图文：三板斧强化无线网络客户端的安全

谈到无线网络的安全问题，人们注意更多的是加密数据、鉴别用户身份、限制访问以及检测欺骗性访问点。然而，随着网络和链路防御的改进，黑客已经开始了更新的攻击方式，特别是针对无线客户端，如PDA设备、膝上型电脑、手持设备等，因为这些设备很少或根本没有采取安全防护措施。在本文中，我们将讨论常驻主机的WIPS（无线入侵防御系统）代理如何帮助您保护无线客户端设备，以确保无线网络的安全。

打破最脆弱的环节

很多网络用户也许会偶然地或故意地参与一些高风险的影响无线网络安全的活动。无线网络通常由不同的、不相关的部分或个体节点组成，具有混杂性。在这种属性无线网络的环境中，一个设备自动化地探查相邻的设备并在无用户干预的情况下与之连接，这进一步增加了其风险性。其结果是，很多无线节点会将系统和数据暴露给那些未知的、不可信任的“外人”。

根据《Network Chemistry's Wireless Threat Index》对每季度真实的Wi-Fi活动的分析，大多数的客户端都曾与未知的访问点联系过。特别是当过度友好的Windows XP自动连接到“任何可用的网络”时，这种情况可能会偶然发生。当然，如果用户与相邻的企业网络连接以绕过公司的阻止非企业应用（如P2P文件共享或GMail）的策略时，用户也可能故意这样做。

大约有63%的客户端涉及加入一些“特别的”连接——直接连接到Wi-Fi端点。例如，一些用户彼此关联共享Internet访问，在毫无察觉的情况下将其网络的文件夹和文件暴露出来。更糟的是，大多数用户并没有认识到这会造成一些“特别的”与任何网络入口的连接,这个入口以前用于连接到一个访问点。一位研究人员曾用普通的SSID（如“linksys”）来引诱飞机场的乘客连接到他的“特别”站，他能够通过普通的Windows服务端口来攻击大约20%的客户端─全都是因为这些用户忘记禁用他们的不安全的无线适配器。

许多客户端还由于违反公司的规则以及犯了其它的错误而将其自身置于风险之中。《Wireless Threat Index》指出，四分之一的用户在没有个人防火墙的情况下访问WLAN，三分之一的用户在没有反病毒软件的情况下访问WLAN。对于那些需要使用无线VPN的客户端，其中有三分之二的与公司的规则相违背。其它的大量用户与一些假冒的访问点相连接，这些访问点假冒一个真实的访问热点的名字。一旦一个客户端被引诱连接到一个假冒的访问点，传统的“中间人”攻击工具就会被运行以请求信用卡的号码、登录名和口令等，有时甚至窃听SSL或SSH数据。

重获无线网络安全的控制权

大多数管理员都知道，依靠用户保护自己是一个失败的处方。最起码小型企业应该定义按部就班的操作方法，这些方法应是为了手动设置来保障无线连接的安全。大型企业可以使用安装包、域的登录脚本或者活动目录组策略对象来推行安全的Wi-Fi配置。不管怎么说，在连接到可信任的SSID以及阻止连接到其它的AP或“特别的”节点时，应该设置Wi-Fi连接来要求正确对待的安全措施。例如，你可能会要求连接到公司SSID的连接通过服务器证书的检查使用企业级的WPA2，同时允许与一个活动的防火墙和VPN客户端一道，以开放的模式连接到雇员的家用WLAN。

这是一个良好的开端，但还远远不够。大多数用户低估了风险并禁用那些他们感到不方便的措施。即使用户作了真正的努力去保障安全，仍然会犯错误。没有中央的审核和控制能力，与内部规则或外部规则的一致性就不可能得到保障。在办公室内部，这可以通过部署一个无线入侵防御系统（WIPS）来实现。一个WIPS使用访问节点或遍布WLAN各处的检查器来监视数据通信。观察结果被报告给中心的WIPS服务器，这个服务器可以分析Wi-Fi通信，查找可能的攻击、问题和策略冲突。无论什么时候，只要一个潜在的威胁被检测到——例如，雇员连接到邻近的AP（访问点）——WIPS就可以采取措施自动地中断这个连接。

将这种控制置于不仅仅在办公室之内的范围需要一种不同的方案——一个运行在Wi-Fi客户端自身上的WIPS程序。一个主机上的WIPS，如Network Chemistry RFprotect Endpoint, AirTight SpectraGuard SAFE, AirMagnet StreetWISE, or AirDefense Personal可以监视家中的Wi-Fi客户端，也有可能是公共的热点区域、飞机场甚至是飞机上的客户端。