成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

無線安全的6個新神話

安全
隨著對無線安全問題認識的深入,事實似乎已經給了網絡安全專業人士足夠的信息,足以打破某些無線安全的神話。而越來越多的用戶轉向WPA2的事實也證實了這一點。

無線網絡已成為我們工作和個人生活的一部分。而如何保護無線網絡免受安全威脅也已經成為而且將繼續成為企業整體安全體系的一個重要部分。但是正如達爾文的進化論所揭示的,無線安全的各種神話也隨之誕生、演變,然后又會被一些新的神話所取代。

不過隨著對無線安全問題認識的深入,事實似乎已經給了網絡安全專業人士足夠的信息,足以打破某些無線安全的神話(比如說,把SSID隱藏起來能改善安全;帶MAC過濾器的開放AP可提供較好的安全;利用靜態網絡IP地址可阻擋攻擊者的攻擊;WEP可提供足夠好的安全等等)。

而越來越多的用戶轉向WPA2的事實也證實了這一點。現行的PCI DSS無線指南(或許就是受到著名的、大規模TJX安全泄露事件而出臺的)肯定也在推動這些安全部署。但是從另一方面看,無線安全社區依然缺乏處理由未加管理的設備而引發的安全威脅的能力。

這種能力的缺失也使得一組新近出現的無線安全神話更加難以被揭穿。現在就讓我們來扼要地瀏覽一下這些新的神話,并探討企業如何才能避免這些常見的陷阱或錯誤。

神話1:如果沒有部署Wi-Fi,企業就是安全的。

很多人仍然認為,如果他們制定了“無Wi-Fi”策略,那么他們就是安全的。但愿無線安全真的會是如此簡單。現實世界不太可能是一個人人彼此信任的世界,也沒有人會天真地認為絕不會有人違背“無Wi-Fi”策略。一個心存芥蒂的員工有可能會悄悄安放一個欺騙接入點(AP),就連善意的員工也有可能會自行安裝一個AP,從而無意間將企業網絡暴露給無賴的攻擊行為。同樣的,如今絕大多數筆記本或上網本內置的Wi-Fi網卡也可能成為一種潛在的威脅源——有可能被攻擊者所利用。再說得進一步,其他內嵌于筆記本或上網本的無線技術,如藍牙等,也可能會產生嚴重的安全漏洞。

實際情況:自以為“無Wi-Fi”策略便可保障企業網絡的安全,這無疑于鴕鳥將頭埋進沙子的愚蠢之舉。

神話2:在網絡中使用了WPA2,我就安全了。

如果你的企業已經部署了帶WPA2安全功能的Wi-Fi網絡,那肯定是一個不錯的開頭。WPA2可為企業的WLAN Ap和客戶端提供更強大的密碼安全。但是在較大規模的網絡部署中,只有在確保全部設備沒有因疏忽而出現誤配置,沒有給攻擊者留下可乘之機,那才是最重要的。隨著Wi-Fi日益被用來承載關鍵任務應用,黑客和犯罪分子們也把重心轉移到了攻破Wi-Fi的安全措施上面。研究人員最近披露,WPA-TKIP對于數據包注入攻擊是缺乏免疫力的。同樣,已經有報道說,思科的WLAN控制器漏洞可以被用來“劫持”思科的LAP。

實際情況:基于WPA2的WLAN部署不可能防范所有類型的無線安全威脅。

神話3:啟用了802.1X端口控制,我就是安全的。

IEEE的802.1X端口控制可提供一種認證機制,會對每一部希望通過端口進行通信的設備進行安全認證。只有通過認證之后,該設備才會被允許進行通信。如果認證失敗,通過此端口的通信就會被禁止。然而,802.1X設計者的目的并不是為了保護網絡免遭無線安全威脅。正如我們所預料的,802.1X在防范Wi-Fi客戶端的威脅方面是完全無能為力的。即便802.1X端口控制可以防止欺騙AP的通信,但是它依然很容易被“隱藏的欺騙AP”所繞過。舉個例子,假設某員工已獲得了802.1X的認證證書,他便可利用一個靜態IP,以“沉靜”模式配置他需要連接的2層橋接AP(這樣一來,該AP就絕不會在網路上被識別出)。然后他便可以給Wi-Fi客戶端一個偽裝的身份(即MAC地址),從而蒙騙過802.1X端口控制。

實際情況:這里的基本問題是,802.1X提供的是一過性控制(也就是入口控制),而企業真正需要的是連續的監控。

神話4:我的NAC解決方案會保護我免遭Wi-Fi威脅。

NAC的目的就在于基于策略控制對網絡的接入,它包括預準入端點安全策略檢查(以確定誰可以接入網絡)和后準入控制(確定接入者訪問了什么內容)。因為NAC解決方案還包括某些主機檢查(如在主機上運行的操作系統和服務等),所以可防范欺騙AP作為路由器或NAT的功能。NAC在防范“沉默欺騙AP”威脅方面也是無能為力的。

實際情況:和802.1X相同,NAC也只是一種入門控制,所以關于802.1X的論斷同樣適用于NAC。

神話5:802.11w可消除Wi-Fi DoS攻擊。

究其性質而言,Wi-Fi極易遭受DoS攻擊(例如射頻干擾、解除認證/解除連接洪水、虛擬干擾等)。利用未經授權的無線頻譜加上“簡單化”的MAC協議,就能在Wi-Fi上發起DoS攻擊。IEEE最近通過了802.11w標準,該標準擬解決對某些802.11管理框架子集(如解除認證框架、解除連接誒框架)的密碼保護問題。該標準確實可以緩和基于此類保護框架的攻擊。

實際情況:基于各種框架的攻擊其實是在802.11w保護界限之外的,而攻擊所利用的射頻頻譜始終是可能的。

神話6:AP兼職安全功能足夠了。

WLAN基礎架構或許可以支持這樣一種模式,一個AP可通過編程成為一個無線入侵檢測感應器。然而,如果你需要更高級別的保護,例如想要遵從行業或政府的監管規則,那你需要的就是無線入侵防護(而不只是入侵檢測),因為當把一個AP從接入功能切換為提供保護的功能時,它充其量也只能提供部分保護。具備AP功能的設備不可能在安全上花費大量的時間周期,如果它這么做了,就有可能會影響到其作為數據/語音承載設備的性能。因此在使用上述模式時,此類設備在掃描病毒和減輕威脅方面都只會花費較少的時間。如此一來,便會產生威脅檢測的延時,甚至可能嚴重影響到禁止/防范能力。

實際情況:“兼職”感應器在可靠地限制威脅方面是非常不可靠的(比如說此類感應器不能執行持續而頻繁的遏制分組的傳送)。

很顯然,來自非管理無線安全設備的威脅需要予以重點關注。解決這一問題的第一步是要為你的企業制定無線安全策略——確定哪些通信是授權的,哪些未經授權。

其次是要評估對于企業的具體安全風險,并追加專門的工具,比如無線入侵檢測/防御系統等。最后,但并非最不重要的是,無線安全還是人和用戶教育的問題,這一問題在減輕安全風險方面是一個需要堅持不懈加以解決的問題。

【編輯推薦】

  1. 基站偽造、蹭網卡:無線安全之多敏感話題訪楊哲
  2. 簡單兩招讓你的Wi-Fi無線網絡更安全
責任編輯:許鳳麗 來源: TT網絡
相關推薦

2010-07-08 14:13:51

2010-09-10 15:28:57

無線安全

2013-02-26 15:55:23

2012-02-16 09:53:50

2014-11-26 15:23:29

2011-05-04 16:30:07

靈客風LinkPhon

2019-05-27 08:19:54

2022-02-07 19:20:01

網絡安全網絡攻擊數據安全

2010-11-23 10:50:31

2019-10-12 11:03:24

物聯網技術大數據

2009-11-16 16:07:06

2020-07-08 22:35:25

Wi-Fi6無線安全網絡安全

2010-04-09 15:24:09

ZigBee無線技術

2016-11-09 15:11:17

安全云存儲云服務

2011-12-19 10:53:14

2014-07-23 10:03:20

2017-12-27 11:38:14

數據分析大數據算法

2013-09-11 13:50:47

Web性能

2015-05-13 16:30:02

混合云云部署

2019-03-15 08:56:24

5G網絡無線寬帶
點贊
收藏

51CTO技術棧公眾號

主站蜘蛛池模板: 久久aⅴ乱码一区二区三区 亚洲欧美综合精品另类天天更新 | 一区二区三区视频播放 | www.国产精品 | 欧美精品首页 | 成人av网站在线观看 | 99reav | 亚洲第一在线 | 91精品福利 | 亚洲区一区二 | 久久久国产精品 | 欧美乱淫视频 | 国产探花在线精品一区二区 | 欧美 中文字幕 | 国产精品成人一区二区三区 | 免费污视频 | 日韩欧美二区 | 91极品尤物在线播放国产 | 欧美亚洲高清 | 亚洲成人精品在线观看 | 亚洲美女天堂网 | 国产特一级黄色片 | 性做久久久久久免费观看欧美 | 国产精品视频在线观看 | 蜜桃视频在线观看免费视频网站www | 亚洲成人免费视频在线 | 成人在线观看亚洲 | 日韩av福利在线观看 | 精品欧美一区二区精品久久久 | 精品麻豆剧传媒av国产九九九 | 香蕉一区 | 免费 视频 1级 | 国产视频观看 | 最新中文字幕久久 | 久久国产一区 | 中文字幕一区二区三区四区五区 | 91在线免费视频 | 国产一区二区精品在线观看 | 欧美日韩中文在线观看 | 亚洲视频第一页 | 国产精品99久久久久久宅男 | 91麻豆精品国产91久久久资源速度 |