在本文下面，我們列出了數(shù)據(jù)；鏈路層針對“企業(yè)無線覆蓋局域網(wǎng)亂用現(xiàn)象”的對策。這些對策包括：WEP的安全替代--使用無線安全標(biāo)準(zhǔn);無線局域網(wǎng)異常追蹤。當(dāng)然，無線網(wǎng)絡(luò) 的安全性可以使用更高層的保障如各種IPSec模式或基于SSL的安全協(xié)議等。

應(yīng)該的使用無線安全標(biāo)準(zhǔn)

2004年，IEEE的研發(fā)組開發(fā)了一個統(tǒng)一的無線安全標(biāo)準(zhǔn)，其中一大半被無線覆蓋設(shè)備和軟件供應(yīng)商實(shí)現(xiàn)還減輕了已知的802.11安全問題。一開始原名為802.11i標(biāo)準(zhǔn)，這個標(biāo)準(zhǔn)現(xiàn)在被廣泛稱之為wpa2，它代表了wifi保護(hù)訪問版本2。然而wpa是舊的版本不安全的向后兼容現(xiàn)有無線基礎(chǔ)設(shè)施的WEP標(biāo)準(zhǔn)的混合所以被wap2給取代了。WPA使用RC4加密，比WPA2中使用的AES加密更弱。WAP2是目前無線覆蓋方案最好的解決方法，并期望在可預(yù)見的未來繼續(xù)如此。大多數(shù)支持WPA2的無線接入點(diǎn)具有的特征被稱為wifi覆蓋保護(hù)設(shè)置(WPS)，其中有一個允許攻擊者獲得WPA2密碼的安全缺陷，使他或她未經(jīng)授權(quán)而連接到網(wǎng)絡(luò)。此功能應(yīng)盡可能關(guān)閉以避免攻擊。

無線IPS和IDS

無線ips使用無線傳感器識別無線攻擊。這些無線無線傳感器通常使用與在接入點(diǎn)發(fā)現(xiàn)的相同wifi波段，這就是為什么企業(yè)無線接入點(diǎn)允許雙重用途的原因，不且可以用來訪問還可以用于檢測網(wǎng)絡(luò)是否被攻擊。這種方式根據(jù)廠家的不同而不同。因?yàn)橛泻芏嗟呐渲梅椒?，最常見的方法是，在沒有人訪問時暫停無線電臺，并執(zhí)行惡意接入點(diǎn)和攻擊的無線空域快照。但是這種部分時間的無線入侵檢測方法意味著你只能在無線電臺處于檢測模式時檢測到攻擊。對于一天中剩下的時間，無線攻擊無法被檢測到。這個問題促使一些廠商在訪問接入點(diǎn)時使用次要的wifi電臺以使一個電臺被用于專職訪問而另一個用于全職無線IPS。

Wifi協(xié)議允許為信道分配不同的頻率，使得一個信道可以分配給每個頻率。在嚴(yán)重?fù)頂D的無線環(huán)境中，使用不同的信道(或頻率)允許管理員減少干擾，這也被成為共信道干擾。因此，對無線攻擊的適當(dāng)檢測需要定期檢查每個通道的攻擊?；旧嫌袃山M頻率：在2.4-GHz頻譜運(yùn)行的802.11b和802.11g;在5GHz頻譜運(yùn)行的802.11a;802.11n工作在兩個頻譜，2.4 GHz和5 GHz;802.11ac僅工作在5-GHz譜。

由于無線傳感器從一個信道跳躍到另一個信道收集無線數(shù)據(jù)包以供分析，它將不會收集有些數(shù)據(jù)包，因此，那些包將被錯過因?yàn)閭鞲衅髟谕粫r間只能監(jiān)控一個通道。因此，一些廠商現(xiàn)在允許傳感器選擇“鎖定頻道”以只允許一個信道(或頻率)被監(jiān)視。對于只有一個信道被使用的高度敏感環(huán)境，這個功能可以幫助管理員減少數(shù)據(jù)包丟失。現(xiàn)實(shí)情況是，由于無線網(wǎng)絡(luò)是一個物理介質(zhì)，總會發(fā)生數(shù)據(jù)包的丟失。這是由于許多因素，包括移動無線設(shè)備、設(shè)備的距離的傳感器、傳感器的天線強(qiáng)度等等。

無線入侵檢測系統(tǒng)只涉及到接收數(shù)據(jù)包。因此，它的范圍在物理上比一個發(fā)送和接收的接入點(diǎn)更廣泛。在一個典型的接入點(diǎn)和傳感器的部署中，經(jīng)驗(yàn)法則是每三個接入點(diǎn)一個傳感器。無線網(wǎng)絡(luò)勘測將有助于確定最佳的傳感器覆蓋和安置。

大多數(shù)人部署無線入侵檢測系統(tǒng)來檢測惡意接入點(diǎn)，三角測量也是一個好的想法。雖然一個流氓ap可以被一個單一的傳感器檢測，但其物理位置無法被檢測到。需要用到三角測量來確定流氓ap的近似物理位置。三角測量至少涉及到三個傳感器，它們中的所有都是被與三個傳感器的信息相關(guān)的同一個管理系統(tǒng)管理，并且基于復(fù)雜的算法確定流氓ap的物理位置。通常ap顯示在IDS管理軟件的樓層平面圖中。

企業(yè)無線網(wǎng)絡(luò)定位和安全網(wǎng)關(guān)

無線網(wǎng)絡(luò)加強(qiáng)的最后一點(diǎn)與無線網(wǎng)絡(luò)在整個網(wǎng)絡(luò)拓?fù)湓O(shè)計中的位置相關(guān)。由于無線網(wǎng)絡(luò)的特點(diǎn)，無線網(wǎng)絡(luò)不應(yīng)該直接連接到有線局域網(wǎng)。相反，它們必須被視為不安全的公共網(wǎng)絡(luò)連接，或在最寬松的安全方法中作為dmz。將一個無線接入點(diǎn)直接插入局域網(wǎng)交換機(jī)是自找麻煩(雖然802.1x認(rèn)證可以緩解這個問題)。一個具有良好狀態(tài)和代理的防火墻能力的安全無線網(wǎng)關(guān)必須將無線網(wǎng)絡(luò)與有線局域網(wǎng)分開。

現(xiàn)今最常見的方法是擁有可以在局域網(wǎng)上任何地方連接的ap，但創(chuàng)建一個返回到控制器的加密隧道，并在接觸局域網(wǎng)之前通過它傳送所有流量。這個控制器將運(yùn)行防火墻和入侵檢測/防御系統(tǒng)(IDS/IPS)的能力在它接觸到到內(nèi)部網(wǎng)絡(luò)之前檢查該流量。如果無線網(wǎng)絡(luò)在該區(qū)域包括多個接入點(diǎn)和漫游用戶訪問，則“有線側(cè)”的接入點(diǎn)必須被放在同一vlan中，從剩下的有線網(wǎng)絡(luò)中安全隔離。高端的專業(yè)無線網(wǎng)關(guān)集合了接入點(diǎn)、防火墻、vpn集中器、以及用戶漫游支持能力。網(wǎng)關(guān)的安全對你的無線網(wǎng)絡(luò)--甚至是接入點(diǎn)自己--的保護(hù)能力不應(yīng)忽視。無線網(wǎng)關(guān)、接入點(diǎn)、以及網(wǎng)橋的大多數(shù)安全問題來源于不安全的設(shè)備管理實(shí)施，包括使用Telnet、TFTP、默認(rèn)的SNMP團(tuán)體字符串和默認(rèn)的密碼，以及允許從網(wǎng)絡(luò)無線側(cè)進(jìn)行網(wǎng)關(guān)和接入點(diǎn)的遠(yuǎn)程管理。確保每個設(shè)備的安全被適當(dāng)?shù)膶徲?，并且與更傳統(tǒng)的在數(shù)據(jù)鏈路層以上工作的入侵檢測系統(tǒng)相呼應(yīng)使用無線專用入侵檢測系統(tǒng)。

總結(jié)：無論是企業(yè)用戶應(yīng)該根據(jù)自己的實(shí)際情況來購買產(chǎn)品，對于企業(yè)用戶來講，如果為了節(jié)約成本而使得無線產(chǎn)品的安全性跟不上，將會為企業(yè)帶來更大的損失。