正在阅读：关注!企业无线网络天生八大安全问题关注!企业无线网络天生八大安全问题

　　无线网络已经被越来越多的企业和个人所接受：它不但提供了极大的便利性，并且其成本也在不断下降。但由于国际WIFI组织在制定IEEE802.11标准时对安全性问题考虑过少，在目前的IEEE802.11a/b/g无线网络标准中，安全性存在着一些先天的缺陷，因此一直备受非议。以至于许多企业级用户不敢将关键业务部署到无线网络平台上来——大多数无线网络仅仅是为了方便员工登陆互联网。

　　目前无线网络的安全方面主要存在以下八大问题：

无线网络安全问题一：私接AP

　　无线局域网接入点（WLAN APs）是那么便宜，容易安装，小巧而容易被人携带。非法的WLAN APs可以无意地或者在IT管理人员无法察觉的情况下恶意地接入到企业网络。只需要把一个小巧的WLAN APs带到企业内部，然后连接到以太网接口上就行了。

　　私接AP是雇员为了获得快速的无线接入而采用的典型方式，他们安装的AP几乎没有任何安全控制（例如：接入控制列表，Wire Equivalent 协议，802.1X, 802.11i等）。由于这些AP可以连接到网络中的任何以太网接口，也就可以无视已有的WLAN安全控制点（如Wi-Fi 交换机和防火墙）。私接AP的无线电覆盖无法被企业所在建筑物所完全屏蔽，非法用户这时就可以通过这些私接AP溢出的无线电覆盖连接到企业网络。不可见的电磁场使得避免这种意外活动变得很困难。即使察觉到他们的存在，找到他们同样很困难。

无线网络安全问题二：不当设置的AP

　　WLAN AP 支持多种安全特性和设置。许多时候，IT管理人员都会让合法的AP仍旧保持出厂时的默认设置或者没有恰当的对它进行设置。这会使AP在没有加密或在弱加密（如WEP）的条件下工作。也有些时候，一个AP在没有设置任何口令的情况下与客户端连接，于是整个企业网络就都在没有任何口令建立了无线连接。

　　不当设置的AP会导致一系列安全威胁。例如：攻击者可以窃听企业无线网络中不当设置的合法AP与合法用户间的无线通讯。攻击者也可以读取弱加密的通讯。如果AP没有设定口令，非法用户就可以通过这个AP与企业网络建立连接。最近一个被称为“war-driving”的黑客发展基金，就在利用因特网上下载的免费工具来发现那些泄露信号到公共场所的AP。许多勘查工具如：Netstumbler, Wellenreiter和其他工具都可以在因特网上自由下载。

无线网络安全问题三：客户端不当连接

　　客户端不当连接就是企业内合法用户与外部AP建立连接，这又是怎么发生的呢？一些部署在你工作区周围的AP可能没有做任何安全控制，企业内的合法用户的Wi-Fi卡就可能与这些外部AP建立连接。一旦这个客户端连接到外部AP，企业内可信赖的网络就置身风险之中：外部不安全的连接通过这个客户端就接入到了你的网络。考虑到无线网络的安全状况，我们要防止在不知情的状况下发生：合法用户与外部AP建立连接或内部信息外露的情况。

无线网络安全问题四：非法连接

　　非法连接是指企业外的人员与企业内合法的AP建立连接。这通常发生在无线空间没有安全控制的情况下。如果一个非法用户与合法AP建立连接，就意味着我们的网络向外部开放了，这会导致重要数据和信息外泄。

无线网络安全问题五：直连网络

　　802.11 WLAN标准提供一种在无线客户端间建立点对点无线连接的方式。无线客户端之间可以借此建立一个直连网络（AD HOC）。但是，这种直连网络带来了安全漏洞。例如：一个藏在街边，停车场里，或隔壁的攻击者可以与企业内一个合法的笔记本建立无线连接。这个攻击者此时就可以通过这台笔记本发动攻击。比如：如果这台笔记本与其他合法用户间共享了某些资源（文件或目录等），攻击者也可以通过直接连接获得这些资源。

　　以上5个网络安全问题对企业形成了威胁，其严重性决不可小视。非法设备通过上述AP与企业网络连接会导致数据失窃，数据重路由，数据崩溃，身份模拟，DOS，病毒感染以及其他类型在企业有线网络中存在的攻击。

如果以上的安全问题只是威胁的话，下面要介绍的则是针对危害更加严重的无线网络的攻击活动：

无线网络安全问题六：MAC伪造

　　无线局域网中的AP通过传送beacon(或者probe responses)宣示他们的存在。这些beacon中包含了AP的MAC地址（这是它的身份标识）和SSID（它所支持网络中的身份标志）。无线客户端收听附近不同AP发出的beacon。客户端通常与那个具有预期的SSID并且beacon信号很强的AP建立连接。市场上有相当数量的WLAN AP的MAC 地址和SSID是允许被用户修改的。这样的AP和软件工具很好获得，他们都允许将AP的MAC 地址和SSID修改成任何值。

　　通过伪造MAC，攻击者可以让一个AP发送与遭复制的AP相同的身份信息。经过伪造MAC的AP也可以发动诸如：packet dropping和packet corruption and modification等破坏性攻击。一个经伪造MAC的AP甚至可以连接到企业的有线网络，作为私接AP和逃避普通搜索工具的侦测。甚至一个伪造MAC的AP可以诱惑企业无线局域网中的合法无线客户端与其建立连接从而骗取其机密信息。 它可以在合法的通讯中扮演中间人的角色，从而使合法用户难以察觉。

无线网络安全问题七：蜜罐AP

　　多个无线网络可以并存在同一个空间里，用户可以连接到任何可用的网络，而不必在乎他加入的是自己所属的网络还是附近其他无线电覆盖过大的网络。攻击者建立一个信号比企业无线网更强的非法无线网络，就可以利用这一特性进行入侵。它需要在企业的无线网络附近(街上或停车场)开启一个AP。这些AP可以通过发送更强的beacon信号和伪造的MAC地址来吸引合法的企业用户与其建立连接。 这些AP被称为蜜罐AP(Honeypot AP)或恶魔双胞胎（Evil Twins）。一个合法用户无意中与蜜罐AP建立了连接导致的安全漏洞会泄露敏感信息——如身份认证信息给蜜罐AP。攻击者也可以为使用蜜罐AP的合法用户充当通讯中间人。

　　企业无线局域网中的合法无线客户端也会偶尔连接到附近并无恶意的AP (被称为“客户端不当连接”)。然而因此造成的安全漏洞会使无线网络客户端无意地向这些AP发送机密信息。这往往是由客户端或邻近AP不当的设置造成的。这与蜜罐AP的区别在于是否是被连接的AP是否是有意设置的。

无线网络安全问题八：拒绝服务

　　无线局域网逐渐被赋予传送重要应用的任务，这些应用包括：数据库接入，VOIP、email、web和会议。这些应用会被DOS攻击所破坏，造成网络瘫痪，阻挠用户接入并大幅降低系统性能。

　　无线局域网传输作为开放的传输介质很容易被用来发动DOS 攻击。此外，802.11 MAC 协议中的soft spots也是被用来作为发动DOS攻击的漏洞。例如以下的DOS攻击：authentication, association, de-authentication 或 disassociation flood, NAV attack, CTS flood, and EAP and EAPOL message floods就可以轻易发动而造成整个企业无线局域网络瘫痪。不幸的是，从因特网上可以轻易获得各种DOS工具，如：AirJack, FataJack, Void11, Fake AP等等。

　　明天我们将会介绍针对这些安全问题的硬件级解决方案。