无线局域网安全之惑 五步策略轻松搞定

　　【IT专家网独家】前言：

　　无线网络的发展如同野火一般，其势深入消费者，给企业带来了巨大的利润。于是乎，现在越来越多的无线网络暴露于威胁之中，没有引起企业足够的重视。无线网络的误用和滥用攻击给企业带来了直接的经济损失，也间接导致了企业竞争力和市场价值的下降。

　　出于内外部审计的压力和防止未经授权的网络的滥用，每一家公司——即使是禁止无线网络使用的企业——也必须考虑无线网络带来的风险。传统的保护有线网络系统和应用程序的方法任然是必须的。但是由于缺乏对空中载波的实际控制，这意味着传统的保护方法是不够的。员工经常有意无意地就进入了邻近的无线局域网，广告网站，或是恶意的蜜罐。模糊的或是配置不正确的接入点给企业网络安全打开了长期的不受保护的隐形安全后门，这是很可怕的。

　　现行的安全政策，执行和方法必须更新来应对变化了的风险。一个有效的网络防御方案要有能够管制所有与商业相关的无线网络活动的能力。本文将分五步探讨无线局域网面临的挑战。从保护无线网络客户端和数据，到安全审计和无线网络连接，我们将提出一套整合的方法确保企业无线局域网的安全。

　　第一步：保护无线网络客户端

　　几乎所有的笔记本和掌上设备出厂的时候都带有无线网络功能。不管你的公司是禁止还是允许无线网络，这些无线网络客户端程序必须采取必要的措施防止无线网络威胁。包括病毒，TCP/IP攻击，还有未经授权的无线网络端口。

　　传统的防御一般将焦点关注于主机上，包括文件加密，杀毒软件和个人防火墙程序，当然这些在无线网络客户端上也是必须的。这些措施有效防止了TCP/IP入侵，就譬如无线网络热点上偶发的文件共享个蠕虫病毒传播。

　　尽管如此，这些措施不能制止危险的无线网络连接。我们需要新的客户端防御措施防止员工连接上邻近的无线网络，恶意偷窥者，恶意的蜜罐。有一些游离于安全政策之外的端口是有意地规避企业的限制是来使用个人电子邮件或是点对点下载。绝大多数是无意的，是由于杂乱的零配置软件造成的。不管是什么原因造成的，未经授权的无线网络连接暴露了企业的机密数据，架起了个网络之间的桥梁，直接威胁到了企业网络。

　　要想重新赢得对员工无线网络的控制，所有的机器上仅能使用授权的SSID(服务设置身份器)。除非企业的需要，禁止一切hoc连接。最好使用中央管理政策——譬如说，Windows无线网络连接必须通过Active Directory Group Policy Objects(活动目录群政策目标)配置。为了禁止员工自行添加私人网络连接，使用具有禁止无线网络客户端配置的网络第三方连接管理器。

　　为了自动断开不安全的连接，在每一台客户端上安全基于主机的无线网络入侵防御系统。主机无线网络入侵系统可以监视公司笔记本在家里和热点无线局域网中的使用，采取必要的措施执行已定义的无线网络安全政策。控制客户端程序的安装地和安装方式控制无线网络的连接，不管是在公司网络之内还是网络之外，这是唯一能够保证员工免受恶意攻击和低级无线错误的方法。

　　第二步：保护传输过程中数据的安全

　　与有线网络相比，无线网络更加缺乏实体保护。在无线网络数据传输的时候，我们需要新的防御方法清除监听，网络诈骗。

　　如果已经使用了虚拟个人网络(VPN)保护公网中的企业数据的话，VPN还可以用来保护无线局域网传输的无线网络流量。这样就确保了远离办公点的数据传输的安全，拓展了安全保护的区域。

　　还有一些企业使用VPN保护实地的无线网络——特别是那些早期使用的是WEP(有线同等隐私)协议的企业。所幸的是，现在所有的无线网络授权产品提供了两种广泛接受的安全性能提高的数据保护协议。

　　WPA：WPA(无线网络保护连接)使用TKIP(临时密钥整合协议)防范网络窃听，欺诈，无线网络数据的复制。这一协议填补了以前WEP协议的一些缺陷，但是速度比WPA2慢。现在WPA应用在无线局域网很多产品中。

　　WPA2：WPA版本2(WPA2)，从2004年以来，所有的无线网络产品都支持这一协议。使用802.11i和AES(高级加密标准)保证数据更加安全地传输。现在绝大多数的企业使用WPA2 这一更加安全的数据隐私协议。

　　当然，现在VPN还在无线局域网中使用。但是，VPN的花费比较高。绝大多数的企业在办公室之内使用WPA2协议，办公室之外的数据传输使用VPN。

　　第三步，控制企业网络的使用

　　为了防止网络漏洞，无线网络中的各个部分，从AP(网络接入点 access point)到发送连接的开关，到使用无线的企业网络，这些都必须防止未经授权的滥用。

　　始于传统的安全防御影响了无线网络的安全防护。譬如，升级补丁加强AP和网络开关的安全，关闭不用的网络关口，使用安全管理操作界面。在无线网络中，基于SSID或是用户身份使用防火墙和虚拟局域网(VLAN)。

　　这是一个良好的开端，简单却不够安全。插入到有线网络中的模糊AP会绕开防火墙，提供长时间的访问内部服务器的网络连接。如果不采取进一步的限制，临近网络，客户和入侵者都会使用你的无线局域网盗取网络服务，发送网络钓鱼邮件和垃圾邮件，甚至是攻击你的无线网络。

　　在设置AP的时候使用非默认的SSID可以减少意外的无线网络连接。但是不能仅仅满足于此，部署无线网络连接控制阻断来自于未经授权的客户的访问：

　　1.由于地址糊弄的出现，不能仅仅依靠MAC地址过滤无线网络安全

　　2.如果你提供客户访问，使用可获取端口跟踪使用，实行时间和带宽限制

　　3.在小型的无线局域网中，使用带有PSK的WPA或是WPA2保证连接仅限于授权客户。这是为绝大多数家庭无线局域网用户提供的服务。

　　在企业级的无线局域网中，仅仅依靠密码对用户进行限制显然是不够的，使用802.1X授权和审计连接到企业网络中的连接。如果与服务器认证一起使用的话，802.1X还可以防止用户误入假冒的蜜罐AP。

　　最后，执行无线网络数据保护和访问控制选项是必须的。中央无线局域网管理人员可以帮助减少AP的误配置，加快遭攻击之后的系统恢复速度。