但是，凡事有利就有弊，無線網絡在為用戶帶來巨大便利的同時，也帶來了許多安全上的問題和隱患。當一個企業(yè)在其內部設置了無線局域網接入設備AP之后，無法對AP所發(fā)射的無線電波覆蓋范圍進行控制，就有可能使惡意攻擊者在公司外部通過使用無線網，而接入到企業(yè)內網中。

 

這些惡意入侵攻擊者可能坐在臨近的大樓中，也可能就在公司前面馬路上的汽車里，在你尚未發(fā)覺之前，他們可能就已經通過無線局域網的安全漏洞獲取到了公司的機密數據。相信，這對于很多企業(yè)IT部門的管理者來說，這是一個不爭的事實。

 

 

在企業(yè)無線網絡的實際應用中，安全隱患主要體現在以下幾個方面：

 

很多企業(yè)使用無線路由器或者是無線AP組建無線網絡，非法接入者只要在企業(yè)無線網絡的覆蓋范圍之內就可以盜用企業(yè)的帶寬資源。就這樣，企業(yè)網絡的帶寬被非法接入者白白盜用。如果非法接入者沒事兒玩一下視頻聊天，P2P下載這樣耗費帶寬的互聯(lián)網應用，企業(yè)網絡將會出現擁塞的現象。

企業(yè)網絡中通常會存放著企業(yè)的一些商業(yè)合同及客戶資料，入侵者一旦成功登錄無線網絡，企業(yè)的商業(yè)機密和敏感數據將會受到威脅。如果內網安全防御措施做的不足夠好，那么入侵者登錄了企業(yè)網絡之后，可以隨意復制、刪除或更改，這對企業(yè)來說簡直是災難。而這一點恰恰是另企業(yè)IT部門管理者最為頭疼的安全問題之一。

 

其實，了解無線技術原理的人都清楚，上述安全隱患實際上是由于無線網絡的先天不足造成的，通過空氣傳播，信號很容易出現外泄問題，相比有限網絡，信號監(jiān)聽變得更加簡單。

 

在這里，最關鍵的問題是，痛了之后才知道這很疼，不疼的時候很多企業(yè)根本不會想到這個問題，或者說很少考慮到這些問題。有時候企業(yè)并不能及時獲知這些風險，也并不知道潛在風險有多大。我們的智能手機是非常簡單的設備，通過這個簡單的設備，就可以侵入公司網絡和竊取信息。而這一點往往容易被企業(yè)忽視。

 

其實是由于無線網絡特殊機理以及IEEE 802.11等無線安全加密認證機制本身的不完善，這也使得無線網絡的安全性相對有線網絡更為脆弱和敏感。

 

對此，我們也非常無奈，現實非常殘酷，隨著WEP與WPA加密方式的相繼告破，對于入侵者來說只要能夠接收到來自無線網絡的無線通訊數據包就一定可以通過暴力破解的方法獲得加密密鑰。

 

 

其實，企業(yè)要保證無線網絡的安全，通常注意下面四點，這也是業(yè)內比較普遍的無奈之舉：

1、注意SSID和DHCP：必須關閉無線路由器的SSID廣播，這樣能夠減少無線網絡被發(fā)現的可能。無線路由器的DHCP服務也會暴露企業(yè)網絡的一些信息，禁用DHCP服務，防止非法無線客戶端就會從無線路由器中獲得IP地址、子網掩碼、DNS及網關等信息。

 

2、加固WEP：WEP加密是存在固有的缺陷的。由于它的密鑰固定，初始向量僅為 24 位，算法強度并不算高，于是有了安全漏洞。 AT&T 的研究員最先發(fā)布了WEP的解密程序，此后人們開始對WEP質疑，并進一步地研究其漏洞。現在，市面上已經出現了專門的破解WEP加密的程序，其代表是WEPCrack和AirSnort 。

一個基本的原則就是設置盡可能高強度的WEP密鑰。而且必須將無線路由器或無線AP等網絡設備的默認密碼更改掉，在設置無線網絡設備的密碼時最好使用字母和數字相混合的密碼，密碼位數至少12位，建議使用WPA2－PSK最高加密模式。無線客戶端必須憑密碼才可以接入企業(yè)的無線網絡。經過無線上網加密之后，入侵都將無法搜索到加密的無線網絡信號，這樣可以大大增加企業(yè)無線網絡的安全性。

 

3、定期更換密鑰：并不一定所有的環(huán)境都需要每周變更密鑰，但是應該考慮至少每個季度更換一次密鑰。隨著時間的發(fā)展，一個從不更換密鑰的無線網絡其安全性會大幅度下降。并且要定期更換密碼。

 

4、過濾計算機：通過指定一個特定的地址集，可以盡量保證只有得到授權的計算機才能訪問無線網絡。開啟無線路由器的MAC地址綁定功能，在企業(yè)安全LIST中在MAC 地址才請允許訪問企業(yè)無線網絡資源。

 

除了上述四點，需要企業(yè)IT部門注意外，從目前的技術角度講，保障企業(yè)無線網絡的安全，也有很多可借鑒的方式和方法。如RADIUS服務器與客戶機進行雙向的身份驗證，驗證完成后，RADIUS服務器與客戶機確定一個 WEP密鑰(這意味著，這個密鑰不是與客戶機本身物理相關的靜態(tài)密鑰，而是由身份驗證動態(tài)產生的密鑰)。此后， RADIUS服務器通過有線網發(fā)送會話密鑰到AP，AP利用會話密鑰對廣播密鑰加密，把加密后的密鑰送到客戶機，客戶機利用會話密鑰解密。然后，客戶機與AP激活WEP，利用密鑰進行通信。

 

有了上述這些方法就夠了么？不是的，上面提到的各種注意問題和解決方案，都忽視了一個明顯的問題，誰知道無線網絡中發(fā)生了什么？誰來監(jiān)視這一切呢？

 

如今的許多公司都覺得他們對無線網絡的安全已經有了很強的掌控力，因為他們能夠檢測并根除那些非法AP。無論這些非法AP 是出于惡意，還是被某個好心的工作人員不慎掛接到有線網絡中，顯然，企業(yè)為此已經花費了大量的精力。

 

企業(yè)將安全方面的努力都集中在鎖定和監(jiān)控公司的AP 上面，而目前的情況是攻擊者往往直接瞄準企業(yè)中最普遍存在的且最容易受到損害的財產——用戶端設備。

 

入侵者在公司停車場、機場以及其它熱點區(qū)域內侵入用戶端設備。他們不僅攻擊受管的公司設備和未受管的智能手機，還攻擊未受管的生意伙伴的設備。同樣，他們還會攻擊使用Mac OS 操作系統(tǒng)以及Windows 操作系統(tǒng)的設備。

 

不幸的是，有線網絡的安全系統(tǒng)幾乎無法抵御這種空中的惡意數據流。在空中傳播的數據流需要與有線網絡中的數據流相同級別的連續(xù)監(jiān)控和分析，以便IT 管理人員能夠檢測到可能會暴露公司數據的違法活動。

 

與應對用戶端的無線問題相比，非法AP 的檢測就顯得微不足道了。事實上，非法AP 的數量很少，且AP 的位置相對靜止，因此比較容易找到。另一方面，客戶端的弱點和漏洞很難檢測到，且更具威脅性，因為它們需要對空中的網絡流量進行狀態(tài)監(jiān)測和分析。

 

1、絕大多數Wi‐Fi 網絡的威脅發(fā)生在空中，且只能在空中檢測到

2、絕大多數黑客行為和漏洞是圍繞終端用戶設備的，而非企業(yè)AP。

 

企業(yè)需要無線入侵檢測技術。鑒于無線應用正日益普及，并且已經成為了擴展的公司網絡的一個組成部分，為滿足這種動態(tài)環(huán)境所帶來的挑戰(zhàn)，是時候采用相應的安全機制、程序和技術了。單純的非法AP 檢測已不能滿足需要，因為它是以你可以“看到”未授權設備為前提的。正如我們所看到的，絕大多數新出現的Wi‐Fi 威脅出現在空中，它們專門誘騙或劫持授權用戶端設備，或者打通入侵授權用戶端設備的通道。而這些用戶端設備在企業(yè)中幾乎無處不在；隨著新設備（平板電腦、智能手機等）數量的激增，容量每天都在增長。再考慮到會使芯片、網絡適配器以及操作系統(tǒng)中出現大量潛在漏洞的虛擬化趨勢，保證用戶端的安全很快變得毫無勝算可言——因為它需要你了解并控制每一臺設備。漏掉了任何一臺設備，后果都會不堪設想。

 

唯一有效繞過陷阱的方法，就是采用與有線網絡中相同的手段：查看網絡中的數據流本身。而正如有線世界中一樣，檢測反常和非法的無線數據流——包括針對用戶端設備的攻擊，同時處于多種狀態(tài)的設備，以及受到危害或誘騙的設備——需要持續(xù)的狀態(tài)流量監(jiān)控和分析。但現有的有線流量監(jiān)控并不能切斷數據流；等到黑客已經進入了網絡，連接看上去就是合法的了。單純的非法AP 檢測無法切斷它。這些入侵繞過了合法AP，轉而瞄準了用戶端設備。在企業(yè)場景下進行無線流量檢測，唯一有效的方法是采用無線入侵防御（WIPS）技術。

 

因其能夠穩(wěn)定地檢測空中數據流，WIPS 技術在無線網絡安全工具中可以稱得上是獨一無二的。持續(xù)的監(jiān)控和分析使WIPS 能夠準確地檢測所有種類的攻擊工具。這包括，比如說，針對公司用戶的無線數據流，例如那些被設計成使用戶與公司網絡相分離并與攻擊者建立連接的DoS 攻擊。WIPS 還可以監(jiān)控并分析攻擊的場景，在這些場景中用戶先是被從公司的網絡中分離出來，然后又與偽裝的網絡重新建立連接。

 

福祿克網絡公司的AirMagnet 企業(yè)版就能夠為大型和分散的企業(yè)提供全面而深入的安全掃描和分析。其專用的傳感器——與專有系統(tǒng)所使用的提供不同功能的基于AP 的掃描技術不同——始終在進行掃描。AirMagnet 企業(yè)版監(jiān)控所有的數據流，并實時進行復雜的分析；而不僅僅只是從一個簽名庫中識別出惡意軟件和攻擊。AirMagnet 僅利用一個專用的WIPS 工具，對復雜的攻擊技術和各種攻擊種類進行分析，這些都是建立在AirMagnet 入侵研究團隊深厚的專業(yè)知識和對無線犯罪技術最新進展和趨勢的深度關注。

 

AirMagnet 企業(yè)版在檢測的過程中，能夠自動尋找可疑的威脅和阻塞，或者受到危害的設備或反常的數據流，例如那些本不應該建立的連接。它會尋找不計其數的各種針對站點、基礎設施以及包括空間自身的DoS 攻擊。通過部署AirMagnet 企業(yè)版，安全人員就可以知道是否有人正企圖侵擾個人用戶，或某個設備偽裝成了其它用戶端設備，又或某個黑客正在試圖騙取一個經過授權的身份或向某段會話中插入數據流。與有線網絡的IPS 十分相似，AirMagnet 企業(yè)版的WIPS 會反復監(jiān)控數據包和會話，只不過是在無線側。

 

AirMagnet 入侵研究團隊將他們的專業(yè)知識注入了AirMagnet 的AirWISE®引擎中。該引擎將幀檢查、狀態(tài)種類分析、統(tǒng)計模型、射頻信號分析、機制分析和反常檢測結合在一起，使AirMagnet 能夠檢測數百種特定的威、攻擊和漏洞。

 

這里要說明一點，前面提到的傳統(tǒng)無線安全防御思路和無線入侵檢測并不沖突，他們之間是互補的關系，缺少傳統(tǒng)無線安全防御措施，光靠無線入侵檢測技術無法形成立體的防御網，嚴格來說，真正意義上的無線安全，兩者缺一不可。

 

Wi‐Fi 網絡不僅對商業(yè)至關重要，而且現在已經成為一種占統(tǒng)治地位且還在日益普及的，辦公室中、家中以及道路上的通信手段。用戶端設備數量眾多，什么地方都去，在各種環(huán)境下進行連接。由于他們天生的動態(tài)特性，正如我們已經看到的，他們很容易受到攻擊，即使部署了最強有力的安全標準。

 

企業(yè)明白他們必須保證企業(yè)內部與外部之間邊界地區(qū)的安全；反過來，他們也必須意識到W‐Fi 正越來越多地扮演著內部網絡、用戶和數據與外部世界之間的連接點或橋梁的角色。而這座橋梁就在我們周圍的空間中。

 

正如有線網絡那樣，無線網絡的安全需要狀態(tài)檢查和流量分析。隨著企業(yè)越來越依賴無線通信來服務員工、合作者和客戶，并且，隨著802.11n 的問世，無線通信已經成為他們網絡基礎設施的組成部分。如果他們想要跟上電波中不斷增多的威脅的腳步，就必須采用和補充專用的WIPS 技術。