企業(yè)無(wú)線安全問(wèn)題不斷涌現(xiàn)，在本文中，專家Kevin Beaver探討了關(guān)于Wi-Fi安全的問(wèn)題。

[[153055]]

十多年以來(lái)，Wi-Fi一直應(yīng)用在企業(yè)網(wǎng)絡(luò)環(huán)境中。在IEEE 802.11b標(biāo)準(zhǔn)發(fā)布不久后，人們發(fā)現(xiàn)有限等效保密(WEP)協(xié)議的部署很容易被利用，讓攻擊者可以訪問(wèn)被認(rèn)為是安全的無(wú)線通信。

快進(jìn)到現(xiàn)在，在企業(yè)環(huán)境中，無(wú)線網(wǎng)絡(luò)已經(jīng)變得像智能手機(jī)一樣無(wú)處不在。然而，除了WEP的更新和更強(qiáng)的身份驗(yàn)證外，我們并沒(méi)有看到提高WiFi安全性方面顯著的改變。

你可能已經(jīng)熟悉現(xiàn)在的一些無(wú)線安全技術(shù)，下面讓我們回顧一下關(guān)鍵安全控制：

• 802.11i，其中推出了WiFi受保護(hù)訪問(wèn)以及WPA第二版本來(lái)解決WEP的問(wèn)題;

• 802.1x為使用RADIUS等系統(tǒng)的無(wú)線環(huán)境帶來(lái)了更強(qiáng)的身份驗(yàn)證;

• 無(wú)線入侵防御系統(tǒng);

• 移動(dòng)設(shè)備管理系統(tǒng)，實(shí)現(xiàn)對(duì)熱點(diǎn)連接的精細(xì)控制。

而在過(guò)去一年里，很多人開(kāi)始談?wù)揑EEE增加MAC地址隨機(jī)化來(lái)提高WiFi安全性和隱私性。此外，802.11ac中即將推出的MU-MIMO(多用戶、多輸入多輸出)技術(shù)也可以提高安全性，主要通過(guò)對(duì)從接入點(diǎn)到無(wú)線設(shè)備的下行鏈路中通信進(jìn)行編碼來(lái)實(shí)現(xiàn)。

有些人可能會(huì)認(rèn)為，企業(yè)無(wú)線安全的狀態(tài)處于混亂之中。筆者非常不同意這個(gè)觀點(diǎn)，筆者在最近幾年看到無(wú)數(shù)無(wú)線環(huán)境可以非常有效抵御最先進(jìn)的攻擊工具和技術(shù)。下面讓我們看看針對(duì)現(xiàn)在企業(yè)中WiFi的已知漏洞和攻擊：

• 對(duì)開(kāi)放訪客無(wú)線網(wǎng)絡(luò)的網(wǎng)絡(luò)嗅探，這是附近攻擊者獲取訪客網(wǎng)絡(luò)流量的最簡(jiǎn)單的方法。

• 不當(dāng)配置的訪客無(wú)線網(wǎng)絡(luò)，讓用戶可以訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)環(huán)境。

• 消費(fèi)級(jí)無(wú)線路由器/接入點(diǎn)可能為開(kāi)放(例如不適用WPA2)以及默認(rèn)情況下啟用WiFi Protected Setup，后者可以使用Reaver Pro設(shè)備來(lái)輕松被破壞。這些設(shè)備還可能有著容易被利用的后門(mén)，這可能進(jìn)一步增加企業(yè)無(wú)線安全風(fēng)險(xiǎn)。

• 針對(duì)網(wǎng)絡(luò)吞吐量或針對(duì)使用相對(duì)較低成本信號(hào)干擾的網(wǎng)絡(luò)信號(hào)本身的拒絕服務(wù)攻擊。

• 流氓(又稱“evil twin”)無(wú)線熱點(diǎn)可被設(shè)置和用于主要辦公地點(diǎn)的用戶，以及當(dāng)用戶在旅途以及使用酒店和會(huì)議室的免費(fèi)的WiFi。

• 用戶以不安全的方式(例如弱密碼)在自己的手機(jī)或?qū)Ｓ蠱iFi設(shè)備設(shè)置的移動(dòng)熱點(diǎn)，這可能被附近的攻擊者利用。這可以幫助攻擊者攻擊用戶的工作站，甚至可能入侵企業(yè)網(wǎng)絡(luò)環(huán)境。

此外，網(wǎng)絡(luò)復(fù)雜性和影子IT的增加進(jìn)一步加劇了這些問(wèn)題。

不過(guò)，基于這些WiFi的潛在風(fēng)險(xiǎn)，筆者并不認(rèn)為現(xiàn)在企業(yè)無(wú)線網(wǎng)絡(luò)存在很大的無(wú)法輕易解決的問(wèn)題。那些被利用的漏洞通常是因?yàn)闊o(wú)線系統(tǒng)的糟糕部署，而不是根本的WEP漏洞。

無(wú)線安全管理也存在薄弱環(huán)節(jié)，尤其是涉及到監(jiān)督和預(yù)警的方面。通常情況下，無(wú)線網(wǎng)絡(luò)環(huán)境被排除在深度安全評(píng)估甚至是漏洞掃描之外，這可能進(jìn)一步制造安全問(wèn)題。即使是有最好的企業(yè)級(jí)無(wú)線網(wǎng)絡(luò)管理和安全工具，網(wǎng)絡(luò)管理員和安全管理員通常會(huì)忙于處理網(wǎng)絡(luò)更關(guān)鍵領(lǐng)域的問(wèn)題，而不會(huì)花時(shí)間在無(wú)線網(wǎng)絡(luò)，因?yàn)樗梢杂镁托辛恕?/p>

現(xiàn)在幾乎每個(gè)企業(yè)都有使用無(wú)線網(wǎng)絡(luò)，企業(yè)有必要找出無(wú)線網(wǎng)絡(luò)薄弱點(diǎn)，并解決問(wèn)題。

展望未來(lái)，企業(yè)應(yīng)該關(guān)注影響無(wú)線安全的其他技術(shù)，例如Passpoint、VoLTE以及開(kāi)放無(wú)線路由器項(xiàng)目。思科和Fluke Networks等供應(yīng)商也有很多不錯(cuò)的無(wú)線管理產(chǎn)品。

除此之外，筆者認(rèn)為，在企業(yè)構(gòu)建安全的WiFi環(huán)境時(shí)，重點(diǎn)是保持良好的常識(shí)。