无线网络的发展如同野火一般，其势深入消费者，给企业带来了巨大的利润。于是乎，现在越来越多的无线网络暴露于威胁之中，没有引起企业足够的重视。无线网络的误用和滥用攻击给企业带来了直接的经济损失，也间接导致了企业竞争力和市场价值的下降。

  出于内外部审计的压力和防止未经授权的网络的滥用，每一家公司——即使是禁止无线网络使用的企业——也必须考虑无线网络带来的风险。传统的保护有线网络系统和应用程序的方法任然是必须的。但是由于缺乏对空中载波的实际控制，这意味着传统的保护方法是不够的。员工经常有意无意地就进入了邻近的无线局域网，广告网站，或是恶意的蜜罐。模糊的或是配置不正确的接入点给企业网络安全打开了长期的不受保护的隐形安全后门，这是很可怕的。

  现行的安全政策，执行和方法必须更新来应对变化了的风险。一个有效的网络防御方案要有能够管制所有与商业相关的无线网络活动的能力。本文将分五步探讨无线局域网面临的挑战。从保护无线网络客户端和数据，到安全审计和无线网络连接，我们将提出一套整合的方法确保企业无线局域网的安全。

  第一步：保护无线网络客户端

  几乎所有的笔记本和掌上设备出厂的时候都带有无线网络功能。不管你的公司是禁止还是允许无线网络，这些无线网络客户端程序必须采取必要的措施防止无线网络威胁。包括病毒，TCP/IP攻击，还有未经授权的无线网络端口。

  传统的防御一般将焦点关注于主机上，包括文件加密，杀毒软件和个人防火墙程序，当然这些在无线网络客户端上也是必须的。这些措施有效防止了TCP/IP入侵，就譬如无线网络热点上偶发的文件共享个蠕虫病毒传播。

  尽管如此，这些措施不能制止危险的无线网络连接。我们需要新的客户端防御措施防止员工连接上邻近的无线网络，恶意偷窥者，恶意的蜜罐。有一些游离于安全政策之外的端口是有意地规避企业的限制是来使用个人电子邮件或是点对点下载。绝大多数是无意的，是由于杂乱的零配置软件造成的。不管是什么原因造成的，未经授权的无线网络连接暴露了企业的机密数据，架起了个网络之间的桥梁，直接威胁到了企业网络。

  要想重新赢得对员工无线网络的控制，所有的机器上仅能使用授权的SSID(服务设置身份器)。除非企业的需要，禁止一切hoc连接。最好使用中央管理政策——譬如说，Windows无线网络连接必须通过Active Directory Group Policy Objects(活动目录群政策目标)配置。为了禁止员工自行添加私人网络连接，使用具有禁止无线网络客户端配置的网络第三方连接管理器。

  为了自动断开不安全的连接，在每一台客户端上安全基于主机的无线网络入侵防御系统。主机无线网络入侵系统可以监视公司笔记本在家里和热点无线局域网中的使用，采取必要的措施执行已定义的无线网络安全政策。控制客户端程序的安装地和安装方式控制无线网络的连接，不管是在公司网络之内还是网络之外，这是唯一能够保证员工免受恶意攻击和低级无线错误的方法。
　　
  第二步：保护传输过程中数据的安全

  与有线网络相比，无线网络更加缺乏实体保护。在无线网络数据传输的时候，我们需要新的防御方法清除监听，网络诈骗。

  如果已经使用了虚拟个人网络(VPN)保护公网中的企业数据的话，VPN还可以用来保护无线局域网传输的无线网络流量。这样就确保了远离办公点的数据传输的安全，拓展了安全保护的区域。

  还有一些企业使用VPN保护实地的无线网络——特别是那些早期使用的是WEP(有线同等隐私)协议的企业。所幸的是，现在所有的无线网络授权产品提供了两种广泛接受的安全性能提高的数据保护协议。

  WPA：WPA(无线网络保护连接)使用TKIP(临时密钥整合协议)防范网络窃听，欺诈，无线网络数据的复制。这一协议填补了以前WEP协议的一些缺陷，但是速度比WPA2慢。现在WPA应用在无线局域网很多产品中。

  WPA2：WPA版本2(WPA2)，从2004年以来，所有的无线网络产品都支持这一协议。使用802.11i和AES(高级加密标准)保证数据更加安全地传输。现在绝大多数的企业使用WPA2 这一更加安全的数据隐私协议。

  当然，现在VPN还在无线局域网中使用。但是，VPN的花费比较高。绝大多数的企业在办公室之内使用WPA2协议，办公室之外的数据传输使用VPN。

  第三步，控制企业网络的使用

  为了防止网络漏洞，无线网络中的各个部分，从AP(网络接入点 access point)到发送连接的开关，到使用无线的企业网络，这些都必须防止未经授权的滥用。

  始于传统的安全防御影响了无线网络的安全防护。譬如，升级补丁加强AP和网络开关的安全，关闭不用的网络关口，使用安全管理操作界面。在无线网络中，基于SSID或是用户身份使用防火墙和虚拟局域网(VLAN)。

  这是一个良好的开端，简单却不够安全。插入到有线网络中的模糊AP会绕开防火墙，提供长时间的访问内部服务器的网络连接。如果不采取进一步的限制，临近网络，客户和入侵者都会使用你的无线局域网盗取网络服务，发送网络钓鱼邮件和垃圾邮件，甚至是攻击你的无线网络。

  在设置AP的时候使用非默认的SSID可以减少意外的无线网络连接。但是不能仅仅满足于此，部署无线网络连接控制阻断来自于未经授权的客户的访问：

1. 由于地址糊弄的出现，不能仅仅依靠MAC地址过滤无线网络安全
2. 如果你提供客户访问，使用可获取端口跟踪使用，实行时间和带宽限制
3. 在小型的无线局域网中，使用带有PSK的WPA或是WPA2保证连接仅限于授权客户。这是为绝大多数家庭无线局域网用户提供的服务。

  在企业级的无线局域网中，仅仅依靠密码对用户进行限制显然是不够的，使用802.1X授权和审计连接到企业网络中的连接。如果与服务器认证一起使用的话，802.1X还可以防止用户误入假冒的蜜罐AP。

  最后，执行无线网络数据保护和访问控制选项是必须的。中央无线局域网管理人员可以帮助减少AP的误配置，加快遭攻击之后的系统恢复速度。

  第四步，审计无线网络活动

  不管你的网络，客户机，空中安全措施部署的多么仔细，百密一疏，出现意外情况的可能性还是很大的。要想达到内外安全审计标准，你需要监控所有的无线网络设备上的活动情况。

  传统的安全审计资源防火墙日志和有线网络入侵检测系统(IDS)在面临无线网络流量往往显得捉襟见肘。这些系统只能监控有线网络内部的流量。如果无线网络连接违规访问邻近网络或是蜜罐的时候，它们是无动于衷的。面临针对无线局域网本身的攻击，譬如说，802.1/802.1XDoS洪水攻击和无线网络密码破解，它们也难以应对。还有一个缺陷就是，它们不能记录定义的无线网络安全政策的兼容或评估由于无线滥用带来的泄密事件。

  每一家公司，即使没有使用授权的无线局域网，也应该发现和记录先无线网络设备和他们的地址，行为，违反政策的情况和攻击行为。通过使用全天候监控的无线网络IPS(WIPS无线入侵防御系统)可以实现上述目标。WIPS使用分布式网络监控器扫描无线广播通道，分析流量找出异常的网络连接，找出错误配置和恶意行为。WIPS会对潜在的威胁发出警报，将无线网络行为实时可视化。由WIPS管理的数据会让管理报告的提交更加简便。

  第五步，执行无线网络安全政策

  被动的监测当然是不够的。如果等到对WIPS作出人为响应的时候，可能损失已经造成了，而作祸者已逃之夭夭。预先的主动防范是保证企业网络安全必须的。

  部署的WIPS要能够迅速地执行定义规则，断开未经授权的流氓AP，禁止客户机的不良行为，阻止违反政策的通信，隔离DoS攻击。要实现上诉目标，选择和配置WIPS的时候要慎之又慎。譬如，

1. 感应器的设置要预防盲点——确保完全覆盖
2. 配置的WIPS要能够自动准确地区分新发现的设备，确保它们的行为符合规定，不入侵邻近的无线局域网。
3. 检查WIPS针对流氓AP，行为不端的客户机和其它无线网络威胁响应的速度和准确性。
4. 注意系统生成的错误警报和不准确的地点估计——这会浪费你很多时间和资源
5. 使用限制严格地数据隐私授权，选择能够对多种安全威胁作出实时响应的WIPS工具
6. 最后，检查WIPS是否严格执行了设定的安全政策，WIPS帮助你控制无线网络的领空，至于如何使用这一能力则有赖于你的使用了。

  总结

  尽管各个公司的情况不尽相同，但是上述五步对于应对无线网络安全基本上对于各个企业都是共通的。但是，切记，一切从本企业的实际出发的安全措施才是最有效的，本本主义决不是最佳选择，这也不是本篇文章的初衷。

  不管你的公司是禁止无线网络的使用，还是已经大规模地使用无线网络，都需要对无线网络安全引起重视。定义无线网络的使用，什么时间，什么地点，什么情况下什么人可以使用无线网络，是在办公室之内还是之外?检查所有可能应用于无线网络中的设备，以及其可能面临的滥用的风险。

  接着，考虑安全风险之间的相似性及其对企业可能造成的损失作出评估。记住，不是所有的风险都是可以处置的。你也不可能知道应该在风险处置上投入多少，除非建立一套完善的应对风险的方案。无线网络漏洞评估和商业风险评估有助你把好钢用在刀刃上。

  一旦企业建立了安全策略处置企业面临的最大的无线网络风险，使用上述五步策略执行安全政策，管理商业风险。尽管无线网络安全不那么简单，但是通过行之有效的政策执行和良好的技术工具还是可以实现的。在这个无线网络安全面临严重风险的网络社会，使用本文建议的方法将帮助你从整体上保证企业网络的安全!