但是，凡事有利就有弊，無(wú)線(xiàn)網(wǎng)絡(luò)在為用戶(hù)帶來(lái)巨大便利的同時(shí)，也帶來(lái)了許多安全上的問(wèn)題和隱患。當(dāng)一個(gè)企業(yè)在其內(nèi)部設(shè)置了無(wú)線(xiàn)局域網(wǎng)接入設(shè)備AP之后，無(wú)法對(duì)AP所發(fā)射的無(wú)線(xiàn)電波覆蓋范圍進(jìn)行控制，就有可能使惡意攻擊者在公司外部通過(guò)使用無(wú)線(xiàn)網(wǎng)，而接入到企業(yè)內(nèi)網(wǎng)中。

 

這些惡意入侵攻擊者可能坐在臨近的大樓中，也可能就在公司前面馬路上的汽車(chē)?yán)铮谀闵形窗l(fā)覺(jué)之前，他們可能就已經(jīng)通過(guò)無(wú)線(xiàn)局域網(wǎng)的安全漏洞獲取到了公司的機(jī)密數(shù)據(jù)。相信，這對(duì)于很多企業(yè)IT部門(mén)的管理者來(lái)說(shuō)，這是一個(gè)不爭(zhēng)的事實(shí)。

 

 

在企業(yè)無(wú)線(xiàn)網(wǎng)絡(luò)的實(shí)際應(yīng)用中，安全隱患主要體現(xiàn)在以下幾個(gè)方面：

 

很多企業(yè)使用無(wú)線(xiàn)路由器或者是無(wú)線(xiàn)AP組建無(wú)線(xiàn)網(wǎng)絡(luò)，非法接入者只要在企業(yè)無(wú)線(xiàn)網(wǎng)絡(luò)的覆蓋范圍之內(nèi)就可以盜用企業(yè)的帶寬資源。就這樣，企業(yè)網(wǎng)絡(luò)的帶寬被非法接入者白白盜用。如果非法接入者沒(méi)事兒玩一下視頻聊天，P2P下載這樣耗費(fèi)帶寬的互聯(lián)網(wǎng)應(yīng)用，企業(yè)網(wǎng)絡(luò)將會(huì)出現(xiàn)擁塞的現(xiàn)象。

企業(yè)網(wǎng)絡(luò)中通常會(huì)存放著企業(yè)的一些商業(yè)合同及客戶(hù)資料，入侵者一旦成功登錄無(wú)線(xiàn)網(wǎng)絡(luò)，企業(yè)的商業(yè)機(jī)密和敏感數(shù)據(jù)將會(huì)受到威脅。如果內(nèi)網(wǎng)安全防御措施做的不足夠好，那么入侵者登錄了企業(yè)網(wǎng)絡(luò)之后，可以隨意復(fù)制、刪除或更改，這對(duì)企業(yè)來(lái)說(shuō)簡(jiǎn)直是災(zāi)難。而這一點(diǎn)恰恰是另企業(yè)IT部門(mén)管理者最為頭疼的安全問(wèn)題之一。

 

其實(shí)，了解無(wú)線(xiàn)技術(shù)原理的人都清楚，上述安全隱患實(shí)際上是由于無(wú)線(xiàn)網(wǎng)絡(luò)的先天不足造成的，通過(guò)空氣傳播，信號(hào)很容易出現(xiàn)外泄問(wèn)題，相比有限網(wǎng)絡(luò)，信號(hào)監(jiān)聽(tīng)變得更加簡(jiǎn)單。

 

在這里，最關(guān)鍵的問(wèn)題是，痛了之后才知道這很疼，不疼的時(shí)候很多企業(yè)根本不會(huì)想到這個(gè)問(wèn)題，或者說(shuō)很少考慮到這些問(wèn)題。有時(shí)候企業(yè)并不能及時(shí)獲知這些風(fēng)險(xiǎn)，也并不知道潛在風(fēng)險(xiǎn)有多大。我們的智能手機(jī)是非常簡(jiǎn)單的設(shè)備，通過(guò)這個(gè)簡(jiǎn)單的設(shè)備，就可以侵入公司網(wǎng)絡(luò)和竊取信息。而這一點(diǎn)往往容易被企業(yè)忽視。

 

其實(shí)是由于無(wú)線(xiàn)網(wǎng)絡(luò)特殊機(jī)理以及IEEE 802.11等無(wú)線(xiàn)安全加密認(rèn)證機(jī)制本身的不完善，這也使得無(wú)線(xiàn)網(wǎng)絡(luò)的安全性相對(duì)有線(xiàn)網(wǎng)絡(luò)更為脆弱和敏感。

 

對(duì)此，我們也非常無(wú)奈，現(xiàn)實(shí)非常殘酷，隨著WEP與WPA加密方式的相繼告破，對(duì)于入侵者來(lái)說(shuō)只要能夠接收到來(lái)自無(wú)線(xiàn)網(wǎng)絡(luò)的無(wú)線(xiàn)通訊數(shù)據(jù)包就一定可以通過(guò)暴力破解的方法獲得加密密鑰。

 

 

其實(shí)，企業(yè)要保證無(wú)線(xiàn)網(wǎng)絡(luò)的安全，通常注意下面四點(diǎn)，這也是業(yè)內(nèi)比較普遍的無(wú)奈之舉：

1、注意SSID和DHCP：必須關(guān)閉無(wú)線(xiàn)路由器的SSID廣播，這樣能夠減少無(wú)線(xiàn)網(wǎng)絡(luò)被發(fā)現(xiàn)的可能。無(wú)線(xiàn)路由器的DHCP服務(wù)也會(huì)暴露企業(yè)網(wǎng)絡(luò)的一些信息，禁用DHCP服務(wù)，防止非法無(wú)線(xiàn)客戶(hù)端就會(huì)從無(wú)線(xiàn)路由器中獲得IP地址、子網(wǎng)掩碼、DNS及網(wǎng)關(guān)等信息。

 

2、加固WEP：WEP加密是存在固有的缺陷的。由于它的密鑰固定，初始向量?jī)H為 24 位，算法強(qiáng)度并不算高，于是有了安全漏洞。 AT&T 的研究員最先發(fā)布了WEP的解密程序，此后人們開(kāi)始對(duì)WEP質(zhì)疑，并進(jìn)一步地研究其漏洞。現(xiàn)在，市面上已經(jīng)出現(xiàn)了專(zhuān)門(mén)的破解WEP加密的程序，其代表是WEPCrack和AirSnort 。

一個(gè)基本的原則就是設(shè)置盡可能高強(qiáng)度的WEP密鑰。而且必須將無(wú)線(xiàn)路由器或無(wú)線(xiàn)AP等網(wǎng)絡(luò)設(shè)備的默認(rèn)密碼更改掉，在設(shè)置無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)備的密碼時(shí)最好使用字母和數(shù)字相混合的密碼，密碼位數(shù)至少12位，建議使用WPA2－PSK最高加密模式。無(wú)線(xiàn)客戶(hù)端必須憑密碼才可以接入企業(yè)的無(wú)線(xiàn)網(wǎng)絡(luò)。經(jīng)過(guò)無(wú)線(xiàn)上網(wǎng)加密之后，入侵都將無(wú)法搜索到加密的無(wú)線(xiàn)網(wǎng)絡(luò)信號(hào)，這樣可以大大增加企業(yè)無(wú)線(xiàn)網(wǎng)絡(luò)的安全性。

 

3、定期更換密鑰：并不一定所有的環(huán)境都需要每周變更密鑰，但是應(yīng)該考慮至少每個(gè)季度更換一次密鑰。隨著時(shí)間的發(fā)展，一個(gè)從不更換密鑰的無(wú)線(xiàn)網(wǎng)絡(luò)其安全性會(huì)大幅度下降。并且要定期更換密碼。

 

4、過(guò)濾計(jì)算機(jī)：通過(guò)指定一個(gè)特定的地址集，可以盡量保證只有得到授權(quán)的計(jì)算機(jī)才能訪(fǎng)問(wèn)無(wú)線(xiàn)網(wǎng)絡(luò)。開(kāi)啟無(wú)線(xiàn)路由器的MAC地址綁定功能，在企業(yè)安全LIST中在MAC 地址才請(qǐng)?jiān)试S訪(fǎng)問(wèn)企業(yè)無(wú)線(xiàn)網(wǎng)絡(luò)資源。

 

除了上述四點(diǎn)，需要企業(yè)IT部門(mén)注意外，從目前的技術(shù)角度講，保障企業(yè)無(wú)線(xiàn)網(wǎng)絡(luò)的安全，也有很多可借鑒的方式和方法。如RADIUS服務(wù)器與客戶(hù)機(jī)進(jìn)行雙向的身份驗(yàn)證，驗(yàn)證完成后，RADIUS服務(wù)器與客戶(hù)機(jī)確定一個(gè) WEP密鑰(這意味著，這個(gè)密鑰不是與客戶(hù)機(jī)本身物理相關(guān)的靜態(tài)密鑰，而是由身份驗(yàn)證動(dòng)態(tài)產(chǎn)生的密鑰)。此后， RADIUS服務(wù)器通過(guò)有線(xiàn)網(wǎng)發(fā)送會(huì)話(huà)密鑰到AP，AP利用會(huì)話(huà)密鑰對(duì)廣播密鑰加密，把加密后的密鑰送到客戶(hù)機(jī)，客戶(hù)機(jī)利用會(huì)話(huà)密鑰解密。然后，客戶(hù)機(jī)與AP激活WEP，利用密鑰進(jìn)行通信。

 

有了上述這些方法就夠了么？不是的，上面提到的各種注意問(wèn)題和解決方案，都忽視了一個(gè)明顯的問(wèn)題，誰(shuí)知道無(wú)線(xiàn)網(wǎng)絡(luò)中發(fā)生了什么？誰(shuí)來(lái)監(jiān)視這一切呢？

 

如今的許多公司都覺(jué)得他們對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)的安全已經(jīng)有了很強(qiáng)的掌控力，因?yàn)樗麄兡軌驒z測(cè)并根除那些非法AP。無(wú)論這些非法AP 是出于惡意，還是被某個(gè)好心的工作人員不慎掛接到有線(xiàn)網(wǎng)絡(luò)中，顯然，企業(yè)為此已經(jīng)花費(fèi)了大量的精力。

 

企業(yè)將安全方面的努力都集中在鎖定和監(jiān)控公司的AP 上面，而目前的情況是攻擊者往往直接瞄準(zhǔn)企業(yè)中最普遍存在的且最容易受到損害的財(cái)產(chǎn)——用戶(hù)端設(shè)備。

 

入侵者在公司停車(chē)場(chǎng)、機(jī)場(chǎng)以及其它熱點(diǎn)區(qū)域內(nèi)侵入用戶(hù)端設(shè)備。他們不僅攻擊受管的公司設(shè)備和未受管的智能手機(jī)，還攻擊未受管的生意伙伴的設(shè)備。同樣，他們還會(huì)攻擊使用Mac OS 操作系統(tǒng)以及Windows 操作系統(tǒng)的設(shè)備。

 

不幸的是，有線(xiàn)網(wǎng)絡(luò)的安全系統(tǒng)幾乎無(wú)法抵御這種空中的惡意數(shù)據(jù)流。在空中傳播的數(shù)據(jù)流需要與有線(xiàn)網(wǎng)絡(luò)中的數(shù)據(jù)流相同級(jí)別的連續(xù)監(jiān)控和分析，以便IT 管理人員能夠檢測(cè)到可能會(huì)暴露公司數(shù)據(jù)的違法活動(dòng)。

 

與應(yīng)對(duì)用戶(hù)端的無(wú)線(xiàn)問(wèn)題相比，非法AP 的檢測(cè)就顯得微不足道了。事實(shí)上，非法AP 的數(shù)量很少，且AP 的位置相對(duì)靜止，因此比較容易找到。另一方面，客戶(hù)端的弱點(diǎn)和漏洞很難檢測(cè)到，且更具威脅性，因?yàn)樗鼈冃枰獙?duì)空中的網(wǎng)絡(luò)流量進(jìn)行狀態(tài)監(jiān)測(cè)和分析。

 

1、絕大多數(shù)Wi‐Fi 網(wǎng)絡(luò)的威脅發(fā)生在空中，且只能在空中檢測(cè)到

2、絕大多數(shù)黑客行為和漏洞是圍繞終端用戶(hù)設(shè)備的，而非企業(yè)AP。

 

企業(yè)需要無(wú)線(xiàn)入侵檢測(cè)技術(shù)。鑒于無(wú)線(xiàn)應(yīng)用正日益普及，并且已經(jīng)成為了擴(kuò)展的公司網(wǎng)絡(luò)的一個(gè)組成部分，為滿(mǎn)足這種動(dòng)態(tài)環(huán)境所帶來(lái)的挑戰(zhàn)，是時(shí)候采用相應(yīng)的安全機(jī)制、程序和技術(shù)了。單純的非法AP 檢測(cè)已不能滿(mǎn)足需要，因?yàn)樗且阅憧梢?ldquo;看到”未授權(quán)設(shè)備為前提的。正如我們所看到的，絕大多數(shù)新出現(xiàn)的Wi‐Fi 威脅出現(xiàn)在空中，它們專(zhuān)門(mén)誘騙或劫持授權(quán)用戶(hù)端設(shè)備，或者打通入侵授權(quán)用戶(hù)端設(shè)備的通道。而這些用戶(hù)端設(shè)備在企業(yè)中幾乎無(wú)處不在；隨著新設(shè)備（平板電腦、智能手機(jī)等）數(shù)量的激增，容量每天都在增長(zhǎng)。再考慮到會(huì)使芯片、網(wǎng)絡(luò)適配器以及操作系統(tǒng)中出現(xiàn)大量潛在漏洞的虛擬化趨勢(shì)，保證用戶(hù)端的安全很快變得毫無(wú)勝算可言——因?yàn)樗枰懔私獠⒖刂泼恳慌_(tái)設(shè)備。漏掉了任何一臺(tái)設(shè)備，后果都會(huì)不堪設(shè)想。

 

唯一有效繞過(guò)陷阱的方法，就是采用與有線(xiàn)網(wǎng)絡(luò)中相同的手段：查看網(wǎng)絡(luò)中的數(shù)據(jù)流本身。而正如有線(xiàn)世界中一樣，檢測(cè)反常和非法的無(wú)線(xiàn)數(shù)據(jù)流——包括針對(duì)用戶(hù)端設(shè)備的攻擊，同時(shí)處于多種狀態(tài)的設(shè)備，以及受到危害或誘騙的設(shè)備——需要持續(xù)的狀態(tài)流量監(jiān)控和分析。但現(xiàn)有的有線(xiàn)流量監(jiān)控并不能切斷數(shù)據(jù)流；等到黑客已經(jīng)進(jìn)入了網(wǎng)絡(luò)，連接看上去就是合法的了。單純的非法AP 檢測(cè)無(wú)法切斷它。這些入侵繞過(guò)了合法AP，轉(zhuǎn)而瞄準(zhǔn)了用戶(hù)端設(shè)備。在企業(yè)場(chǎng)景下進(jìn)行無(wú)線(xiàn)流量檢測(cè)，唯一有效的方法是采用無(wú)線(xiàn)入侵防御（WIPS）技術(shù)。

 

因其能夠穩(wěn)定地檢測(cè)空中數(shù)據(jù)流，WIPS 技術(shù)在無(wú)線(xiàn)網(wǎng)絡(luò)安全工具中可以稱(chēng)得上是獨(dú)一無(wú)二的。持續(xù)的監(jiān)控和分析使WIPS 能夠準(zhǔn)確地檢測(cè)所有種類(lèi)的攻擊工具。這包括，比如說(shuō)，針對(duì)公司用戶(hù)的無(wú)線(xiàn)數(shù)據(jù)流，例如那些被設(shè)計(jì)成使用戶(hù)與公司網(wǎng)絡(luò)相分離并與攻擊者建立連接的DoS 攻擊。WIPS 還可以監(jiān)控并分析攻擊的場(chǎng)景，在這些場(chǎng)景中用戶(hù)先是被從公司的網(wǎng)絡(luò)中分離出來(lái)，然后又與偽裝的網(wǎng)絡(luò)重新建立連接。

 

福祿克網(wǎng)絡(luò)公司的AirMagnet 企業(yè)版就能夠?yàn)榇笮秃头稚⒌钠髽I(yè)提供全面而深入的安全掃描和分析。其專(zhuān)用的傳感器——與專(zhuān)有系統(tǒng)所使用的提供不同功能的基于A(yíng)P 的掃描技術(shù)不同——始終在進(jìn)行掃描。AirMagnet 企業(yè)版監(jiān)控所有的數(shù)據(jù)流，并實(shí)時(shí)進(jìn)行復(fù)雜的分析；而不僅僅只是從一個(gè)簽名庫(kù)中識(shí)別出惡意軟件和攻擊。AirMagnet 僅利用一個(gè)專(zhuān)用的WIPS 工具，對(duì)復(fù)雜的攻擊技術(shù)和各種攻擊種類(lèi)進(jìn)行分析，這些都是建立在A(yíng)irMagnet 入侵研究團(tuán)隊(duì)深厚的專(zhuān)業(yè)知識(shí)和對(duì)無(wú)線(xiàn)犯罪技術(shù)最新進(jìn)展和趨勢(shì)的深度關(guān)注。

 

AirMagnet 企業(yè)版在檢測(cè)的過(guò)程中，能夠自動(dòng)尋找可疑的威脅和阻塞，或者受到危害的設(shè)備或反常的數(shù)據(jù)流，例如那些本不應(yīng)該建立的連接。它會(huì)尋找不計(jì)其數(shù)的各種針對(duì)站點(diǎn)、基礎(chǔ)設(shè)施以及包括空間自身的DoS 攻擊。通過(guò)部署AirMagnet 企業(yè)版，安全人員就可以知道是否有人正企圖侵?jǐn)_個(gè)人用戶(hù)，或某個(gè)設(shè)備偽裝成了其它用戶(hù)端設(shè)備，又或某個(gè)黑客正在試圖騙取一個(gè)經(jīng)過(guò)授權(quán)的身份或向某段會(huì)話(huà)中插入數(shù)據(jù)流。與有線(xiàn)網(wǎng)絡(luò)的IPS 十分相似，AirMagnet 企業(yè)版的WIPS 會(huì)反復(fù)監(jiān)控?cái)?shù)據(jù)包和會(huì)話(huà)，只不過(guò)是在無(wú)線(xiàn)側(cè)。

 

AirMagnet 入侵研究團(tuán)隊(duì)將他們的專(zhuān)業(yè)知識(shí)注入了AirMagnet 的AirWISE®引擎中。該引擎將幀檢查、狀態(tài)種類(lèi)分析、統(tǒng)計(jì)模型、射頻信號(hào)分析、機(jī)制分析和反常檢測(cè)結(jié)合在一起，使AirMagnet 能夠檢測(cè)數(shù)百種特定的威、攻擊和漏洞。

 

這里要說(shuō)明一點(diǎn)，前面提到的傳統(tǒng)無(wú)線(xiàn)安全防御思路和無(wú)線(xiàn)入侵檢測(cè)并不沖突，他們之間是互補(bǔ)的關(guān)系，缺少傳統(tǒng)無(wú)線(xiàn)安全防御措施，光靠無(wú)線(xiàn)入侵檢測(cè)技術(shù)無(wú)法形成立體的防御網(wǎng)，嚴(yán)格來(lái)說(shuō)，真正意義上的無(wú)線(xiàn)安全，兩者缺一不可。

 

Wi‐Fi 網(wǎng)絡(luò)不僅對(duì)商業(yè)至關(guān)重要，而且現(xiàn)在已經(jīng)成為一種占統(tǒng)治地位且還在日益普及的，辦公室中、家中以及道路上的通信手段。用戶(hù)端設(shè)備數(shù)量眾多，什么地方都去，在各種環(huán)境下進(jìn)行連接。由于他們天生的動(dòng)態(tài)特性，正如我們已經(jīng)看到的，他們很容易受到攻擊，即使部署了最強(qiáng)有力的安全標(biāo)準(zhǔn)。

 

企業(yè)明白他們必須保證企業(yè)內(nèi)部與外部之間邊界地區(qū)的安全；反過(guò)來(lái)，他們也必須意識(shí)到W‐Fi 正越來(lái)越多地扮演著內(nèi)部網(wǎng)絡(luò)、用戶(hù)和數(shù)據(jù)與外部世界之間的連接點(diǎn)或橋梁的角色。而這座橋梁就在我們周?chē)目臻g中。

 

正如有線(xiàn)網(wǎng)絡(luò)那樣，無(wú)線(xiàn)網(wǎng)絡(luò)的安全需要狀態(tài)檢查和流量分析。隨著企業(yè)越來(lái)越依賴(lài)無(wú)線(xiàn)通信來(lái)服務(wù)員工、合作者和客戶(hù)，并且，隨著802.11n 的問(wèn)世，無(wú)線(xiàn)通信已經(jīng)成為他們網(wǎng)絡(luò)基礎(chǔ)設(shè)施的組成部分。如果他們想要跟上電波中不斷增多的威脅的腳步，就必須采用和補(bǔ)充專(zhuān)用的WIPS 技術(shù)。