三板斧强化无线网络客户端的安全(2)

重获无线网络安全的控制权

大多数管理员都知道，依靠用户保护自己是一个失败的处方。最起码小型企业应该定义按部就班的操作方法，这些方法应是为了手动设置来保障无线连接的安全。大型企业可以使用安装包、域的登录脚本或者活动目录组策略对象来推行安全的Wi-Fi配置。不管怎么说，在连接到可信任的SSID以及阻止连接到其它的AP或“特别的”节点时，应该设置Wi-Fi连接来要求正确对待的安全措施。例如，你可能会要求连接到公司SSID的连接通过服务器证书的检查使用企业级的WPA2，同时允许与一个活动的防火墙和VPN客户端一道，以开放的模式连接到雇员的家用WLAN。

这是一个良好的开端，但还远远不够。大多数用户低估了风险并禁用那些他们感到不方便的措施。即使用户作了真正的努力去保障安全，仍然会犯错误。没有中央的审核和控制能力，与内部规则或外部规则的一致性就不可能得到保障。在办公室内部，这可以通过部署一个无线入侵防御系统（WIPS）来实现。一个WIPS使用访问节点或遍布WLAN各处的检查器来监视数据通信。观察结果被报告给中心的WIPS服务器，这个服务器可以分析Wi-Fi通信，查找可能的攻击、问题和策略冲突。无论什么时候，只要一个潜在的威胁被检测到——例如，雇员连接到邻近的AP（访问点）——WIPS就可以采取措施自动地中断这个连接。

将这种控制置于不仅仅在办公室之内的范围需要一种不同的方案——一个运行在Wi-Fi客户端自身上的WIPS程序。一个主机上的WIPS，如Network Chemistry RFprotect Endpoint, AirTight SpectraGuard SAFE, AirMagnet StreetWISE, or AirDefense Personal可以监视家中的Wi-Fi客户端，也有可能是公共的热点区域、飞机场甚至是飞机上的客户端。

密切注视客户端

主机WIPS产品类型种类较多，但所有的产品都设计来监视主机自身的无线活动并将其与已定义的规则相比较。例如，AirMagnet StreetWISE规则定义有哪些无线连接类型被允许：仅Wi-Fi，Wi-Fi和以太网一起，特别的Wi-Fi，蓝牙和/或红外线等。对于Wi-Fi连接来说，此程序建立了最低的安全水平（WEP-64, WEP-128, WPA）和可信任的SSID，这些SSID通过Wi-Fi连接工具展现出来。  

如果一个连接试图违反这些规则，一个错误提示就会显示出来警告用户。这些基本的措施提高了用户的认识水平并会阻止用户进行配置或接受可能会引起风险的新连接。

除了与首选的知名热点和黑名单列示的SSID比较之外，AirDefense Personal还可以监视

（编辑：ASP站长网）