無(wú)線網(wǎng)絡(luò)已成為我們工作和個(gè)人生活的一部分。而如何保護(hù)無(wú)線網(wǎng)絡(luò)免受安全要挾也已經(jīng)成為而且將持續(xù)成為企業(yè)整體安全部系的一個(gè)重要部分。但是正如達(dá)爾文的進(jìn)化論所揭示的，無(wú)線安全的各種神話也隨之出生、演變，然后又會(huì)被一些新的神話所代替。

不過(guò)隨著對(duì)無(wú)線安全問(wèn)題認(rèn)識(shí)的深入，事實(shí)似乎已經(jīng)給了網(wǎng)絡(luò)安全專業(yè)人士足夠的信息，足以打破某些無(wú)線安全的神話(比如說(shuō)，把SSID暗藏起來(lái)能改良安全;帶MAC過(guò)濾器的開(kāi)放AP可供給較好的安全;利用靜態(tài)網(wǎng)絡(luò)IP地址可攔阻攻擊者的攻擊;WEP可供給足夠好的安全等等)。

而越來(lái)越多的用戶轉(zhuǎn)向WPA2的事實(shí)也證實(shí)了這一點(diǎn)。現(xiàn)行的PCI DSS無(wú)線指南(或許就是受到著名的、大范圍TJX安全泄漏事件而出臺(tái)的)確定也在推動(dòng)這些安全安排。但是從另一方面看，無(wú)線安全社區(qū)依然缺乏處理由未加管理的設(shè)備而引發(fā)的安全要挾的才能。

這種才能的缺失也使得一組新近呈現(xiàn)的無(wú)線安全神話更加難以被戳穿�，F(xiàn)在就讓我們來(lái)簡(jiǎn)要地瀏覽一下這些新的神話，并探討企業(yè)如何才干避免這些常見(jiàn)的陷阱或錯(cuò)誤。

神話1：如果沒(méi)有安排Wi-Fi，企業(yè)就是安全的。

很多人仍然認(rèn)為，如果他們制定了“無(wú)Wi-Fi”策略，那么他們就是安全的。但愿無(wú)線安全真的會(huì)是如此簡(jiǎn)略�，F(xiàn)實(shí)世界不太可能是一個(gè)人人彼此信任的世界，也沒(méi)有人會(huì)天真地認(rèn)為絕不會(huì)有人違背“無(wú)Wi-Fi”策略。一個(gè)心存芥蒂的員工有可能會(huì)悄悄安置一個(gè)欺騙接入點(diǎn)(AP)，就連善意的員工也有可能會(huì)自行安裝一個(gè)AP，從而無(wú)意間將企業(yè)網(wǎng)絡(luò)裸露給無(wú)賴的攻擊行動(dòng)。同樣的，如今絕大多數(shù)筆記本或上網(wǎng)本內(nèi)置的Wi-Fi網(wǎng)卡也可能成為一種潛在的要挾源——有可能被攻擊者所利用。再說(shuō)得進(jìn)一步，其他內(nèi)嵌于筆記本或上網(wǎng)本的無(wú)線技巧，如藍(lán)牙等，也可能會(huì)產(chǎn)生嚴(yán)重的安全漏洞。

實(shí)際情況：自認(rèn)為“無(wú)Wi-Fi”策略便可保障企業(yè)網(wǎng)絡(luò)的安全，這無(wú)疑于鴕鳥(niǎo)將頭埋進(jìn)沙子的笨拙之舉。

神話2：在網(wǎng)絡(luò)中應(yīng)用了WPA2，我就安全了。

如果你的企業(yè)已經(jīng)安排了帶WPA2安全功效的Wi-Fi網(wǎng)絡(luò)，那確定是一個(gè)不錯(cuò)的開(kāi)頭。WPA2可為企業(yè)的WLAN Ap和客戶端供給更強(qiáng)盛的密碼安全。但是在較大范圍的網(wǎng)絡(luò)安排中，只有在確保全部設(shè)備沒(méi)有因疏忽而呈現(xiàn)誤配置，沒(méi)有給攻擊者留下可乘之機(jī)，那才是最重要的。隨著Wi-Fi日益被用來(lái)承載要害任務(wù)利用，黑客和犯法分子們也把重心轉(zhuǎn)移到了攻破Wi-Fi的安全措施上面。研究人員最近披露，WPA-TKIP對(duì)于數(shù)據(jù)包注入攻擊是缺乏免疫力的。同樣，已經(jīng)有報(bào)道說(shuō)，思科的WLAN把持器漏洞可以被用來(lái)“劫持”思科的LAP。

實(shí)際情況：基于WPA2的WLAN安排不可能防備所有類型的無(wú)線安全要挾。

神話3：?jiǎn)⒂昧?02.1X端口把持，我就是安全的。

IEEE的802.1X端口把持可供給一種認(rèn)證機(jī)制，會(huì)對(duì)每一部盼望通過(guò)端口進(jìn)行通信的設(shè)備進(jìn)行安全認(rèn)證。只有通過(guò)認(rèn)證之后，該設(shè)備才會(huì)被容許進(jìn)行通信。如果認(rèn)證失敗，通過(guò)此端口的通信就會(huì)被禁止。然而，802.1X設(shè)計(jì)者的目標(biāo)并不是為了保護(hù)網(wǎng)絡(luò)免遭無(wú)線安全要挾。正如我們所預(yù)感的，802.1X在防備Wi-Fi客戶端的要挾方面是完整無(wú)能為力的。即便802.1X端口把持可以防止欺騙AP的通信，但是它依然很容易被“暗藏的欺騙AP”所繞過(guò)。舉個(gè)例子，假設(shè)某員工已獲得了802.1X的認(rèn)證證書(shū)，他便可利用一個(gè)靜態(tài)IP，以“沉靜”模式配置他需要連接的2層橋接AP(這樣一來(lái)，該AP就絕不會(huì)在網(wǎng)路上被辨認(rèn)出)。然后他便可以給Wi-Fi客戶端一個(gè)假裝的身份(即MAC地址)，從而蒙騙過(guò)802.1X端口把持。

實(shí)際情況：這里的基礎(chǔ)問(wèn)題是，802.1X供給的是一過(guò)性把持(也就是入口把持)，而企業(yè)真正需要的是持續(xù)的監(jiān)控。

神話4：我的NAC解決計(jì)劃會(huì)保護(hù)我免遭Wi-Fi要挾。

NAC的目標(biāo)就在于基于策略把持對(duì)網(wǎng)絡(luò)的接入，它包含預(yù)準(zhǔn)入端點(diǎn)安全策略檢查(以斷定誰(shuí)可以接入網(wǎng)絡(luò))和后準(zhǔn)入把持(斷定接入者訪問(wèn)了什么內(nèi)容)。因?yàn)镹AC解決計(jì)劃還包含某些主機(jī)檢查(如在主機(jī)上運(yùn)行的操作系統(tǒng)和服務(wù)等)，所以可防備欺騙AP作為路由器或NAT的功效。NAC在防備“沉默欺騙AP”要挾方面也是無(wú)能為力的。