，向Fackap提供了一个SSID词汇表，可以看到它向无线网络中发送了大量假的数据包。干扰技术可以在一定程度上防范网络嗅探，它不能阻止嗅探器攻击无线网络，但是可以使入侵高手不得不面对数以千万计的AP数据包，去猜测真实的网络结构，防止非经过授权恶意登陆AP。但是使用广播假的信息也会降低网络的带宽。

　　4、检查逸漏的无线电波强度

　　经常性地，您可能需要找台装有无线网络卡的笔记型计算机到您的建筑物四周围走动一下，同时要记得先帮您的无线网络卡外加强一点的天线。尤其要注意的地方包括建筑物附近停车地点，或是隐密的地方，逐一检查这些地方是否可以接收到逸漏出来的无线电波以及强度。当然，或许这些逸漏的电波强度已经衰减到无法 让一般无线网络卡使用，但是配上一支好一点的天线，还是有可能以1Mbps速度连上你的无线网络，别小看这小小的1Mbps，它已经足够让黑客玩上好一阵子了。

　　5、使用安全工具

　　1. Kismet

　　Kismet(http://www.kismetwireless.net/)是一款针对802.11b无线网络嗅探器，它用来捕捉区域中无线网络的相关信息。功能有：支持大多数无线网卡(Linksys， D-Link， Rangelan， Cisco Aironet cards， and Orinoco based cards)，能通过UDP、ARP、DHCP数据包自动实现网络IP阻塞检测，能通过Cisco Discovery协议列出Cisco设备，弱加密数据包记录，和Ethereal、tcpdump兼容的数据包dump文件，绘制探测到的网络图和估计网络范围。Kismet使用ar5k 芯片组同样支持WSP100 802.11b 无线遥感协议。Kismet 2.71在Linux环境下的工作界面见下图。

　　Kismet工作特点：

　　1、 支持CiscoCDP数据处理证书。

　　2、 支持WEP(Wired Equivalent Privacy)数据包解码。WEP安全技术源自于名为RC4的RSA数据加密技术，以满足用户更高层次的网络安全需求。

　　3、 自动探测每一个无线接入点(AP，Access Point)的结构。

　　4、 自动将数据转换为可视化的图表。

　　5、 Kisme支持WEP(Wired Equivalent Privacy)加密技术，WEP安全技术源自于名为RC4的RSA数据加密技术，以满足用户更高层次的网络安全需求。

　　通常情况下Kismet 2.71可以通过500000-1000000个通信数据包(时间在3-6个小时)就能破解WEP密匙，这是第一步，下面他们会使用Tcpdump、Ethereap等高级网络嗅探器入侵无线网络。

　　Kismet 几乎拥有所有你期待的一个正式数据包过滤工具上出现的所有功能，而它还拥有专门为无线网络量身定做的功能。例如，Kismet拥有一个内建的机制，来检测任何运行NetStumbler的主机。这个软件同样被设计用来解码俘获的数据包。

　　在前面，我提到有些雇员可能会通过隐藏接入点的SSID来隐藏盗匪接入点。Kismet能防止这类技术，因为它支持SSID解码。 就像你看到的那样，Kismet完全有能力在你的网络中检测到盗匪接入点。现在你可能对它的工作方式有一些好奇。Kismet使用有无线网卡的笔记本或便携机来扫描无线电波。Kismet可以同时检测到多个源数据包。因为它能够扫描电波，它能在任何可用的频率下检测无线设备。

　　不过，还是有一些检测的限制。当前版本的Kismet只能检测802.11b的无线设备。如果802.11g设备能向下兼容802.11b，那么Kismet也能检测得到。不过你可以完全忘记使用Kismet来检测不流行的802.11a网络，除非你找到兼容Kismet的802.11a网卡。当Kismet检测到设备的时候，它在一张地图上绘制设备的方位。绘图功能可以通过使用可选的GPS卡来实现。当无线设备被检测的时候，辨识信息也同样被纪录下来。

　　例如，SSID将会被纪录下来，因为它是设备的生产商。Kismet还能够提示你哪些设备使用脆弱的加密，哪些接入点使用缺省的设置(这明显是一个极大的安全风险)。为了完成绘图，你必须带着运行Kismet的无线设备绕着办公室走上一圈，并让Kismet看到所有它能检测到的。在绘制每一个检测到的设备的方位时，Kismet能在地图上绘制圆圈来指示每个设备的信号区域。

　　Kismet甚至可以推测哪些信号在你没有扫描的区域中是可用的，不过如果条件允许，我还是建议你扫描整栋建筑。当你完成了无线扫描，分析你搜集到的数据，寻找所有潜在的安全问题或外来的无线设备是至关重要的。如果扫描显示正常，你可以将结果作为今后扫描的基线。当将来你对检测结果不确定的时候，你可以将其与基线扫描相比较，从而判断设备是友好的还是恶意的。

　　身为一个无线网络的管理者，您必须特别留心无线局域网络上的一些异常现象。尤其必须在隔一段时间之后，就做一次『site survey』。Kismet是一个很好用的工具，它可以找出有哪 些人偷偷把自己的Access Point加到您的无线局域网络中。由于无线网络设备已经是愈来愈便宜了，因此买的人相对地也是愈来 愈多。不只是无线网络卡，内部其它人或其它单位也有可能去购 买他们自己的无线网络存取设备，用来延伸或强化他们无线网络 涵盖范围，或是扩增他们的无线网络频宽。但是这样却会增加管理者相当大的困扰，同时对于安全向的考虑上也是一大挑战，因此经常检查是否有异常设备出现在您的无线局域网络里便变得特别重要。

　　2. AirFart

　　AirFart监听 802.11流量，并实时报告它所监听到的所有无线设备的串行信号的强度，这些信息在一个基于GTK的GUI中显示。AirFart需要安装linux-wlan-ng(http://www.linux-wlan.org/ )项目。

　　AirFart官方网址：http://airfart.sourceforge.net

　　3. WifiScanner

　　WifiScanner也是监听 802.11流量，并实时报告它所监听到的所有无线设备的串行信号的强度，这些信息在一个基于命令行下显示。同样需要安装linux-wlan-ng项目。

　　官方网址：http://wifiscanner.sourceforge.net/

　　4. AirSnort

　　除了Kismet之外，Linux下其它经典的网络嗅探器还有AirSnort。AirSnort是一款无线局域网密钥恢复工具，由Shmoo小组开发。它监视无线网络中的传输数据，当收集到足够多的数据包时就能计算出密钥。AirSnort支持pcmcia 无线网卡“AirSnort”这个程序利用被使用相当普及、根据一般标准设计的网络加密系统“Wi-fi”(或称为802.11b)的特点进入网络。AirSnort在 微软视窗平台下的工作界面见图-2。需要说明的是运行AirSnort系统必须安装GTK+，GLIB-2.2.1函数和模块。

　　官方网址：http://airsnort.shmoo.com/

　　5. 使用KWiFiManager实时监控无线网络

　　KWiFiManager 是一个用于在 Linux 上 KDE 环境中配置和监控您的无线 LAN PC 卡的工具;工具本身是为 3.x 版本的 KDE 所设计的。它使用了 Linux 核心无线扩展，所以大部分无线卡都得到了 pcmcia-cs 程序包的支持。不过，如果您的卡使用了来自 wlan-ng 项目的驱动程序，可能会有问题，因为这些驱动程序与无线扩展并不是百分之百相容。无论如何，您可以试一下，或者您可以为同一块卡使用 Host AP 驱动程序，这个驱动程序是与无线扩展相兼容的。

　　KWiFiManager 以 RPM 程序包的形式发行;不过，有一些安装的先决条件。这些先决条件是 Qt 工具套件(版本 3.0.3 以上)、KDE 3.x 和 glibc2.2。这些程序包都具备后，标准的 ./configure make make install 会编译并安装这个工具。这个应用程序提供了一些显示接口：Signal Quality、Connection Speed、Current Configuration、Access Point monitor、Statistics Viewer 和 Configuration Editor(最后一个显示接口只有 root 用户才可以存取)。

　　6. 使用VPN技术和使用RADIUS技术

　　(1)VPN技术

　　最好的Linux无线安全策略就是认为自己的网络是不安全的，将它和企业内部网络隔离，并且实施自己的安全方案。如果每一项安全措施都是阻挡黑客进入网络前门的门锁，如SSID的变化、MAC地址的过滤功能和动态改变的WEP加密，那么，虚拟网(VPN)则是保护网络后门安全的关键。VPN具有比WEP协议更高层的网络安全性(第三层)，能够支持用户和网络间端到端的安全隧道连接。首先你需要一个理想的网络拓朴图。

　　图中显示我们在无线网络中使用了C类地址的保留IP地址 (192.168.0.0 - 192.168.255.555 )，RFC 1918规定了能够用于本地 TCP/IP网络使用的IP地址范围，这些IP地址不会在Internet上路由，因此不必注册这些地址。通过在该范围分配IP地址，可以有效地将网络流量限制在本地网络内。公司有线网络位于右侧，所有服务器、台式机和连接互联网的网络设备都在该网络中。通过路由器和新的子网(192.168.1.0/24)分开，新子网中只有一个主机即连接路由器的防火墙/VPN(192.168.254.254)。

　　防火墙/VPN同时连接无线子网(192.168.254.0/24)，其中无线AP支持所有的无线客户端计算机，由于多数AP还不能处理VPN数据包所以要把它配置为网桥形式而非NAT形式。AP运行DHCP服务向客户端计算机提供IP地址。当无线计算机连接AP时只能看到192.168.254.0/24网络。然后必须使用事先选择的VPN技术连接VPN防火墙。这个VPN防火墙负责建立所以无线客户端的VPN连接。

　　因此客户端计算机将有两个IP地址：1、用于无线网络(192.168.254.*)2、用于VPN网络(192.168.1.*)的虚拟地址。VPN数据包加密后封装在VPN协议(IPsec等)中，所以不会被入侵者所发现。应当将VPN防火墙配置为只允许VPN报流向企业内部网络。对于使用何种VPN协议可以根据操作系统有很多种选择，Linux下的VPN技术主要有：

　　1、IPSec(Internet Protocol Security)

　　IPSec是IETF(Internet Engineer Task Force)正在完善的安全标准，它把几种安全技术结合在一起形成一个较为完整的体系，受到了众多厂商的关注和支持。通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。

　　优点：它定义了一套用于认证、保护私有性和完整性的标准协议。 IPSec支持一系列加密算法如DES、三重DES、IDEA。它检查传输的数据包的完整性，以确保数据没有被修改。IPSec用来在多个防火墙和服务器之间提供安全性。IPSec可确保运行在TCP/IP协议上的VPNs之间的互操作性。

　　缺点：IPSec在客户机/服务器模式下实现有一些问题，在实际应用中，需要公钥来完成。IPSec需要已知范围的IP地址或固定范围的IP地址，因此在动态分配IP地址时不太适合于IPSec。除了TCP/IP协议外，IPSec不支持其它协议。另外配置比较复杂。

　　Linux实现使用IPSec的软件是：Free S/WAN

　　地址：http://www.freeswan.org/

　　2、PPP OVER SSH

　　SSH一种基于安全会话目的的应用程序。SSH支持身份认证和数据加密，对所有传输的数据进行加密处理。同时，可以对传输数据进行压缩处理，以加快数据传输速度。SSH既可以代替Telnet作为安全的远程登录方式，又可以为FTP、POP等提供一个安全的“隧道”。OpenSSH是SSH的替代软件包，是免费的。用PPP端口在SSH上运行技术实现VPN的方法。优点：安装配置简单。缺点：运行时系统开销比较大。PPP OVER SSH具体应用软件有SSHVNC

　　3、CIPE : Crypto IP Encapsulation

　　CIPE (加密 IP 封装)是主要为 Linux 而开发的 VPN 实现。CIPE 使用加密的 IP 分组，这些分组被封装或“包围”在数据报(UDP)分组中。CIPE 分组被给以目标头信息，并使用默认的 CIPE 加密机制来加密。CIPE 使用标准的 Blowfish 或 IDEA 加密算法来支持加密。根据你所在国家的加密出口法规而定，你可以使用默认方法(Blowfish)来加密你的专用网上的所有 CIPE 交通。CIPE 配置可以通过文本文件、图形化的网络管理工具来完成。用CIPE技术实现VPN的方法，优点：安装配置简单，运行时系统开销比较小。缺点：CIPE不是一种标准VPN协议，不能支持所有平台。

　　一、服务器端配置

　　点击“主选单”-“系统配置”-“网络配置”-“新建”-“CIPE(VPN)连接”

　　进行VPN隧道配置。

　　最后点击“生成”按钮产生一个128位(32个16进制数)的密匙，接着点击确定按钮。最后选择“当计算机启动时激活该设备”。CIPE在服务器端配置见表-1：

　　表-1 CIPE服务器端设定

　　设置值 说明

　　设备：cipb0 序号从0开始

　　隧道穿越设备名称 从下拉菜单中选择

　　本地端口7777 缺剩值7777，可以自己设定

　　远程对端地址 服务器端选择自动

　　远程对端端口 服务器端无

　　远程虚拟地址 自己设定

　　本地虚拟地址 自己设定

　　密匙 可以自己设定，点击“生成”按钮产生

　　服务器配置结束。不过为了使管理员不必使用通过网络运行效果不佳的图形化工具来远程地配置 CIPE 服务器和客户，这里需要了解此时系统产生两个配置文件：

　　(1)/etc/cipe/options.cipcbx

　　x 是从0开始的递增数字，这是为那些想要在 CIPE 服务器上不止有一个 CIPE 连接的客户提供。这个文件存放密匙，主要内容：

　　cttl 64 #设置载体生存时间值(TTL);推荐的值是64#

　　maxerr –1 #服务器错误挂起时间#

　　key 54240266869983357939377846806271299051 #128位密匙#

　　(2)/etc/sysconfig/network-scripts/ifcfg-cipcb0

　　CIPE的网络接口，主要内容：

　　USERCTL=yes #是否允许所有用户修改配置#

　　TYPE=CIPE #接口类型#

　　DEVICE=cipcb0 #给 CIPE 设备命名#

　　ONBOOT=yes #系统启动时激活设备#

　　IPADDR=10.0.0.1 #本地虚拟地址#

　　MYPORT=7777 #通讯端口#

　　PTPADDR=10.0.0.2 #远程虚拟地址#

　　PEER=0.0.0.0 #本地地址，0.0.0.0 表示接受连续监听#

　　ME=192.168.1.9 #对端的 CIPE UDP 地址#

　　TUNNELDEV=eth0 #隧道穿越设备#

　　下面还要作三项工作：

　　1、使系统支持IP转发，使用命令：

　　/sbin/sysctl –w net.ipv4.ip_forward=1

　　2、添加路由：

　　route add -net 192.168.1.3 netmask 255.255.255.0 gw 192.168.1.9

　　3、打开CIPE防火墙端口

　　二、客户机配置

　　由于，CIPE要求服务器和客户机的密匙完全相同所以，首先将密匙文件：options.cipcb从服务器复制到客户机主机的/etc/cipe/ 目录中。

　　# scp root@192.168.1.9:/etc/cipe/options.cipcb0 /etc/cipe/options.cipcb0

　　Are you sure you want to continue connecting (yes/no)? yes

　　Warning: Permanently added '192.168.1.9' (RSA) to the list of known hosts.

　　root@192.168.1.9's password:

　　options.cipcb0 100% |***************************************| 61 00:00

　　CIPE这个软件在服务器端和客户机使用相同的界面。方法和服务器端配置一样，接着点击确定按钮。最后选择“当计算机启动时激活该设备”。客户机配置结束。

　　三、VPN连接测试

　　在客户机进行连接测试，首先使用命令察看网络接口和路由表，如果看到VPN端口已经打开，路由表中包括CIPE服务器的远程虚拟地址。下面使用ping命令连接CIPE服务器的虚拟地址(10.0.0.1)进行测试。这里使用一个工具ethereal查看数据是否在VPN通道中经过。

　　Ethereal 是当前较为流行的一种计算机网络调试和数据包嗅探软件。Ethereal 基本类似于tcpdump，但 Ethereal 还具有设计完美的 GUI 和众多分类信息及过滤选项。用户通过 Ethereal，同时将网卡插入混合模式，可以查看到网络中发送的所有通信流量。

　　Ethereal 应用于无线故障修复、分析、软件和协议开发以及领域。它具有用户对协议分析器所期望的所有标准特征，并具有其它同类产品所不具备的有关特征。Ethereal 是一种开发源代码的许可软件，允许用户向其中添加改进方案。Ethereal 适用于当前所有流行的计算机系统，包括 Unix、Linux 和 Windows 。

　　Ethereal 主要具有以下特征：

　　• 在实时时间内，从现在网络连接处捕获数据，或者从被捕获文件处读取数据;

　　• Ethereal 可以读取从 tcpdump(libpcap)、网络通用嗅探器(被压缩和未被压缩)、SnifferTM 专业版、NetXrayTM、Sun snoop 和 atmsnoop、Shomiti/Finisar 测试员、AIX 的 iptrace、Microsoft 的网络监控器、Novell 的 LANalyzer、RADCOM 的 WAN/LAN 分析器、 ISDN4BSD 项目的 HP-UX nettl 和 i4btrace、Cisco 安全 IDS iplog 和 pppd 日志( pppdump 格式)、WildPacket 的 EtherPeek/TokenPeek/AiroPeek 或者可视网络的可视 UpTime 处捕获的文件。此外 Ethereal 也能从 Lucent/Ascend WAN 路由器和 Toshiba ISDN 路由器中读取跟踪报告，还能从 VMS 的 TCPIP 读取输出文本和 DBS Etherwatch。

　　• 从以太网、FDDI、PPP、令牌环、IEEE 802.11、ATM 上的 IP 和回路接口(至少是某些系统，不是所有系统都支持这些类型)上读取实时数据。

　　• 通过 GUI 或 TTY 模式 tethereal 程序，可以访问被捕获的网络数据。

　　• 通过 editcap 程序的命令行交换机，有计划地编辑或修改被捕获文件。

　　• 当前702协议可被分割。

　　• 输出文件可以被保存或打印为纯文本或 PostScript格式。

　　• 通过显示过滤器精确显示数据。

　　• 显示过滤器也可以选择性地用于高亮区和颜色包摘要信息。

　　• 所有或部分被捕获的网络跟踪报告都会保存到磁盘中。

　　在编译Ethereal之前应先确定已经安装pcap库(libpcap)，这是编译Ethereal时所必需的。如果该库已经安装，就可以执行下面的命令来编译并安装Ethereal：

　　# cd ethereal-0.10.14;./configure

　　# make; make install

　　设置Ethereal的过滤规则 ：当编译并安装好Ethereal后，就可以执行“ethereal”命令来启动Ethereal。在用Ethereal截获数据包之前，应该为其设置相应的过滤规则，可以只捕获感兴趣的数据包。Ethereal使用与Tcpdump相似的过滤规则，并且可以很方便地存储已经设置好的过滤规则。要为Ethereal配置过滤规则，首先单击“Edit”选单，然后选择“Capture Filters...”菜单项，打开“Edit Capture Filter List”对话框。

　　因为此时还没有添加任何过滤规则，因而该对话框右侧的列表框是空的。在使用Ethereal捕捉无线局域网的数据包时，选择正确的无线网卡工作模式就是非常关键的了。下图是

　　CIPE可以快速实现Linux服务器和主机之间的VPN连接。现在也有用于 Windows 的操作系统的CIPE的项目在开发中，详情查看：http://cipe-win32.sourceforge.net/。如果成功部署了VPN网络那么，802.11标准的本身三个安全缺陷：MAC地址欺骗、WEP漏洞、明文SSID将被修补。

　　(2)使用RADIUS认证技术

　　虽说RADIUS认证并没有包含在802.11b的标准里，不过有许多厂商都有在无线设备上面设计使用RADIUS进行存取验证。一些功能较强的AP可以设定成使用RADIUS服务器来进行使用者的验证，让无线网络卡在接上无线网络之前，必须先透过AP完成RADIUS上的使用者账号密码验证。如果无法通过，那么就表示无法连上无线网络。一般而言，使用RADIUS认证的方式都是以账号和密码的方式来进行，不过某一些AP还可以配合RADIUS进行无线网络卡的MAC地址检查。支持802.1x协议的RADIUS技术，可以提高WLAN的用户认证能力，通过802.1x技术能够为用户带来高效、灵活的无线网络安全解决方案。

　　以上是通过Linux工具实现无线网络比较安全的方法和配置，它和简单网络相比比较复杂但是更安全。