【TechTarget中国原创】根据2005年WLAN市场情况的调查,现在三分之二的公司已经配置了企业级别的802.11 (Wi-Fi)无线局域网。然而,虽然最近技术提高了,但是安全问题依然被认为是首要的挑战。
没有充足的安全措施,无线就会为新的攻击开放企业网络,这些攻击范围广泛:从驾驶攻击和密码破解,到欺骗和双子星病毒。为了防止无线相容性认证(Wi-Fi)成为你网络防护的软肋,有必要理解无线带来的商业风险、可以减少这些风险的对策、以及设计、配置和监测安全无线局域网的行业最佳方式。
有风险的企业
人们认为忽视无线威胁不再是一种可行的选择。调查显示现在大部分企业发现不知名的"欺骗"访问点在其设备内部或附近运行。去年,装好的笔记本中五分之四都内置了无线相容性认证(Wi-Fi),大多数办公室现在也配备有未授权的无线客户机,这些客户机是由客户、供应者、合作伙伴和传递人员携带的。结果,每个企业——包括哪些还没有配置Wi-Fi的企业和那些禁止Wi-Fi的企业——应当准备好监测活动,并保护企业资源,以防受到以无线为基础的攻击。
没有配置正式无线局域网的企业会面临欺骗性接入点和客户机带来的威胁。比如,粗心的雇员将许多欺骗性接入点安装在企业防火墙内,而没有采用任何安全措施。尽管并非出于恶意,但是,这些接入点在你网络的中心仍然担当未受保护措施的后门,外界可以从这里获得秘密数据和敏感系统。更糟糕的是,笔记本电脑上的小型传播性接入点和易受攻击的接入点也更容易隐藏攻击者的欺骗。在家或热点使用Wi-Fi的工作者可能会在办公室无意地重新连接到类似名称的欺骗接入点,在企业网络和攻击者之间创建了一座桥梁。
大部分公司都配置了无线局域网(WLAN),如果你的公司也是其中的一员,那么你就面临着多余的顾虑。主要的顾虑之一就是保护无线资源,防止误用、滥用和攻击。比如,Wi-Fi就仅会受到一种剩余的新型服务拒绝攻击的攻击,这个攻击利用了802.11和802.1X,以及执行这些协议相对不成熟的产品。在把关键任务系统从有线以太网移动到无线局域网之前,关键是要了解这些服务拒绝风险,以及关于这些风险你所能采取的措施和你不能做的。此外,虽然,我们很容易了解了办公室内部的Wi-Fi客户机所面临的威胁,但是我们仍然发现了一些办公室内部的无线所引进的新威胁。简言之,Wi-Fi创建了混合托管的支网,可以保证仔细的检查、并添加保护层,进一步削弱了已经瓦解的网络外围。
预先警告意味着预先准备
当然,任何网络都有风险。90年代,在保护我们企业网络不受因特网攻击的同时,我们学会了如何利用环球网的优点。这十年中,在采用安全措施以保持这些风险出于控制之中的同时,我们必须学会选择Wi-Fi的金融潜能和生产潜能。
幸运的是,所有新的Wi-Fi产品包括数据链接安全特性,该特性能够抵抗诸如有线等效保密(WEP)破解之类的成熟攻击。今天所出售的大部分企业级别的产品,都支持802.11i Security Enhancements——该性能可以提供强大的数据加密、完整性、用户认证和端口访问控制功能。虽然这些功能提供了一定的保证——真正的、基本的保证——但它们本身并不足以创建一个安全的无线网络。
配置强大的防御系统需要一个策略:明确的安全策略可以鉴别威胁、与企业有关的风险和用于减轻风险的对策。如果你不了解这些无线威胁和攻击方法,那么你就不可能评定它们的潜在企业影响。如果你不了解这些风险,你不能知道哪些策略可以有效地预防风险。你应该执行WPA-PSK 还是802.1X?如果是802.1X,你应该支持哪些EAP类型?关于发现并消除欺骗性设备,你的策略是什么?是否有成本效益呢?创建一个无线安全策略,可以帮助你解决诸如此类的问题,以及更多的问题。
如何开始
有很多关于Wi-Fi安全方面的信息,此外,还有很多可用的良好资源,可以学到更多这方面的知识。每天负责安全的WLAN管理员应当考虑诸如Planet3 CWSP项目之类的证书。技术家可以在CWNP学习中心找到许多详细的802.11安全文件。
然而,许多IT专家和网络管理员所面临的挑战正在这一复杂的主题中占有一席之地,从新的挑战中寻找以往的挑战,透过树木发现森林。如果听起来比较熟悉的话,那么请核查我们新的“无线安全”系列。这一系列的20分钟网络版策略和双战术技巧是为那些时间有限而又渴求WLAN安全知识的读者而设计的。为了看看你从这一系列中学到了些什么,可以参加我们的入门考试(Entrance Exam)。从无线攻击和最佳方式到入侵监测和防御,这一系列技巧会用所需要的基本信息来武装你,这样你可以处理Wi-Fi威胁。