軼名

今年的央視3.15晚會中，“網(wǎng)絡(luò)安全”這個聽起來離我們挺遙遠的詞兒，再次大喇喇地進入公眾的視野。從國家層面到權(quán)威媒體機構(gòu)，一遍遍不厭其煩地提醒人們，看清楚虛幻的網(wǎng)絡(luò)世界中真實存在的種種危險和罪惡?，F(xiàn)場再現(xiàn)免費Wi-Fi環(huán)境下的信息泄露，只是冰山一角，卻已足夠令人震驚和后怕。

而事實上，有很多人有過類似的操作，只是危險還未降臨，或已經(jīng)發(fā)生但還未被察覺而已。

公共場合尚且如此，如果將場景延伸到企業(yè)網(wǎng)絡(luò)中，情況又將如何？

無線局域網(wǎng)（WLAN）基礎(chǔ)架構(gòu)的脆弱性，是目前企業(yè)網(wǎng)絡(luò)中最重要和直接的威脅之一。在企業(yè)環(huán)境中，使用智能手機和平板電腦的Wi-Fi需求與日俱增，這無意中侵犯了網(wǎng)絡(luò)安全的邊界，也使那些沒有部署無線的企業(yè)和組織面臨著不可估量的風險。

無線安全四大誤區(qū)

誤區(qū)1 ?沒有部署Wi-Fi，企業(yè)就是安全的

很多人仍然認為，如果企業(yè)沒有部署Wi-Fi網(wǎng)絡(luò)，那么就不存在Wi-Fi安全問題。然而，現(xiàn)實世界不可能是一個人人彼此信任的世界，也沒有人會天真地認為絕不會有人違背“無Wi-Fi”部署策略。

無論有意或無意，安裝一個隱秘接入點（AP），就足以將企業(yè)的網(wǎng)絡(luò)暴露給無孔不入的攻擊者?，F(xiàn)在絕大多數(shù)的筆記本或上網(wǎng)本內(nèi)置的Wi-Fi網(wǎng)卡同樣可以構(gòu)成潛在的威脅源。甚至于內(nèi)嵌在筆記本或上網(wǎng)本中的無線技術(shù)，如藍牙等，也可能會產(chǎn)生嚴重的安全漏洞。以為“無Wi-Fi”部署便可保障企業(yè)網(wǎng)絡(luò)的安全無異于掩耳盜鈴。

誤區(qū)2 ?部署了傳統(tǒng)的防火墻、IPS等網(wǎng)關(guān)設(shè)備，企業(yè)就是安全的

過去我們所理解的企業(yè)邊界好比是一幢大樓，由企業(yè)內(nèi)網(wǎng)聯(lián)通各個房間。大樓的出口處有一道防盜門，也就是傳統(tǒng)的防火墻或者是UTM網(wǎng)關(guān)設(shè)備。由這道門實時審視進出企業(yè)的全部流量，這是我們通常定義的企業(yè)邊界。

但是，隨著無線技術(shù)的快速發(fā)展和大量部署，大樓的原有邊界變得越發(fā)模糊，安全邊界的概念已經(jīng)發(fā)生巨大的變化。無線信號能夠傳播到企業(yè)的物理邊界之外，讓那些認為大樓內(nèi)部安全無憂的傳統(tǒng)理念失去了說服力。如Wi-Fi共享軟件、流氓AP、釣魚AP、用戶連接外部AP、Ad Hoc以及無線DoS攻擊等，都無時不在侵犯和挑戰(zhàn)傳統(tǒng)的安全邊界。

誤區(qū)3 ?強大的認證與加密能夠提供全面的防護？

如果企業(yè)已經(jīng)部署了帶WPA2安全功能的Wi-Fi網(wǎng)絡(luò)，那肯定是一個不錯的開頭。WPA2可為企業(yè)的WLAN AP和客戶端提供更強大的密碼安全保護。但在較大規(guī)模的網(wǎng)絡(luò)部署中，確保全部設(shè)備沒有因疏忽而出現(xiàn)誤配置，不給攻擊者留下可乘之機，才是最重要的。

隨著Wi-Fi被用來承載越來越多的關(guān)鍵任務(wù)應(yīng)用，黑客和犯罪分子們也把重心轉(zhuǎn)移到了攻破Wi-Fi的安全措施上。研究人員最新發(fā)現(xiàn)，WPA-TKIP對于數(shù)據(jù)包注入攻擊是缺乏免疫力的。同樣，也已經(jīng)有報道提到，思科的WLAN控制器漏洞可以被用來“劫持”思科的LAP?？傊?，基于WPA2的WLAN部署不可能防范所有類型的無線安全威脅。

誤區(qū)4 ?使用地址綁定策略，只有經(jīng)過許可的MAC地址才能連接

任何一種可用無線解決方案都可提供MAC（介質(zhì)訪問控制）地址過濾。消費級與企業(yè)級無線實施方案都擁有該選項，以便應(yīng)用一定等級的MAC地址過濾。這聽起來是一種有效的安全方法，但實際上卻并非如此。

對于黑客而言，在幾乎任意一種操作系統(tǒng)中欺騙MAC地址都出人意料的簡單。黑客可將欺騙的MAC地址用于多類攻擊，包括WEP （有線等效保密）？回放、解除認證、解除關(guān)聯(lián)以及偽裝攻擊（設(shè)備可搭載通過客戶認證的訪客網(wǎng)絡(luò)進行攻擊）等。

守護安全新邊界

對于企業(yè)部署Wi-Fi帶來的無線應(yīng)用安全隱患，一些本土安全企業(yè)提出了針對性的解決方案。

終端守護 ?智能設(shè)備分類和安全的BYOD策略執(zhí)行

東軟無線安全解決方案中的NetEye WIPS模塊，能夠自動分析嘗試接入公司網(wǎng)絡(luò)的智能手機和平板電腦的類型（安卓、黑莓、iPhone、iPad、Windows Mobile等），并根據(jù)策略劃分準入及拒絕接入的類別。同時，通過提供的API，可以輕松地與幾乎所有移動設(shè)備管理系統(tǒng)（MDM）進行整合。

頻段守護 ?無線威脅防御

大多數(shù)的無線入侵檢測/防御系統(tǒng)，常常會不正確地擾亂自己或者鄰近的Wi-Fi網(wǎng)絡(luò)。東軟無線安全解決方案能夠正確區(qū)分威脅是否來自鄰近的無線Wi-Fi設(shè)備，有效防范濫用Wi-Fi或違反企業(yè)安全策略的威脅。同時，能夠智能判斷各種類型的無線網(wǎng)絡(luò)威脅，并在2.4 GHz和？5 GHz頻段的多種渠道上，同時阻止多種安全威脅。

策略守護 ?針對無線網(wǎng)絡(luò)準入的控制手段

無線網(wǎng)絡(luò)準入控制的目的就在于基于策略控制對無線網(wǎng)絡(luò)的接入，它包括預(yù)準入端點安全策略檢查（以確定誰可以接入網(wǎng)絡(luò)）。另外，無線網(wǎng)絡(luò)準入控制解決方案還包括某些主機檢查（如在主機上運行的操作系統(tǒng)和服務(wù)等），可防范欺騙AP作為路由器或NAT的功能。

傳輸守護 ?多重的安全無線傳輸保障

雖然在企業(yè)的無線安全方案部署中可以通過802.11i、WPA2或者WPA加強傳輸?shù)陌踩?，但還是會有無法使用這些加密和身份驗證類型的情況發(fā)生。在這種情況下，VPN可以作為保護無線客戶端連接的備用解決方案。通過使用VPN，以及利用多個SSID和VLAN進行網(wǎng)絡(luò)分段，為擁有多種不同客戶端的網(wǎng)絡(luò)提供強大的解決方案。IP安全（IPSec）和SSL VPN可以提供與802.11i和WPA類似的安全等級。

相關(guān)鏈接

四大Wi-Fi安全威脅

1.數(shù)據(jù)截取：目前所有支持Wi-Fi認證的產(chǎn)品均支持AES-CCMP數(shù)據(jù)加密協(xié)議。但一些早期的產(chǎn)品僅支持TKIP，而TKIP由于存在安全漏洞，很容易被網(wǎng)絡(luò)黑客進行信號盜取。

2.非法接入點：心存僥幸的網(wǎng)絡(luò)用戶會利用未經(jīng)授權(quán)的接入點進行網(wǎng)絡(luò)接入，這點非常危險。一般企業(yè)都會對接入點設(shè)置進行掃描，避免非法接入點出現(xiàn)。而個人用戶應(yīng)采取追蹤、攔截等措施去阻止非法接入點使用。

3.錯誤配置接入點：相對而言，802.11n增加了一系列復(fù)雜的配置選項，同時，優(yōu)先級事項和multi-media進一步復(fù)雜化配置。個人用戶應(yīng)采用集中管理的方式，盡可能減少操作錯誤。

4. 雙面惡魔攻擊：這種攻擊有時也被稱為“無線釣魚”，雙面惡魔其實就是一個以鄰近的網(wǎng)絡(luò)名稱隱藏起來的欺詐性接入點。雙面惡魔等待著一些盲目信任的用戶進入錯誤的接入點，然后竊取個別網(wǎng)絡(luò)的數(shù)據(jù)或攻擊計算機。