图文：三板斧强化无线网络客户端的安全

密切注视客户端

主机WIPS产品类型种类较多，但所有的产品都设计来监视主机自身的无线活动并将其与已定义的规则相比较。例如，AirMagnet StreetWISE规则定义有哪些无线连接类型被允许：仅Wi-Fi，Wi-Fi和以太网一起，特别的Wi-Fi，蓝牙和/或红外线等。对于Wi-Fi连接来说，此程序建立了最低的安全水平（WEP-64, WEP-128, WPA）和可信任的SSID，这些SSID通过Wi-Fi连接工具展现出来。

如果一个连接试图违反这些规则，一个错误提示就会显示出来警告用户。这些基本的措施提高了用户的认识水平并会阻止用户进行配置或接受可能会引起风险的新连接。

除了与首选的知名热点和黑名单列示的SSID比较之外，AirDefense Personal还可以监视针对客户端的连接。例如，它可以发现从一个AP到另一个AP的转移，信号强度的主要变化，AP欺骗和软件AP等─所有可能的“中间人”攻击。当超过某个已定义严重程度的事件发生时，程序就会显示一个警告并且记录警告，并禁用这个有风险的连接。

有好几种主机WIPS程序可以将详细描述客户端活动和安全警告的日志提供给一个中心服务器。举个例子来说，Network Chemistry RFprotect Endpoint为管理员提供了一个面板，用户通过这个面板可以概括WIPS代理的状态、已使用的无线连接的种类、一些违反规则的企图(例如，一些无VPN保护的连接企图)

这种视图可以用于脆弱性的评估和趋势分析,帮助管理员查看离站的雇员到底是怎样使用Wi-Fi的，并且创建一个用于决定是否应对Wi-Fi的设置或WIPS规则进行修正的基础。

实际上，大多数用户面临的最大挑战之一就是决定什么时候和如何改变Wi-Fi设置。在雇员将其膝上型电脑带回家后，他当然要将其连接到家庭网络。在一个游客从旅馆走到飞机场时，她可能会连接到几个不同的网络。理想情况下，这些规则可被定义和锁住，将用户从过程中删除。不过在很多情况下，要预先确认所有被许可的SSID是不太现实的。

例如，AirTight SpectraGuard SAFE提供了另一个选项：它会帮助用户做出更明智的决定。SAFE使用三个配置文件来确认最低的安全设置、可信任的SSID和适合使用的AP 的MAC地址，无论在家里还是在别的地方都是如此。一个用户可能绝对不会改变管理员定义的“工作”配置文件，但仍会被允许创建他自己的“家用”配置文件。

根据Wi-Fi客户端的当前环境、雇员总数需要和风险容忍程度，这个方法可以让公司决定是否阻止对未知AP的连接或者允许用户选择最佳的做法。

结论

这些仅仅是主机WIPS可以用于强化Wi-Fi客户端防御的几个方法而已。这些程序正在不断演化之中；检测、执行和管理效能在这些产品之间的不同是很多的，虽然我们在此文中仅仅列示了几个。请考虑一下你想要增强的规则、你需要支持的客户端操作系统以及它们与你的WIPS的一致性吧。个人和小型企业可以使用独立的主机WIPS程序。大型企业可能会喜欢使用集成的主机WIPS代理，这种代理可以与用于规则配置、软件安装、事件记录和威胁报告的中央服务器连接。