企业无线网络安全整体分析解决建议(3)

　　封闭系统ESSID、MAC过滤和协议过滤
　　长剑的非标准的无线LAN保护工具包括封闭系统ESSID、MAC过滤和协议过滤。封闭系统ESSID是很多更高端无线接入点和网桥的技术性能，需要客户主机为了进行联系而得到正确的ESSID。这样就把ESSID转变为共享认证口令的一种形式。然而，封闭系统ESSID可以在管理帧中发现，而不是在新标和检测响应中。正如在共享密钥认证模型情况下，无线主机可以能被强迫取消联系，以便在管理帧的有关重新联系过程中捕捉到ESSID。使用AirJack套件中的ESSID_JACK攻击者可以很容易的绕过封闭系统的ESSID安全。通过分析监视网络上所有ESSID值进行检测，Kismet具备了无缝封闭系统ESSID检测的能力。

图1、MAC地址过滤配置

　　MAC过滤与封闭系统ESSID不同的是，前者是一种常见的技术，目前各种现代接入点都可以支持。用户端的MAC地址为过滤依据，便能从硬件上对用户端进行控制。MAC过滤可以有效阻止网络中的恶意攻击者。

　　协议过滤只有在一些具体的情况下和经过充分选择之后才会使用，例如，无线主机需要使用的只要是因特网和邮件通信量，其他所有协议可以进行过滤，并且HTTPS和S/MIME可以用来提供成分水平的数据保密。同样，也可以使用SSH端口转发。协议过滤合并了第 6层安全协议，能够针对局限于特殊任务（如条码扫描、公司网站浏览更新等），为使用笔记本用户构建无线LAN提供了很好的安全解决方案。

　　无线网络定位和安全网关
　　有关网络硬化的重点涉及到在整个网络涉及拓扑技术中的无线网络位置。因为根据无线网络的特征，它决不会直接连接到有线LAN上。相反，这种网络必须作为不安全公共网络连接来处理，或者作为最为松懈的安全方法处理，如DMZ等，直接在LAN交换机上（不是集线器）插入接入点会造成损害（即使已经实现的802.1x认证也可能出现问题）。具有全状态的或代理防火墙能力的安全无线网关必须从有线LAN中分离无线网络。如果无线网在整个区域中包括了多个接入点和漫游用户访问，“有线侧”的接入点必须安装了相同的VLAN，安全的与其他有线网络部分分离。更高端的无线网卡可以合并接入点、防火墙、认证、VPN集中器和用户漫游支持能力。

　　保护无线网络甚至其他接入点安全的网关安全绝对不能忽视。无线网卡、接入点和网桥出现的绝大多数安全问题出资不安全的设备管理实现，包括使用telnet、TFTP、默认SNMP社区以及默认口令和允许从网络的无线侧网关/接入点进行远程管理等。确保设备安全完全处于监管之下并且使用无线专用的IDS功能能够配合在数据链路程上更传统的入侵检测系统工作。

　　总之，无线安全是多层化耗费时间和资源的一个过程，尽管如此，这也是非常基本的内容，因为无线网络对攻击者来说具有很高的价值目标，可以找到匿名的免费因特网访问和后台信道登录到其他安全分离的网络。无线安全包含了专门针对无线技术的安全政策、射频安全、第二层专用无线协议安全问题和解决方案、更高层的VPN和设备管理安全等。所以在构建无线网络的时候一定要把握好安全的、正确的无线网络总体规划和设计。

（编辑：ASP站长网）