無線網(wǎng)絡已成為我們工作和個人生活的一部分。而如何保護無線網(wǎng)絡免受安全要挾也已經(jīng)成為而且將持續(xù)成為企業(yè)整體安全部系的一個重要部分。但是正如達爾文的進化論所揭示的，無線安全的各種神話也隨之出生、演變，然后又會被一些新的神話所代替。

不過隨著對無線安全問題認識的深入，事實似乎已經(jīng)給了網(wǎng)絡安全專業(yè)人士足夠的信息，足以打破某些無線安全的神話(比如說，把SSID暗藏起來能改良安全;帶MAC過濾器的開放AP可供給較好的安全;利用靜態(tài)網(wǎng)絡IP地址可攔阻攻擊者的攻擊;WEP可供給足夠好的安全等等)。

而越來越多的用戶轉向WPA2的事實也證實了這一點。現(xiàn)行的PCI DSS無線指南(或許就是受到著名的、大范圍TJX安全泄漏事件而出臺的)確定也在推動這些安全安排。但是從另一方面看，無線安全社區(qū)依然缺乏處理由未加管理的設備而引發(fā)的安全要挾的才能。

這種才能的缺失也使得一組新近呈現(xiàn)的無線安全神話更加難以被戳穿�，F(xiàn)在就讓我們來簡要地瀏覽一下這些新的神話，并探討企業(yè)如何才干避免這些常見的陷阱或錯誤。

神話1：如果沒有安排Wi-Fi，企業(yè)就是安全的。

很多人仍然認為，如果他們制定了“無Wi-Fi”策略，那么他們就是安全的。但愿無線安全真的會是如此簡略�，F(xiàn)實世界不太可能是一個人人彼此信任的世界，也沒有人會天真地認為絕不會有人違背“無Wi-Fi”策略。一個心存芥蒂的員工有可能會悄悄安置一個欺騙接入點(AP)，就連善意的員工也有可能會自行安裝一個AP，從而無意間將企業(yè)網(wǎng)絡裸露給無賴的攻擊行動。同樣的，如今絕大多數(shù)筆記本或上網(wǎng)本內置的Wi-Fi網(wǎng)卡也可能成為一種潛在的要挾源——有可能被攻擊者所利用。再說得進一步，其他內嵌于筆記本或上網(wǎng)本的無線技巧，如藍牙等，也可能會產(chǎn)生嚴重的安全漏洞。

實際情況：自認為“無Wi-Fi”策略便可保障企業(yè)網(wǎng)絡的安全，這無疑于鴕鳥將頭埋進沙子的笨拙之舉。

神話2：在網(wǎng)絡中應用了WPA2，我就安全了。

如果你的企業(yè)已經(jīng)安排了帶WPA2安全功效的Wi-Fi網(wǎng)絡，那確定是一個不錯的開頭。WPA2可為企業(yè)的WLAN Ap和客戶端供給更強盛的密碼安全。但是在較大范圍的網(wǎng)絡安排中，只有在確保全部設備沒有因疏忽而呈現(xiàn)誤配置，沒有給攻擊者留下可乘之機，那才是最重要的。隨著Wi-Fi日益被用來承載要害任務利用，黑客和犯法分子們也把重心轉移到了攻破Wi-Fi的安全措施上面。研究人員最近披露，WPA-TKIP對于數(shù)據(jù)包注入攻擊是缺乏免疫力的。同樣，已經(jīng)有報道說，思科的WLAN把持器漏洞可以被用來“劫持”思科的LAP。

實際情況：基于WPA2的WLAN安排不可能防備所有類型的無線安全要挾。

神話3：啟用了802.1X端口把持，我就是安全的。

IEEE的802.1X端口把持可供給一種認證機制，會對每一部盼望通過端口進行通信的設備進行安全認證。只有通過認證之后，該設備才會被容許進行通信。如果認證失敗，通過此端口的通信就會被禁止。然而，802.1X設計者的目標并不是為了保護網(wǎng)絡免遭無線安全要挾。正如我們所預感的，802.1X在防備Wi-Fi客戶端的要挾方面是完整無能為力的。即便802.1X端口把持可以防止欺騙AP的通信，但是它依然很容易被“暗藏的欺騙AP”所繞過。舉個例子，假設某員工已獲得了802.1X的認證證書，他便可利用一個靜態(tài)IP，以“沉靜”模式配置他需要連接的2層橋接AP(這樣一來，該AP就絕不會在網(wǎng)路上被辨認出)。然后他便可以給Wi-Fi客戶端一個假裝的身份(即MAC地址)，從而蒙騙過802.1X端口把持。

實際情況：這里的基礎問題是，802.1X供給的是一過性把持(也就是入口把持)，而企業(yè)真正需要的是持續(xù)的監(jiān)控。

神話4：我的NAC解決計劃會保護我免遭Wi-Fi要挾。

NAC的目標就在于基于策略把持對網(wǎng)絡的接入，它包含預準入端點安全策略檢查(以斷定誰可以接入網(wǎng)絡)和后準入把持(斷定接入者訪問了什么內容)。因為NAC解決計劃還包含某些主機檢查(如在主機上運行的操作系統(tǒng)和服務等)，所以可防備欺騙AP作為路由器或NAT的功效。NAC在防備“沉默欺騙AP”要挾方面也是無能為力的。