谈到无线网络的安全问题，人们注意更多的是加密数据、鉴别用户身份、限制访问以及检测欺骗性访问点。然而，随着网络和链路防御的改进，黑客已经开始了更新的攻击方式，特别是针对无线客户端，如PDA设备、膝上型电脑、手持设备等，因为这些设备很少或根本没有采取安全防护措施。在本文中，我们将讨论常驻主机的WIPS（无线入侵防御系统）代理如何帮助您保护无线客户端设备，以确保无线网络的安全。

　　打破最脆弱的环节

　　很多网络用户也许会偶然地或故意地参与一些高风险的影响无线网络安全的活动。无线网络通常由不同的、不相关的部分或个体节点组成，具有混杂性。在这种属性无线网络的环境中，一个设备自动化地探查相邻的设备并在无用户干预的情况下与之连接，这进一步增加了其风险性。其结果是，很多无线节点会将系统和数据暴露给那些未知的、不可信任的“外人”。

　　根据《Network Chemistry's Wireless Threat Index》对每季度真实的Wi-Fi活动的分析，大多数的客户端都曾与未知的访问点联系过。特别是当过度友好的Windows XP自动连接到“任何可用的网络”时，这种情况可能会偶然发生。当然，如果用户与相邻的企业网络连接以绕过公司的阻止非企业应用（如P2P文件共享或GMail）的策略时，用户也可能故意这样做。

　　大约有63%的客户端涉及加入一些“特别的”连接——直接连接到Wi-Fi端点。例如，一些用户彼此关联共享Internet访问，在毫无察觉的情况下将其网络的文件夹和文件暴露出来。更糟的是，大多数用户并没有认识到这会造成一些“特别的”与任何网络入口的连接,这个入口以前用于连接到一个访问点。一位研究人员曾用普通的SSID（如“linksys”）来引诱飞机场的乘客连接到他的“特别”站，他能够通过普通的Windows服务端口来攻击大约20%的客户端─全都是因为这些用户忘记禁用他们的不安全的无线适配器。

　　许多客户端还由于违反公司的规则以及犯了其它的错误而将其自身置于风险之中。《Wireless Threat Index》指出，四分之一的用户在没有个人防火墙的情况下访问WLAN，三分之一的用户在没有反病毒软件的情况下访问WLAN。对于那些需要使用无线VPN的客户端，其中有三分之二的与公司的规则相违背。其它的大量用户与一些假冒的访问点相连接，这些访问点假冒一个真实的访问热点的名字。一旦一个客户端被引诱连接到一个假冒的访问点，传统的“中间人”攻击工具就会被运行以请求信用卡的号码、登录名和口令等，有时甚至窃听SSL或SSH数据。

　　重获无线网络安全的控制权

　　大多数管理员都知道，依靠用户保护自己是一个失败的处方。最起码小型企业应该定义按部就班的操作方法，这些方法应是为了手动设置来保障无线连接的安全。大型企业可以使用安装包、域的登录脚本或者活动目录组策略对象来推行安全的Wi-Fi配置。不管怎么说，在连接到可信任的SSID以及阻止连接到其它的AP或“特别的”节点时，应该设置Wi-Fi连接来要求正确对待的安全措施。例如，你可能会要求连接到公司SSID的连接通过服务器证书的检查使用企业级的WPA2，同时允许与一个活动的防火墙和VPN客户端一道，以开放的模式连接到雇员的家用WLAN。

　　这是一个良好的开端，但还远远不够。大多数用户低估了风险并禁用那些他们感到不方便的措施。即使用户作了真正的努力去保障安全，仍然会犯错误。没有中央的审核和控制能力，与内部规则或外部规则的一致性就不可能得到保障。在办公室内部，这可以通过部署一个无线入侵防御系统（WIPS）来实现。一个WIPS使用访问节点或遍布WLAN各处的检查器来监视数据通信。观察结果被报告给中心的WIPS服务器，这个服务器可以分析Wi-Fi通信，查找可能的攻击、问题和策略冲突。无论什么时候，只要一个潜在的威胁被检测到——例如，雇员连接到邻近的AP（访问点）——WIPS就可以采取措施自动地中断这个连接。

　　将这种控制置于不仅仅在办公室之内的范围需要一种不同的方案——一个运行在Wi-Fi客户端自身上的WIPS程序。一个主机上的WIPS，如Network Chemistry RFprotect Endpoint, AirTight SpectraGuard SAFE, AirMagnet StreetWISE, or AirDefense Personal可以监视家中的Wi-Fi客户端，也有可能是公共的热点区域、飞机场甚至是飞机上的客户端。

　　密切注视客户端

　　主机WIPS产品类型种类较多，但所有的产品都设计来监视主机自身的无线活动并将其与已定义的规则相比较。例如，AirMagnet StreetWISE规则定义有哪些无线连接类型被允许：仅Wi-Fi，Wi-Fi和以太网一起，特别的Wi-Fi，蓝牙和/或红外线等。对于Wi-Fi连接来说，此程序建立了最低的安全水平（WEP-64, WEP-128, WPA）和可信任的SSID，这些SSID通过Wi-Fi连接工具展现出来。

　　

 

　　如果一个连接试图违反这些规则，一个错误提示就会显示出来警告用户。这些基本的措施提高了用户的认识水平并会阻止用户进行配置或接受可能会引起风险的新连接。

　　除了与首选的知名热点和黑名单列示的SSID比较之外，AirDefense Personal还可以监视针对客户端的连接。例如，它可以发现从一个AP到另一个AP的转移，信号强度的主要变化，AP欺骗和软件AP等─所有可能的“中间人”攻击。当超过某个已定义严重程度的事件发生时，程序就会显示一个警告并且记录警告，并禁用这个有风险的连接。

　　

 

　　有好几种主机WIPS程序可以将详细描述客户端活动和安全警告的日志提供给一个中心服务器。举个例子来说，Network Chemistry RFprotect Endpoint为管理员提供了一个面板，用户通过这个面板可以概括WIPS代理的状态、已使用的无线连接的种类、一些违反规则的企图(例如，一些无VPN保护的连接企图)

　　

 

　　这种视图可以用于脆弱性的评估和趋势分析,帮助管理员查看离站的雇员到底是怎样使用Wi-Fi的，并且创建一个用于决定是否应对Wi-Fi的设置或WIPS规则进行修正的基础。

　　实际上，大多数用户面临的最大挑战之一就是决定什么时候和如何改变Wi-Fi设置。在雇员将其膝上型电脑带回家后，他当然要将其连接到家庭网络。在一个游客从旅馆走到飞机场时，她可能会连接到几个不同的网络。理想情况下，这些规则可被定义和锁住，将用户从过程中删除。不过在很多情况下，要预先确认所有被许可的SSID是不太现实的。

　　例如，AirTight SpectraGuard SAFE提供了另一个选项：它会帮助用户做出更明智的决定。SAFE使用三个配置文件来确认最低的安全设置、可信任的SSID和适合使用的AP 的MAC地址，无论在家里还是在别的地方都是如此。一个用户可能绝对不会改变管理员定义的“工作”配置文件，但仍会被允许创建他自己的“家用”配置文件。

　　

 

　　根据Wi-Fi客户端的当前环境、雇员总数需要和风险容忍程度，这个方法可以让公司决定是否阻止对未知AP的连接或者允许用户选择最佳的做法。

　　结论

　　这些仅仅是主机WIPS可以用于强化Wi-Fi客户端防御的几个方法而已。这些程序正在不断演化之中；检测、执行和管理效能在这些产品之间的不同是很多的，虽然我们在此文中仅仅列示了几个。请考虑一下你想要增强的规则、你需要支持的客户端操作系统以及它们与你的WIPS的一致性吧。个人和小型企业可以使用独立的主机WIPS程序。大型企业可能会喜欢使用集成的主机WIPS代理，这种代理可以与用于规则配置、软件安装、事件记录和威胁报告的中央服务器连接。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理，安装维护: