但是，凡事有利就有弊，無線網(wǎng)絡(luò)在為用戶帶來巨大便利的同時(shí)，也帶來了許多安全上的問題和隱患。當(dāng)一個(gè)企業(yè)在其內(nèi)部設(shè)置了無線局域網(wǎng)接入設(shè)備AP之后，無法對AP所發(fā)射的無線電波覆蓋范圍進(jìn)行控制，就有可能使惡意攻擊者在公司外部通過使用無線網(wǎng)，而接入到企業(yè)內(nèi)網(wǎng)中。

 

這些惡意入侵攻擊者可能坐在臨近的大樓中，也可能就在公司前面馬路上的汽車?yán)?，在你尚未發(fā)覺之前，他們可能就已經(jīng)通過無線局域網(wǎng)的安全漏洞獲取到了公司的機(jī)密數(shù)據(jù)。相信，這對于很多企業(yè)IT部門的管理者來說，這是一個(gè)不爭的事實(shí)。

 

 

在企業(yè)無線網(wǎng)絡(luò)的實(shí)際應(yīng)用中，安全隱患主要體現(xiàn)在以下幾個(gè)方面：

 

很多企業(yè)使用無線路由器或者是無線AP組建無線網(wǎng)絡(luò)，非法接入者只要在企業(yè)無線網(wǎng)絡(luò)的覆蓋范圍之內(nèi)就可以盜用企業(yè)的帶寬資源。就這樣，企業(yè)網(wǎng)絡(luò)的帶寬被非法接入者白白盜用。如果非法接入者沒事兒玩一下視頻聊天，P2P下載這樣耗費(fèi)帶寬的互聯(lián)網(wǎng)應(yīng)用，企業(yè)網(wǎng)絡(luò)將會出現(xiàn)擁塞的現(xiàn)象。

企業(yè)網(wǎng)絡(luò)中通常會存放著企業(yè)的一些商業(yè)合同及客戶資料，入侵者一旦成功登錄無線網(wǎng)絡(luò)，企業(yè)的商業(yè)機(jī)密和敏感數(shù)據(jù)將會受到威脅。如果內(nèi)網(wǎng)安全防御措施做的不足夠好，那么入侵者登錄了企業(yè)網(wǎng)絡(luò)之后，可以隨意復(fù)制、刪除或更改，這對企業(yè)來說簡直是災(zāi)難。而這一點(diǎn)恰恰是另企業(yè)IT部門管理者最為頭疼的安全問題之一。

 

其實(shí)，了解無線技術(shù)原理的人都清楚，上述安全隱患實(shí)際上是由于無線網(wǎng)絡(luò)的先天不足造成的，通過空氣傳播，信號很容易出現(xiàn)外泄問題，相比有限網(wǎng)絡(luò)，信號監(jiān)聽變得更加簡單。

 

在這里，最關(guān)鍵的問題是，痛了之后才知道這很疼，不疼的時(shí)候很多企業(yè)根本不會想到這個(gè)問題，或者說很少考慮到這些問題。有時(shí)候企業(yè)并不能及時(shí)獲知這些風(fēng)險(xiǎn)，也并不知道潛在風(fēng)險(xiǎn)有多大。我們的智能手機(jī)是非常簡單的設(shè)備，通過這個(gè)簡單的設(shè)備，就可以侵入公司網(wǎng)絡(luò)和竊取信息。而這一點(diǎn)往往容易被企業(yè)忽視。

 

其實(shí)是由于無線網(wǎng)絡(luò)特殊機(jī)理以及IEEE 802.11等無線安全加密認(rèn)證機(jī)制本身的不完善，這也使得無線網(wǎng)絡(luò)的安全性相對有線網(wǎng)絡(luò)更為脆弱和敏感。

 

對此，我們也非常無奈，現(xiàn)實(shí)非常殘酷，隨著WEP與WPA加密方式的相繼告破，對于入侵者來說只要能夠接收到來自無線網(wǎng)絡(luò)的無線通訊數(shù)據(jù)包就一定可以通過暴力破解的方法獲得加密密鑰。

 

 

其實(shí)，企業(yè)要保證無線網(wǎng)絡(luò)的安全，通常注意下面四點(diǎn)，這也是業(yè)內(nèi)比較普遍的無奈之舉：

1、注意SSID和DHCP：必須關(guān)閉無線路由器的SSID廣播，這樣能夠減少無線網(wǎng)絡(luò)被發(fā)現(xiàn)的可能。無線路由器的DHCP服務(wù)也會暴露企業(yè)網(wǎng)絡(luò)的一些信息，禁用DHCP服務(wù)，防止非法無線客戶端就會從無線路由器中獲得IP地址、子網(wǎng)掩碼、DNS及網(wǎng)關(guān)等信息。

 

2、加固WEP：WEP加密是存在固有的缺陷的。由于它的密鑰固定，初始向量僅為 24 位，算法強(qiáng)度并不算高，于是有了安全漏洞。 AT&T 的研究員最先發(fā)布了WEP的解密程序，此后人們開始對WEP質(zhì)疑，并進(jìn)一步地研究其漏洞。現(xiàn)在，市面上已經(jīng)出現(xiàn)了專門的破解WEP加密的程序，其代表是WEPCrack和AirSnort 。

一個(gè)基本的原則就是設(shè)置盡可能高強(qiáng)度的WEP密鑰。而且必須將無線路由器或無線AP等網(wǎng)絡(luò)設(shè)備的默認(rèn)密碼更改掉，在設(shè)置無線網(wǎng)絡(luò)設(shè)備的密碼時(shí)最好使用字母和數(shù)字相混合的密碼，密碼位數(shù)至少12位，建議使用WPA2－PSK最高加密模式。無線客戶端必須憑密碼才可以接入企業(yè)的無線網(wǎng)絡(luò)。經(jīng)過無線上網(wǎng)加密之后，入侵都將無法搜索到加密的無線網(wǎng)絡(luò)信號，這樣可以大大增加企業(yè)無線網(wǎng)絡(luò)的安全性。

 

3、定期更換密鑰：并不一定所有的環(huán)境都需要每周變更密鑰，但是應(yīng)該考慮至少每個(gè)季度更換一次密鑰。隨著時(shí)間的發(fā)展，一個(gè)從不更換密鑰的無線網(wǎng)絡(luò)其安全性會大幅度下降。并且要定期更換密碼。

 

4、過濾計(jì)算機(jī)：通過指定一個(gè)特定的地址集，可以盡量保證只有得到授權(quán)的計(jì)算機(jī)才能訪問無線網(wǎng)絡(luò)。開啟無線路由器的MAC地址綁定功能，在企業(yè)安全LIST中在MAC 地址才請?jiān)试S訪問企業(yè)無線網(wǎng)絡(luò)資源。

 

除了上述四點(diǎn)，需要企業(yè)IT部門注意外，從目前的技術(shù)角度講，保障企業(yè)無線網(wǎng)絡(luò)的安全，也有很多可借鑒的方式和方法。如RADIUS服務(wù)器與客戶機(jī)進(jìn)行雙向的身份驗(yàn)證，驗(yàn)證完成后，RADIUS服務(wù)器與客戶機(jī)確定一個(gè) WEP密鑰(這意味著，這個(gè)密鑰不是與客戶機(jī)本身物理相關(guān)的靜態(tài)密鑰，而是由身份驗(yàn)證動態(tài)產(chǎn)生的密鑰)。此后， RADIUS服務(wù)器通過有線網(wǎng)發(fā)送會話密鑰到AP，AP利用會話密鑰對廣播密鑰加密，把加密后的密鑰送到客戶機(jī)，客戶機(jī)利用會話密鑰解密。然后，客戶機(jī)與AP激活WEP，利用密鑰進(jìn)行通信。

 

有了上述這些方法就夠了么？不是的，上面提到的各種注意問題和解決方案，都忽視了一個(gè)明顯的問題，誰知道無線網(wǎng)絡(luò)中發(fā)生了什么？誰來監(jiān)視這一切呢？

 

如今的許多公司都覺得他們對無線網(wǎng)絡(luò)的安全已經(jīng)有了很強(qiáng)的掌控力，因?yàn)樗麄兡軌驒z測并根除那些非法AP。無論這些非法AP 是出于惡意，還是被某個(gè)好心的工作人員不慎掛接到有線網(wǎng)絡(luò)中，顯然，企業(yè)為此已經(jīng)花費(fèi)了大量的精力。

 

企業(yè)將安全方面的努力都集中在鎖定和監(jiān)控公司的AP 上面，而目前的情況是攻擊者往往直接瞄準(zhǔn)企業(yè)中最普遍存在的且最容易受到損害的財(cái)產(chǎn)——用戶端設(shè)備。

 

入侵者在公司停車場、機(jī)場以及其它熱點(diǎn)區(qū)域內(nèi)侵入用戶端設(shè)備。他們不僅攻擊受管的公司設(shè)備和未受管的智能手機(jī)，還攻擊未受管的生意伙伴的設(shè)備。同樣，他們還會攻擊使用Mac OS 操作系統(tǒng)以及Windows 操作系統(tǒng)的設(shè)備。

 

不幸的是，有線網(wǎng)絡(luò)的安全系統(tǒng)幾乎無法抵御這種空中的惡意數(shù)據(jù)流。在空中傳播的數(shù)據(jù)流需要與有線網(wǎng)絡(luò)中的數(shù)據(jù)流相同級別的連續(xù)監(jiān)控和分析，以便IT 管理人員能夠檢測到可能會暴露公司數(shù)據(jù)的違法活動。

 

與應(yīng)對用戶端的無線問題相比，非法AP 的檢測就顯得微不足道了。事實(shí)上，非法AP 的數(shù)量很少，且AP 的位置相對靜止，因此比較容易找到。另一方面，客戶端的弱點(diǎn)和漏洞很難檢測到，且更具威脅性，因?yàn)樗鼈冃枰獙罩械木W(wǎng)絡(luò)流量進(jìn)行狀態(tài)監(jiān)測和分析。

 

1、絕大多數(shù)Wi‐Fi 網(wǎng)絡(luò)的威脅發(fā)生在空中，且只能在空中檢測到

2、絕大多數(shù)黑客行為和漏洞是圍繞終端用戶設(shè)備的，而非企業(yè)AP。

 

企業(yè)需要無線入侵檢測技術(shù)。鑒于無線應(yīng)用正日益普及，并且已經(jīng)成為了擴(kuò)展的公司網(wǎng)絡(luò)的一個(gè)組成部分，為滿足這種動態(tài)環(huán)境所帶來的挑戰(zhàn)，是時(shí)候采用相應(yīng)的安全機(jī)制、程序和技術(shù)了。單純的非法AP 檢測已不能滿足需要，因?yàn)樗且阅憧梢?ldquo;看到”未授權(quán)設(shè)備為前提的。正如我們所看到的，絕大多數(shù)新出現(xiàn)的Wi‐Fi 威脅出現(xiàn)在空中，它們專門誘騙或劫持授權(quán)用戶端設(shè)備，或者打通入侵授權(quán)用戶端設(shè)備的通道。而這些用戶端設(shè)備在企業(yè)中幾乎無處不在；隨著新設(shè)備（平板電腦、智能手機(jī)等）數(shù)量的激增，容量每天都在增長。再考慮到會使芯片、網(wǎng)絡(luò)適配器以及操作系統(tǒng)中出現(xiàn)大量潛在漏洞的虛擬化趨勢，保證用戶端的安全很快變得毫無勝算可言——因?yàn)樗枰懔私獠⒖刂泼恳慌_設(shè)備。漏掉了任何一臺設(shè)備，后果都會不堪設(shè)想。

 

唯一有效繞過陷阱的方法，就是采用與有線網(wǎng)絡(luò)中相同的手段：查看網(wǎng)絡(luò)中的數(shù)據(jù)流本身。而正如有線世界中一樣，檢測反常和非法的無線數(shù)據(jù)流——包括針對用戶端設(shè)備的攻擊，同時(shí)處于多種狀態(tài)的設(shè)備，以及受到危害或誘騙的設(shè)備——需要持續(xù)的狀態(tài)流量監(jiān)控和分析。但現(xiàn)有的有線流量監(jiān)控并不能切斷數(shù)據(jù)流；等到黑客已經(jīng)進(jìn)入了網(wǎng)絡(luò)，連接看上去就是合法的了。單純的非法AP 檢測無法切斷它。這些入侵繞過了合法AP，轉(zhuǎn)而瞄準(zhǔn)了用戶端設(shè)備。在企業(yè)場景下進(jìn)行無線流量檢測，唯一有效的方法是采用無線入侵防御（WIPS）技術(shù)。

 

因其能夠穩(wěn)定地檢測空中數(shù)據(jù)流，WIPS 技術(shù)在無線網(wǎng)絡(luò)安全工具中可以稱得上是獨(dú)一無二的。持續(xù)的監(jiān)控和分析使WIPS 能夠準(zhǔn)確地檢測所有種類的攻擊工具。這包括，比如說，針對公司用戶的無線數(shù)據(jù)流，例如那些被設(shè)計(jì)成使用戶與公司網(wǎng)絡(luò)相分離并與攻擊者建立連接的DoS 攻擊。WIPS 還可以監(jiān)控并分析攻擊的場景，在這些場景中用戶先是被從公司的網(wǎng)絡(luò)中分離出來，然后又與偽裝的網(wǎng)絡(luò)重新建立連接。

 

福祿克網(wǎng)絡(luò)公司的AirMagnet 企業(yè)版就能夠?yàn)榇笮秃头稚⒌钠髽I(yè)提供全面而深入的安全掃描和分析。其專用的傳感器——與專有系統(tǒng)所使用的提供不同功能的基于AP 的掃描技術(shù)不同——始終在進(jìn)行掃描。AirMagnet 企業(yè)版監(jiān)控所有的數(shù)據(jù)流，并實(shí)時(shí)進(jìn)行復(fù)雜的分析；而不僅僅只是從一個(gè)簽名庫中識別出惡意軟件和攻擊。AirMagnet 僅利用一個(gè)專用的WIPS 工具，對復(fù)雜的攻擊技術(shù)和各種攻擊種類進(jìn)行分析，這些都是建立在AirMagnet 入侵研究團(tuán)隊(duì)深厚的專業(yè)知識和對無線犯罪技術(shù)最新進(jìn)展和趨勢的深度關(guān)注。

 

AirMagnet 企業(yè)版在檢測的過程中，能夠自動尋找可疑的威脅和阻塞，或者受到危害的設(shè)備或反常的數(shù)據(jù)流，例如那些本不應(yīng)該建立的連接。它會尋找不計(jì)其數(shù)的各種針對站點(diǎn)、基礎(chǔ)設(shè)施以及包括空間自身的DoS 攻擊。通過部署AirMagnet 企業(yè)版，安全人員就可以知道是否有人正企圖侵?jǐn)_個(gè)人用戶，或某個(gè)設(shè)備偽裝成了其它用戶端設(shè)備，又或某個(gè)黑客正在試圖騙取一個(gè)經(jīng)過授權(quán)的身份或向某段會話中插入數(shù)據(jù)流。與有線網(wǎng)絡(luò)的IPS 十分相似，AirMagnet 企業(yè)版的WIPS 會反復(fù)監(jiān)控?cái)?shù)據(jù)包和會話，只不過是在無線側(cè)。

 

AirMagnet 入侵研究團(tuán)隊(duì)將他們的專業(yè)知識注入了AirMagnet 的AirWISE®引擎中。該引擎將幀檢查、狀態(tài)種類分析、統(tǒng)計(jì)模型、射頻信號分析、機(jī)制分析和反常檢測結(jié)合在一起，使AirMagnet 能夠檢測數(shù)百種特定的威、攻擊和漏洞。

 

這里要說明一點(diǎn)，前面提到的傳統(tǒng)無線安全防御思路和無線入侵檢測并不沖突，他們之間是互補(bǔ)的關(guān)系，缺少傳統(tǒng)無線安全防御措施，光靠無線入侵檢測技術(shù)無法形成立體的防御網(wǎng)，嚴(yán)格來說，真正意義上的無線安全，兩者缺一不可。

 

Wi‐Fi 網(wǎng)絡(luò)不僅對商業(yè)至關(guān)重要，而且現(xiàn)在已經(jīng)成為一種占統(tǒng)治地位且還在日益普及的，辦公室中、家中以及道路上的通信手段。用戶端設(shè)備數(shù)量眾多，什么地方都去，在各種環(huán)境下進(jìn)行連接。由于他們天生的動態(tài)特性，正如我們已經(jīng)看到的，他們很容易受到攻擊，即使部署了最強(qiáng)有力的安全標(biāo)準(zhǔn)。

 

企業(yè)明白他們必須保證企業(yè)內(nèi)部與外部之間邊界地區(qū)的安全；反過來，他們也必須意識到W‐Fi 正越來越多地扮演著內(nèi)部網(wǎng)絡(luò)、用戶和數(shù)據(jù)與外部世界之間的連接點(diǎn)或橋梁的角色。而這座橋梁就在我們周圍的空間中。

 

正如有線網(wǎng)絡(luò)那樣，無線網(wǎng)絡(luò)的安全需要狀態(tài)檢查和流量分析。隨著企業(yè)越來越依賴無線通信來服務(wù)員工、合作者和客戶，并且，隨著802.11n 的問世，無線通信已經(jīng)成為他們網(wǎng)絡(luò)基礎(chǔ)設(shè)施的組成部分。如果他們想要跟上電波中不斷增多的威脅的腳步，就必須采用和補(bǔ)充專用的WIPS 技術(shù)。