無(wú)線網(wǎng)絡(luò)已成為我們工作和個(gè)人生活的一部分。而如何保護(hù)無(wú)線網(wǎng)絡(luò)免受安全威脅也已經(jīng)成為而且將繼續(xù)成為企業(yè)整體安全體系的一個(gè)重要部分。但是正如達(dá)爾文的進(jìn)化論所揭示的，無(wú)線安全的各種神話也隨之誕生、演變，然后又會(huì)被一些新的神話所取代。
  　　不過(guò)隨著對(duì)無(wú)線安全問(wèn)題認(rèn)識(shí)的深入，事實(shí)似乎已經(jīng)給了網(wǎng)絡(luò)安全專業(yè)人士足夠的信息，足以打破某些無(wú)線安全的神話(比如說(shuō)，把SSID隱藏起來(lái)能改善安全;帶MAC過(guò)濾器的開(kāi)放AP可提供較好的安全;利用靜態(tài)網(wǎng)絡(luò)IP地址可阻擋攻擊者的攻擊;WEP可提供足夠好的安全等等)。
  　　而越來(lái)越多的用戶轉(zhuǎn)向WPA2的事實(shí)也證實(shí)了這一點(diǎn)?，F(xiàn)行的PCI DSS無(wú)線指南(或許就是受到著名的、大規(guī)模TJX安全泄露事件而出臺(tái)的)肯定也在推動(dòng)這些安全部署。但是從另一方面看，無(wú)線安全社區(qū)依然缺乏處理由未加管理的設(shè)備而引發(fā)的安全威脅的能力。
  　　這種能力的缺失也使得一組新近出現(xiàn)的無(wú)線安全神話更加難以被揭穿?，F(xiàn)在就讓我們來(lái)扼要地瀏覽一下這些新的神話，并探討企業(yè)如何才能避免這些常見(jiàn)的陷阱或錯(cuò)誤。
  　　神話1：如果沒(méi)有部署Wi-Fi，企業(yè)就是安全的。
  　　很多人仍然認(rèn)為，如果他們制定了“無(wú)Wi-Fi”策略，那么他們就是安全的。但愿無(wú)線安全真的會(huì)是如此簡(jiǎn)單。現(xiàn)實(shí)世界不太可能是一個(gè)人人彼此信任的世界，也沒(méi)有人會(huì)天真地認(rèn)為絕不會(huì)有人違背“無(wú)Wi-Fi”策略。一個(gè)心存芥蒂的員工有可能會(huì)悄悄安放一個(gè)欺騙接入點(diǎn)(AP)，就連善意的員工也有可能會(huì)自行安裝一個(gè)AP，從而無(wú)意間將企業(yè)網(wǎng)絡(luò)暴露給無(wú)賴的攻擊行為。同樣的，如今絕大多數(shù)筆記本或上網(wǎng)本內(nèi)置的Wi-Fi網(wǎng)卡也可能成為一種潛在的威脅源——有可能被攻擊者所利用。再說(shuō)得進(jìn)一步，其他內(nèi)嵌于筆記本或上網(wǎng)本的無(wú)線技術(shù)，如藍(lán)牙等，也可能會(huì)產(chǎn)生嚴(yán)重的安全漏洞。
  　　實(shí)際情況：自以為“無(wú)Wi-Fi”策略便可保障企業(yè)網(wǎng)絡(luò)的安全，這無(wú)疑于鴕鳥(niǎo)將頭埋進(jìn)沙子的愚蠢之舉。
  　　神話2：在網(wǎng)絡(luò)中使用了WPA2，我就安全了。
  　　如果你的企業(yè)已經(jīng)部署了帶WPA2安全功能的Wi-Fi網(wǎng)絡(luò)，那肯定是一個(gè)不錯(cuò)的開(kāi)頭。WPA2可為企業(yè)的WLAN Ap和客戶端提供更強(qiáng)大的密碼安全。但是在較大規(guī)模的網(wǎng)絡(luò)部署中，只有在確保全部設(shè)備沒(méi)有因疏忽而出現(xiàn)誤配置，沒(méi)有給攻擊者留下可乘之機(jī)，那才是最重要的。隨著Wi-Fi日益被用來(lái)承載關(guān)鍵任務(wù)應(yīng)用，黑客和犯罪分子們也把重心轉(zhuǎn)移到了攻破Wi-Fi的安全措施上面。研究人員最近披露，WPA-TKIP對(duì)于數(shù)據(jù)包注入攻擊是缺乏免疫力的。同樣，已經(jīng)有報(bào)道說(shuō)，思科的WLAN控制器漏洞可以被用來(lái)“劫持”思科的LAP。
  　　實(shí)際情況：基于WPA2的WLAN部署不可能防范所有類型的無(wú)線安全威脅。
  　　神話3：?jiǎn)⒂昧?02.1X端口控制，我就是安全的。
  　　IEEE的802.1X端口控制可提供一種認(rèn)證機(jī)制，會(huì)對(duì)每一部希望通過(guò)端口進(jìn)行通信的設(shè)備進(jìn)行安全認(rèn)證。只有通過(guò)認(rèn)證之后，該設(shè)備才會(huì)被允許進(jìn)行通信。如果認(rèn)證失敗，通過(guò)此端口的通信就會(huì)被禁止。然而，802.1X設(shè)計(jì)者的目的并不是為了保護(hù)網(wǎng)絡(luò)免遭無(wú)線安全威脅。正如我們所預(yù)料的，802.1X在防范Wi-Fi客戶端的威脅方面是完全無(wú)能為力的。即便802.1X端口控制可以防止欺騙AP的通信，但是它依然很容易被“隱藏的欺騙AP”所繞過(guò)。舉個(gè)例子，假設(shè)某員工已獲得了802.1X的認(rèn)證證書(shū)，他便可利用一個(gè)靜態(tài)IP，以“沉靜”模式配置他需要連接的2層橋接AP(這樣一來(lái)，該AP就絕不會(huì)在網(wǎng)路上被識(shí)別出)。然后他便可以給Wi-Fi客戶端一個(gè)偽裝的身份(即MAC地址)，從而蒙騙過(guò)802.1X端口控制。

　　實(shí)際情況：這里的基本問(wèn)題是，802.1X提供的是一過(guò)性控制(也就是入口控制)，而企業(yè)真正需要的是連續(xù)的監(jiān)控。
  　　神話4：我的NAC解決方案會(huì)保護(hù)我免遭Wi-Fi威脅。
  　　NAC的目的就在于基于策略控制對(duì)網(wǎng)絡(luò)的接入，它包括預(yù)準(zhǔn)入端點(diǎn)安全策略檢查(以確定誰(shuí)可以接入網(wǎng)絡(luò))和后準(zhǔn)入控制(確定接入者訪問(wèn)了什么內(nèi)容)。因?yàn)镹AC解決方案還包括某些主機(jī)檢查(如在主機(jī)上運(yùn)行的操作系統(tǒng)和服務(wù)等)，所以可防范欺騙AP作為路由器或NAT的功能。NAC在防范“沉默欺騙AP”威脅方面也是無(wú)能為力的。
  　　實(shí)際情況：和802.1X相同，NAC也只是一種入門控制，所以關(guān)于802.1X的論斷同樣適用于NAC。
  　　神話5：802.11w可消除Wi-Fi DoS攻擊。
  　　究其性質(zhì)而言，Wi-Fi極易遭受DoS攻擊(例如射頻干擾、解除認(rèn)證/解除連接洪水、虛擬干擾等)。利用未經(jīng)授權(quán)的無(wú)線頻譜加上“簡(jiǎn)單化”的MAC協(xié)議，就能在Wi-Fi上發(fā)起DoS攻擊。IEEE最近通過(guò)了802.11w標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)擬解決對(duì)某些802.11管理框架子集(如解除認(rèn)證框架、解除連接誒框架)的密碼保護(hù)問(wèn)題。該標(biāo)準(zhǔn)確實(shí)可以緩和基于此類保護(hù)框架的攻擊。
  　　實(shí)際情況：基于各種框架的攻擊其實(shí)是在802.11w保護(hù)界限之外的，而攻擊所利用的射頻頻譜始終是可能的。
  　　神話6：AP兼職安全功能足夠了。
  　　WLAN基礎(chǔ)架構(gòu)或許可以支持這樣一種模式，一個(gè)AP可通過(guò)編程成為一個(gè)無(wú)線入侵檢測(cè)感應(yīng)器。然而，如果你需要更高級(jí)別的保護(hù)，例如想要遵從行業(yè)或政府的監(jiān)管規(guī)則，那你需要的就是無(wú)線入侵防護(hù)(而不只是入侵檢測(cè))，因?yàn)楫?dāng)把一個(gè)AP從接入功能切換為提供保護(hù)的功能時(shí)，它充其量也只能提供部分保護(hù)。具備AP功能的設(shè)備不可能在安全上花費(fèi)大量的時(shí)間周期，如果它這么做了，就有可能會(huì)影響到其作為數(shù)據(jù)/語(yǔ)音承載設(shè)備的性能。因此在使用上述模式時(shí)，此類設(shè)備在掃描病毒和減輕威脅方面都只會(huì)花費(fèi)較少的時(shí)間。如此一來(lái)，便會(huì)產(chǎn)生威脅檢測(cè)的延時(shí)，甚至可能嚴(yán)重影響到禁止/防范能力。
  　　實(shí)際情況：“兼職”感應(yīng)器在可靠地限制威脅方面是非常不可靠的(比如說(shuō)此類感應(yīng)器不能執(zhí)行持續(xù)而頻繁的遏制分組的傳送)。
  　　很顯然，來(lái)自非管理無(wú)線安全設(shè)備的威脅需要予以重點(diǎn)關(guān)注。解決這一問(wèn)題的第一步是要為你的企業(yè)制定無(wú)線安全策略——確定哪些通信是授權(quán)的，哪些未經(jīng)授權(quán)。
  　　其次是要評(píng)估對(duì)于企業(yè)的具體安全風(fēng)險(xiǎn)，并追加專門的工具，比如無(wú)線入侵檢測(cè)/防御系統(tǒng)等。最后，但并非最不重要的是，無(wú)線安全還是人和用戶教育的問(wèn)題，這一問(wèn)題在減輕安全風(fēng)險(xiǎn)方面是一個(gè)需要堅(jiān)持不懈加以解決的問(wèn)題。