三板斧强化无线网络客户端的安全

谈到无线网络的安全问题，人们注意更多的是加密数据、鉴别用户身份、限制访问以及检测欺骗性访问点。然而，随着网络和链路防御的改进，黑客已经开始了更新的攻击方式，特别是针对无线客户端，如PDA设备、膝上型电脑、手持设备等，因为这些设备很少或根本没有采取安全防护措施。在本文中，我们将讨论常驻主机的WIPS（无线入侵防御系统）代理如何帮助您保护无线客户端设备，以确保无线网络的安全。

打破最脆弱的环节

很多网络用户也许会偶然地或故意地参与一些高风险的影响无线网络安全的活动。无线网络通常由不同的、不相关的部分或个体节点组成，具有混杂性。在这种属性无线网络的环境中，一个设备自动化地探查相邻的设备并在无用户干预的情况下与之连接，这进一步增加了其风险性。其结果是，很多无线节点会将系统和数据暴露给那些未知的、不可信任的“外人”。

根据《Network Chemistry''s Wireless Threat Index》对每季度真实的Wi-Fi活动的分析，大多数的客户端都曾与未知的访问点联系过。特别是当过度友好的Windows XP自动连接到“任何可用的网络”时，这种情况可能会偶然发生。当然，如果用户与相邻的企业网络连接以绕过公司的阻止非企业应用（如P2P文件共享或GMail）的策略时，用户也可能故意这样做。

大约有63%的客户端涉及加入一些“特别的”连接——直接连接到Wi-Fi端点。例如，一些用户彼此关联共享Internet访问，在毫无察觉的情况下将其网络的文件夹和文件暴露出来。更糟的是，大多数用户并没有认识到这会造成一些“特别的”与任何网络入口的连接,这个入口以前用于连接到一个访问点。一位研究人员曾用普通的SSID（如“linksys”）来引诱飞机场的乘客连接到他的“特别”站，他能够通过普通的Windows服务端口来攻击大约20%的客户端─全都是因为这些用户忘记禁用他们的不安全的无线适配器。

许多客户端还由于违反公司的规则以及犯了其它的错误而将其自身置于风险之中。《Wireless Threat Index》指出，四分之一的用户在没有个人防火墙的情况下访问WLAN，三分之一的用户在没有反病毒软件的情况下访问WLAN。对于那些需要使用无线VPN的客户端，其中有三分之二的与公司的规则相违背。其它的大量用户与一些假冒的访问点相连接，这些访问点假冒一个真实的访问热点的名字。一旦一个客户端被引诱连接到一个假冒的访问点，传统的“中间人”攻击工具就会被运行以请求信用卡的号码、登录名和口令等，有时甚至窃听SSL或SSH数据。

（编辑：ASP站长网）