Wi-Fi（Wireless Fidelity）是IEEE定義的一個無線網絡通信的工業標準。目前， Wi-Fi的發展如火如荼。無論是家庭網絡還是公司網絡無線技術都引起人們極大的熱情。但人們并沒有真正關注無線網絡的安全問題。結果，很多公司的信息資源被暴露在無線威脅之下，而公司卻對此茫然無知，不加干預。Wi-Fi被誤用、濫用或攻擊可以導致財務損失，包括與調查相關的直接成本、“宕機”時間、恢復時間等，直接成本還可包括因不遵守私有數據保密規范所導致的賠償和罰款等，還有因公司競爭能力和價值下降造成的間接損失。

由于這些需要審核和防止未授權的網絡應用所帶來的各種內部和外部的壓力，每一家公司，甚至包含那些禁用無線網絡的公司，都必須重點管理由Wi-Fi所引起的企業風險。傳統的那些用于保障應用程序、操作系統和有線通信安全的措施仍然是基本的并且是有效的措施。然而，如果缺乏對無線信號的有效控制，也就意味著有線的防御就會是形同虛設。雇員經常有意無意地連接鄰近的無線網絡或是一些惡意網點。一些錯誤配置的訪問點會在公司的網絡中長期打開一扇未經保護的、不可見的后門。

現存的安全策略、工具、方法必須改進以面對這些新的威脅。一種有效的網絡防御系統需要控制所有影響企業的無線網絡活動的能力。本文將保障企業無線網絡安全的難題分為五個基本的步驟。從保障無線客戶端和數據安全到審核和控制Wi-Fi連接，本文推薦了一些確保當今企業網絡安全性和完整性的最佳方法。

第一招:保護無線客戶端

如今，正如許多手持式設備一樣，95%的便攜式電腦都支持Wi-Fi。不管你的公司是否支持無線網絡，這種普遍存在的客戶端必須確保免受這種無線威脅的損害。無論是病毒還是TCP/IP破解，還是由那些無經驗的用戶所引起的未授權的、意外的Wi-Fi連接都是重點防護的內容。

傳統的防御通常都部署在互聯網主機上，包括文件加密、反病毒和個人防火墻程序，都應該用于Wi-Fi客戶端。這些措施可以使Wi-Fi客戶端與TCP/IP入侵隔離開來，如在一些網絡熱點主機中的無意的文件共享和蠕蟲泛濫。

然而，這些措施并不能阻止那些危險的Wi-Fi連接。新的客戶防御需要防止雇員與鄰近的WLAN或惡意站點連接。一些未受策略控制的連接是有企圖的，用于繞過公司對個人電子郵件或P2P的阻止功能。不過，大多數都是非故意的，可能由某些“零配置”（"zero config"）軟件所引起。不管怎么說，未授權的Wi-Fi連接會由于將關鍵數據暴露在外而損害公司的信息資產。

為了重新獲得對雇員Wi-Fi的管理和控制，需要配置所有的客戶端，使其只能與經過授權的服務集標識符(SSID)相聯系。因為服務集標識符是無線接入的身份標識符，是無線網絡用于定位服務的一項功能，用戶用它來建立與接入點之間的連接。除非企業需要，一定要拒絕所有的未事先規定的連接。為了得到最好的結果，務必采用集中化的管理策略，例如，Windows的Wi-Fi連接參數可以通過活動目錄組策略對象來配置。為了阻止雇員自己增加連接，可以使用一個支持對客戶端配置進行鎖定的第三方的管理工具。

為了自動斷開不安全的連接，需要在每一臺客戶端上部署一個常駐主機的Wi-Fi入侵防御程序。一個常駐主機的Wi-Fi入侵防御程序能夠密切注視家用的和熱點WLAN中的公司膝上型電腦，需要采取措施以加強已定義的Wi-Fi策略。在公司網絡的內部和外部，需要控制在什么地方及用什么手段允許與Wi-Fi的連接，這是保護職工免受惡意攻擊和所有的常見無線網絡錯誤的唯一可靠方法。

第二招：保障數據傳輸安全

無線網絡缺乏有線以太網絡所固有的物理安全性。因為墻壁、門窗、地板不能有效地包含Wi-Fi傳輸，所以需要采取新的防御手段來阻止對企業數據的竊聽、偽造和重放攻擊(replay-attack)。

如果你的公司已經使用了虛擬私有網絡（VPN）以保護在公用Internet上的企業數據，就要充分利用VPN以保護離開站點的Wi-Fi的數據傳輸。這種持續的安全保障獨立于WLAN所采用的任何措施。

有一些公司還使用VPN保護Wi-Fi線上通信站點。Wi-Fi的先行者們受到極其不安全的WEP協議的限制，無法對無線網絡實施真正的安全策略。幸運的是，現在所有的Wi-Fi認證產品都提供兩種經過極大改進的數據保護方法：

●WPA（Wi-Fi Protected Access）使用TKIP（Temporal Key Integrity Protocol，臨時密鑰完整性協議），此協議將加密從固定密鑰改為動態密鑰，雖然還是基于RC4算法，但比采用固定密鑰的WEP先進。除了密鑰管理以外，它還具有以EAP(可擴展認證協議，Extensible Authentication Protocol)為核心的用戶審核機制，可以通過服務器審核接入用戶的ID，在一定程度上可避免黑客非法接入、竊聽、偽造和Wi-Fi數據重放。這種過度性的措施可阻止WEP破壞，但要比其后續版本WPA2速度慢些，WPA應該用在那些使用遺留的老產品的WLAN中。

●WPA2從2004年年末開始被所有的Wi-Fi產品所支持，它使用802.11i和高級加密標準，以一種更加強健而有效的方式（AES-Advanced Encryption Standard）保障數據安全。AES是下一代的加密算法標準，速度快，安全級別高。 多數企業的WLAN應該升級到WPA2以求強健的數據保密和完整性。

當然，VPN還能夠用于今天的內部辦公WLAN中。不過，VPN會增加開銷并阻止漫游。大多數公司會發現最好用離站(off-site) VPN和在站(on-site)WPA2來保障數據安全。

第三招：控制公司網絡使用

為了防止網絡破壞，必須將每一個暴露的Wi-Fi部件（無論是訪問點還是用于數據傳輸的交換機等）與未授權的使用隔離開。

可以從將傳統的外圍防御應用到無線網絡的邊緣開始。舉例來說，通過更新補丁、關閉未用的端口以及使用安全的管理界面進一步強化無線訪問點和交換機的安全。基于SSID和用戶身份，將已經用于控制有線網絡的虛擬局域網（VLAN）和防火墻等擴展使用，使其隔離所有通過Wi-Fi進入的數據通信。

這是一個良好的開端，但卻遠遠不夠。一些插入到網絡中的配置錯誤的訪問節點可以繞過你的防火墻，從而長期訪問內部的服務器和數據。如果不實施進一步的控制，來賓和入侵者都可以使用你的無線網絡竊取互聯網絡服務，發送釣魚郵件或垃圾郵件，甚至攻擊你的有線網絡。

通過使用非默認的SSID配置訪問節點，就可以減少那些非正常的Wi-Fi連接。不只如此，還需要部署Wi-Fi的訪問控制以明確地拒絕未授權的客戶端連接。

●由于存在著地址欺騙，千萬不要依靠MAC地址過濾器實現Wi-Fi安全。

●如果你提供來賓（guest）訪問，務必使用一個受控入口以跟蹤使用，并且增強時間、帶寬的限制。

●在小型的無線局域網中，使用支持預共用密鑰模式(pre-shared key，PSK， 又稱為個人模式)的WPA或WPA2，只準許經過授權的并且提交隨機長口令的客戶端訪問網絡資源。這特別適用家用WLAN使用。

●在企業級WLAN中，由于需要對個人用戶實施更強的口令控制，務必對被允許到達公司網絡的Wi-Fi連接部署802.1x以便實施授權和審核。在與服務器授權證書一起使用時，802.1X可以幫助客戶端避免連接到虛假的訪問節點。

最后一點，增強Wi-Fi數據保護和訪問控制是至關重要的。一個集中化的WLAN管理程序能夠幫助減少訪問節點的錯誤配置，并且在遭受故障或攻擊之后加速恢復的過程。

第四招：審核無線網絡活動

不管你如何仔細部署你的網絡、客戶端和無線安全措施，一些意想不到的及未授權的無線訪問活動仍然可能會發生。為了滿足大多數企業面臨的內、外審核的需要，你需要監視公司網絡內所有Wi-Fi設備所執行的操作，并做出相應的報告。

關于無線通信，傳統的審核資源（如防火墻日志和有線網絡入侵檢測系統）是不夠的。這些系統只能監視有線網絡內部的數據通信。對于超出策略范圍的Wi-Fi連接，它們是“看”不到的。它們無法察覺針對WLAN自身的攻擊，如802.11/802.1X 拒絕服務攻擊（Denial of Service (DoS)）以及口令破解。這些系統不能支持與已定義的Wi-Fi安全規則的一致性，也不能用于評估由無線網絡的濫用或誤用引起的公司網絡資源暴露的程度。

每一家公司-包括那些沒有授權的WLAN-都應能夠發現并證明無線設備及其位置、活動、規則沖突和攻擊。這可以通過部署一個無線入侵防御系統（Wireless Intrusion Prevention System (WIPS)）以監視所有Wi-Fi活動來實現-這些活動對你的企業產生潛在的影響。WIPS使用分布式網絡傳感器掃描Wi-Fi使用的無線通道，分析數據通信并檢測未授權的連接、錯誤配置和惡意活動。一個WIPS系統能夠對潛在性的威脅發出警告并幫助用戶形象地實時地展示Wi-Fi活動。WIPS系統所維護的數據庫會允許用戶輕易地生成調整性的和連續性的報告。

第五招：增強無線規則

當然，只進行被動監視是遠遠不夠的。在用戶對WIPS警告響應的時候，巨大的破壞可能已經完成，入侵者可能早已消失得無影無蹤。因此，需要依靠公司及行業的規章制度和規范加強數據和網絡安全性的主動防御。

部署一個無線入侵防御系統有其必要性，特別是它可給與用戶快速增強已定義的規則的能力，并可斷開未授權的、欺詐性的無線訪問點，終止客戶端的錯誤行為，阻止規則無法控制的通信，還可用于對付DoS攻擊。為了完成這些目標，必須謹慎選擇并配置WIPS系統，例如：

●認真規劃傳感器的位置，避免“盲點”-然后需要驗證所期望的覆蓋范圍

●需要采用一種可自動地、精確地對新發現的設備進行分類的設備，從而使得“包含”這些設備的行動總是適當的，并不會入侵相鄰的WLAN系統。

●測試你的WIPS的有效性以快速準確地確認欺詐性訪問點、非正常連接和客戶端以及其它重要的Wi-Fi威脅。

●警惕那些生成錯誤警告和錯誤單元估計的系統，這些系統通過給你發送消息讓你進行徒勞的搜索。

●為了遵循數據保密性的要求（這些要求需要嚴格的策略強化），選擇一種能對付多種安全威脅的無線入侵防御系統，此系統應該能夠工作在實時的升級模式。

●最后，檢查WIPS警告和報告以了解WIPS如何加強你的策略。WIPS給你一種能力使你可以控制無線空間，但是明智地使用這種能力卻完全信賴于你。

雖然每一家公司都是不同的，但大多數公司最終會發現一個綜合性的防御體系需要上述的所有措施，它們協同工作以減輕常見的Wi-Fi威脅。然而，任何一項安全措施只有在風險管理的背景下才能產生最大的效益。

如果你的公司將要使用Wi-Fi，請從評估企業面臨的威脅及其潛在的影響開始，定義你的Wi-Fi需要：Wi-Fi用于支持企業活動的何人、何事、何地、何時。檢查所有暴露的Wi-Fi設備以及它們怎樣被偶然誤用或遭受故意的攻擊。

然后考慮每一種安全事件的可能性和相關的成本。你不可能減輕每一種可能的威脅。如果你沒有良好的企業風險管理，也不可能真正的知道有多少時間和金錢花費在威脅的處理上。完成Wi-Fi漏洞評估和企業風險分析可以幫助你關注產生最大影響的措施所引起的安全預算。

一旦你已經定義了一種用于減輕企業最關鍵的Wi-Fi威脅的安全策略，那就使用本文所介紹的這五招去實施你的策略并管理企業風險。雖然Wi-Fi安全并非自動化的或簡單的事情，但依靠那些可用的工具并通過策略定義和強化完全可以實現。總之，運用本文所述的最佳方法可幫助你實現公司網絡的安全性和完整性。