無線網絡已成為人們工作和生活的一部分,如何保護無線網絡也已經成為企業整體安全體系的一個重要部分。但是就像達爾文的進化論所揭示的那樣,無線安全的各種神話也經歷誕生、演變、滅亡,然後又會被一些新的神話所取代的過程。現在就讓我們來揭穿無線網絡安全四大神話,並探討企業如何才能避免這些常見的陷阱或錯誤。
神話1:如果沒有部署Wi-Fi,企業就是安全的
很多人仍然認為,如果他們制定了「無Wi-Fi」策略,那麼他們就是安全的。但願無線安全真的會是如此簡單。現實世界不太可能是一個人人彼此信任的世界,也沒有人會天真地認為絕不會有人違背「無Wi-Fi」策略。一個心存芥蒂的員工有可能會悄悄安放一個欺騙接入點(AP),就連善意的員工也有可能會自行安裝一個AP,從而無意間暴露企業網絡。
實際情況:自以為「無Wi-Fi」策略便可保障企業網絡的安全,這無疑於鴕鳥將頭埋進沙子的愚蠢之舉。
神話2:在網絡中使用了WPA2,我就安全了
如果你的企業已經部署了帶WPA2安全功能的Wi-Fi網絡,那肯定是一個不錯的開頭。WPA2可為企業的WLAN Ap和客戶端提供更強大的密碼安全。但是在較大規模的網絡部署中,只有在確保全部設備沒有因疏忽而出現誤配置,沒有給攻擊者留下可乘之機,那才是最重要的。隨著Wi-Fi日益被用來承載關鍵任務應用,黑客和犯罪分子們也把重心轉移到了攻破Wi-Fi的安全措施上面。研究人員最近披露,WPA-TKIP對於數據包注入攻擊是缺乏免疫力的。同樣,已經有報導說,思科的WLAN控制器漏洞可以被用來「劫持」思科的LAP。
實際情況:基於WPA2的WLAN部署不可能防範所有類型的無線安全威脅。
神話3:啟用了802.1X埠控制,我就是安全的
IEEE的802.1X埠控制可提供一種認證機制,會對每一部希望通過埠進行通信的設備進行安全認證。只有通過認證之後,該設備才會被允許進行通信。如果認證失敗,通過此埠的通信就會被禁止。然而,802.1X設計者的目的並不是為了保護網絡免遭無線安全威脅。正如我們所預料的,802.1X在防範Wi-Fi客戶端的威脅方面是完全無能為力的。即便802.1X埠控制可以防止欺騙AP的通信,但是它依然很容易被「隱藏的欺騙AP」所繞過。舉個例子,假設某員工已獲得了802.1X的認證證書,他便可利用一個靜態IP,以「沉靜」模式配置他需要連接的2層橋接AP(這樣一來,該AP就絕不會在網路上被識別出)。然後他便可以給Wi-Fi客戶端一個偽裝的身份(即MAC地址),從而矇騙過802.1X埠控制。
實際情況:這裡的基本問題是,802.1X提供的是一過性控制(也就是入口控制),而企業真正需要的是連續的監控。
神話4:我的NAC解決方案會保護我免遭Wi-Fi威脅
NAC的目的就在於基於策略控制對網絡的接入,它包括預準入端點安全策略檢查(以確定誰可以接入網絡)和後準入控制(確定接入者訪問了什麼內容)。因為NAC解決方案還包括某些主機檢查(如在主機上運行的作業系統和服務等),所以可防範欺騙AP作為路由器或NAT的功能。NAC在防範「沉默欺騙AP」威脅方面也是無能為力的。
實際情況:和802.1X相同,NAC也只是一種入門控制,所以關於802.1X的論斷同樣適用於NAC。