在本文中，我们列出了数据链路层的针对“企业无线局域网可能遭到滥用”的对策。这些对策包括：WEP的安全替代——使用无线安全标准；无线局域网的入侵检测和异常追踪。当然，无线网络的安全性可以（也应该）使用更高层的保障如各种IPSec模式或基于SSL的安全协议等。

使用无线安全标准

2004年，IEEE的“i”课题组开发了一个统一的无线安全标准，其中部分已经被许多无线设备和软件供应商实现以减轻已知的802.11安全问题。原名为802.11i标准，这个标准现在被广泛成为WPA2，它代表了Wi-Fi保护访问版本2。WAP2取代了WPA，WPA是旧的、不安全的向后兼容现有无线基础设施的WEP标准的混合。WPA使用RC4加密，比WPA2中使用的AES加密更弱。WAP2是目前无线网络最好的解决方案，并期望在可预见的未来继续如此。大多数支持WPA2的无线接入点具有的特征被称为Wi-Fi保护设置（WPS），其中有一个允许攻击者获得WPA2密码的安全缺陷，使他或她未经授权而连接到网络。此功能应尽可能关闭以避免攻击。

有效部署无线入侵检测和预防

尽管如前所述，对无线网络的入侵检测必须覆盖数据链路层。在这里，我们简要介绍无线入侵检测（IDS）问题。许多应用程序声称是无线入侵检测系统，但仅仅在这些地址没有被ACL允许时才检测局域网中新的MAC地址。这样的功能在一些接入点的固件中也能实现。当然，任何能够绕过基于MAC的ACL的人也能够绕过基于MAC的“IDS”。一个真正的无线入侵检测系统是一个提供攻击签名数据库或知识库和推理机、以及一个适当的报告和报警接口的专业802.11（或802.15）协议分析仪。一些可疑的寻找无线局域网的事件包括：

· 探测请求（很好的指示了有人在使用主动扫描方式）
· 来自不请自来的访问点或ad hoc无线客户端的信标帧
· 洪泛分离/解除认证帧（中间人攻击？）
· 关联的未经认证的主机（试图猜测共享密钥？）
· 在未启用漫游的网络上的频繁的帧重组，以及频繁的数据包转发（“隐藏节点”、坏链接、或可能的DOS攻击？）
· 封闭网络中的多个SSID错误（SSID蛮力夺取？）
· 可疑的SSID如“AirJack”（或纯旧式“31337”）
· 主动帧与复制的MAC地址
· 随机变化的MAC地址（使用Wellenreiter或FakeAP攻击者）
· 五信道范围内其他802.11信道的帧传送，或同一信道传输的不同SSID的帧（错误配置和可能不请自来的主机、干扰、DoS？）
· 主机不使用实现的加密解决方案（这里应不存在）
· 多重EAP认证请求和响应（蛮力抢夺EAP-LEAP？）
· 畸形和超大的EAP帧以及各种EAP帧洪泛（802.1x DoS攻击？）
· 不匹配所建立的周期序列的802.11帧序列号（中间人攻击、局域网MAC欺诈？）
· ARP欺诈以及其他源于无线局域网的攻击

组织面临着控制通过无线接入点连接到他们的企业网络中的人和物的挑战。许多企业无线供应商已经增强了自身的接入点和无线控制器产品自然包括防火墙、RADIUS、网络访问控制、以及无线IPS。这种继承提供了对连接到无线基础设施的无线用户更好的控制以及控制这些用户在企业网络上可以去的地方。这是一个急需的深度防护方法，因为有线侧防火墙和IPS不能提供必要的对抗无线攻击的保护。大多数无线攻击发生在第二层以及无线介质之间。传统的有线防火墙不能检测到这些攻击，并且有线IP没有检查这些类型的数据包的能力。这导致了专业无线IPS产品的出现。

无线IPS和IDS

无线IPS使用无线传感器识别无线攻击。这些无线传感器通常使用与在接入点发现的相同Wi-Fi波段，这就是很多公司允许接入点的双重用途的原因，既可用于访问又可用于检测攻击。这些根据供应商的不同而不同。有许多混合方法。最常见的方法是，在没有人访问时暂停无线电台，并执行恶意接入点和攻击的无线空域快照。但是这种部分时间的无线入侵检测方法意味着你只能在无线电台处于检测模式时检测到攻击。对于一天中剩下的时间，无线攻击无法被检测到。这个问题促使一些厂商在访问接入点时使用次要的Wi-Fi电台以使一个电台被用于专职访问而另一个用于全职无线IPS。

Wi-Fi协议允许为信道分配不同的频率，使得一个信道可以分配给每个频率。在严重拥挤的无线环境中，使用不同的信道（或频率）允许管理员减少干扰，这也被成为共信道干扰。因此，对无线攻击的适当检测需要定期检查每个通道的攻击。基本上有两组频率：在2.4-GHz频谱运行的802.11b和802.11g；在5GHz频谱运行的802.11a；802.11n工作在两个频谱，2.4 GHz和5 GHz；802.11ac仅工作在5-GHz谱。

由于无线传感器从一个信道跳跃到另一个信道收集无线数据包以供分析，它将不会收集有些数据包，因此，那些包将被错过因为传感器在同一时间只能监控一个通道。因此，一些厂商现在允许传感器选择“锁定频道”以只允许一个信道（或频率）被监视。对于只有一个信道被使用的高度敏感环境，这个功能可以帮助管理员减少数据包丢失。现实情况是，由于无线网络是一个物理介质，总会发生数据包的丢失。这是由于许多因素，包括移动无线设备、设备的距离的传感器、传感器的天线强度等等。

无线入侵检测系统只涉及到接收数据包。因此，它的范围在物理上比一个发送和接收的接入点更广泛。在一个典型的接入点和传感器的部署中，经验法则是每三个接入点一个传感器。无线网络勘测将有助于确定最佳的传感器覆盖和安置。

大多数人部署无线入侵检测系统来检测恶意接入点，三角测量也是一个好的想法。虽然一个流氓AP可以被一个单一的传感器检测，但其物理位置无法被检测到。需要用到三角测量来确定流氓AP的近似物理位置。三角测量至少涉及到三个传感器，它们中的所有都是被与三个传感器的信息相关的同一个管理系统管理，并且基于复杂的算法确定流氓AP的物理位置。通常AP显示在IDS管理软件的楼层平面图中。

请继续阅读《企业无线网络的安全强化措施（下）》