企業(yè)無線安全問題不斷涌現(xiàn)，在本文中，專家Kevin Beaver探討了關于Wi-Fi安全的問題。

[[153055]]

十多年以來，Wi-Fi一直應用在企業(yè)網(wǎng)絡環(huán)境中。在IEEE 802.11b標準發(fā)布不久后，人們發(fā)現(xiàn)有限等效保密(WEP)協(xié)議的部署很容易被利用，讓攻擊者可以訪問被認為是安全的無線通信。

快進到現(xiàn)在，在企業(yè)環(huán)境中，無線網(wǎng)絡已經(jīng)變得像智能手機一樣無處不在。然而，除了WEP的更新和更強的身份驗證外，我們并沒有看到提高WiFi安全性方面顯著的改變。

你可能已經(jīng)熟悉現(xiàn)在的一些無線安全技術，下面讓我們回顧一下關鍵安全控制：

• 802.11i，其中推出了WiFi受保護訪問以及WPA第二版本來解決WEP的問題;

• 802.1x為使用RADIUS等系統(tǒng)的無線環(huán)境帶來了更強的身份驗證;

• 無線入侵防御系統(tǒng);

• 移動設備管理系統(tǒng)，實現(xiàn)對熱點連接的精細控制。

而在過去一年里，很多人開始談論IEEE增加MAC地址隨機化來提高WiFi安全性和隱私性。此外，802.11ac中即將推出的MU-MIMO(多用戶、多輸入多輸出)技術也可以提高安全性，主要通過對從接入點到無線設備的下行鏈路中通信進行編碼來實現(xiàn)。

有些人可能會認為，企業(yè)無線安全的狀態(tài)處于混亂之中。筆者非常不同意這個觀點，筆者在最近幾年看到無數(shù)無線環(huán)境可以非常有效抵御最先進的攻擊工具和技術。下面讓我們看看針對現(xiàn)在企業(yè)中WiFi的已知漏洞和攻擊：

• 對開放訪客無線網(wǎng)絡的網(wǎng)絡嗅探，這是附近攻擊者獲取訪客網(wǎng)絡流量的最簡單的方法。

• 不當配置的訪客無線網(wǎng)絡，讓用戶可以訪問企業(yè)內(nèi)部網(wǎng)絡環(huán)境。

• 消費級無線路由器/接入點可能為開放(例如不適用WPA2)以及默認情況下啟用WiFi Protected Setup，后者可以使用Reaver Pro設備來輕松被破壞。這些設備還可能有著容易被利用的后門，這可能進一步增加企業(yè)無線安全風險。

• 針對網(wǎng)絡吞吐量或針對使用相對較低成本信號干擾的網(wǎng)絡信號本身的拒絕服務攻擊。

• 流氓(又稱“evil twin”)無線熱點可被設置和用于主要辦公地點的用戶，以及當用戶在旅途以及使用酒店和會議室的免費的WiFi。

• 用戶以不安全的方式(例如弱密碼)在自己的手機或?qū)Ｓ蠱iFi設備設置的移動熱點，這可能被附近的攻擊者利用。這可以幫助攻擊者攻擊用戶的工作站，甚至可能入侵企業(yè)網(wǎng)絡環(huán)境。

此外，網(wǎng)絡復雜性和影子IT的增加進一步加劇了這些問題。

不過，基于這些WiFi的潛在風險，筆者并不認為現(xiàn)在企業(yè)無線網(wǎng)絡存在很大的無法輕易解決的問題。那些被利用的漏洞通常是因為無線系統(tǒng)的糟糕部署，而不是根本的WEP漏洞。

無線安全管理也存在薄弱環(huán)節(jié)，尤其是涉及到監(jiān)督和預警的方面。通常情況下，無線網(wǎng)絡環(huán)境被排除在深度安全評估甚至是漏洞掃描之外，這可能進一步制造安全問題。即使是有最好的企業(yè)級無線網(wǎng)絡管理和安全工具，網(wǎng)絡管理員和安全管理員通常會忙于處理網(wǎng)絡更關鍵領域的問題，而不會花時間在無線網(wǎng)絡，因為它可以用就行了。

現(xiàn)在幾乎每個企業(yè)都有使用無線網(wǎng)絡，企業(yè)有必要找出無線網(wǎng)絡薄弱點，并解決問題。

展望未來，企業(yè)應該關注影響無線安全的其他技術，例如Passpoint、VoLTE以及開放無線路由器項目。思科和Fluke Networks等供應商也有很多不錯的無線管理產(chǎn)品。

除此之外，筆者認為，在企業(yè)構建安全的WiFi環(huán)境時，重點是保持良好的常識。