企业无线应用潜藏Wi―Fi新威胁.docVIP

企业无线应用潜藏Wi―Fi新威胁 　　今年的央视3.15晚会中，“网络安全”这个听起来离我们挺遥远的词儿，再次大喇喇地进入公众的视野。从国家层面到权威媒体机构，一遍遍不厌其烦地提醒人们，看清楚虚幻的网络世界中真实存在的种种危险和罪恶。现场再现免费Wi-Fi环境下的信息泄露，只是冰山一角，却已足够令人震惊和后怕。 　　而事实上，有很多人有过类似的操作，只是危险还未降临，或已经发生但还未被察觉而已。 　　公共场合尚且如此，如果将场景延伸到企业网络中，情况又将如何？ 　　无线局域网（WLAN）基础架构的脆弱性，是目前企业网络中最重要和直接的威胁之一。在企业环境中，使用智能手机和平板电脑的Wi-Fi需求与日俱增，这无意中侵犯了网络安全的边界，也使那些没有部署无线的企业和组织面临着不可估量的风险。 　　无线安全四大误区 　　误区1 没有部署Wi-Fi，企业就是安全的 　　很多人仍然认为，如果企业没有部署Wi-Fi网络，那么就不存在Wi-Fi安全问题。然而，现实世界不可能是一个人人彼此信任的世界，也没有人会天真地认为绝不会有人违背“无Wi-Fi”部署策略。 　　无论有意或无意，安装一个隐秘接入点（AP），就足以将企业的网络暴露给无孔不入的攻击者。现在绝大多数的笔记本或上网本内置的Wi-Fi网卡同样可以构成潜在的威胁源。甚至于内嵌在笔记本或上网本中的无线技术，如蓝牙等，也可能会产生严重的安全漏洞。以为“无Wi-Fi”部署便可保障企业网络的安全无异于掩耳盗铃。 　　误区2 部署了传统的防火墙、IPS等网关设备，企业就是安全的 　　过去我们所理解的企业边界好比是一幢大楼，由企业内网联通各个房间。大楼的出口处有一道防盗门，也就是传统的防火墙或者是UTM网关设备。由这道门实时审视进出企业的全部流量，这是我们通常定义的企业边界。 　　但是，随着无线技术的快速发展和大量部署，大楼的原有边界变得越发模糊，安全边界的概念已经发生巨大的变化。无线信号能够传播到企业的物理边界之外，让那些认为大楼内部安全无忧的传统理念失去了说服力。如Wi-Fi共享软件、流氓AP、钓鱼AP、用户连接外部AP、Ad Hoc以及无线DoS攻击等，都无时不在侵犯和挑战传统的安全边界。 　　误区3 强大的认证与加密能够提供全面的防护？ 　　如果企业已经部署了带WPA2安全功能的Wi-Fi网络，那肯定是一个不错的开头。WPA2可为企业的WLAN AP和客户端提供更强大的密码安全保护。但在较大规模的网络部署中，确保全部设备没有因疏忽而出现误配置，不给攻击者留下可乘之机，才是最重要的。 　　随着Wi-Fi被用来承载越来越多的关键任务应用，黑客和犯罪分子们也把重心转移到了攻破Wi-Fi的安全措施上。研究人员最新发现，WPA-TKIP对于数据包注入攻击是缺乏免疫力的。同样，也已经有报道提到，思科的WLAN控制器漏洞可以被用来“劫持”思科的LAP。总之，基于WPA2的WLAN部署不可能防范所有类型的无线安全威胁。 　　误区4 使用地址绑定策略，只有经过许可的MAC地址才能连接 　　任何一种可用无线解决方案都可提供MAC（介质访问控制）地址过滤。消费级与企业级无线实施方案都拥有该选项，以便应用一定等级的MAC地址过滤。这听起来是一种有效的安全方法，但实际上却并非如此。 　　对于黑客而言，在几乎任意一种操作系统中欺骗MAC地址都出人意料的简单。黑客可将欺骗的MAC地址用于多类攻击，包括WEP （有线等效保密）？回放、解除认证、解除关联以及伪装攻击（设备可搭载通过客户认证的访客网络进行攻击）等。 　　守护安全新边界 　　对于企业部署Wi-Fi带来的无线应用安全隐患，一些本土安全企业提出了针对性的解决方案。 　　终端守护 智能设备分类和安全的BYOD策略执行 　　东软无线安全解决方案中的NetEye WIPS模块，能够自动分析尝试接入公司网络的智能手机和平板电脑的类型（安卓、黑莓、iPhone、iPad、Windows Mobile等），并根据策略划分准入及拒绝接入的类别。同时，通过提供的API，可以轻松地与几乎所有移动设备管理系统（MDM）进行整合。 　　频段守护 无线威胁防御 　　大多数的无线入侵检测/防御系统，常常会不正确地扰乱自己或者邻近的Wi-Fi网络。东软无线安全解决方案能够正确区分威胁是否来自邻近的无线Wi-Fi设备，有效防范滥用Wi-Fi或违反企业安全策略的威胁。同时，能够智能判断各种类型的无线网络威胁，并在2.4 GHz和？5 GHz频段的多种渠道上，同时阻止多种安全威胁。 　　策略守护 针对无线网络准入的控制手段 　　无线网络准入控制的目的就在于基于策略控制对无线网络的接入，它包括预准入端点安全策略检查（以确定谁可以