第四招：审核无线网络活动

　　不管你如何仔细部署你的网络、客户端和无线安全措施，一些意想不到的及未授权的无线访问活动仍然可能会发生。为了满足大多数企业面临的内、外审核的需要，你需要监视公司网络内所有Wi-Fi设备所执行的操作，并做出相应的报告。

　　关于无线通信，传统的审核资源(如防火墙日志和有线网络入侵检测系统)是不够的。这些系统只能监视有线网络内部的数据通信。对于超出策略范围的Wi-Fi连接，它们是“看”不到的。它们无法察觉针对WLAN自身的攻击，如802.11/802.1X 拒绝服务攻击(Denial of Service (DoS))以及口令破解。这些系统不能支持与已定义的Wi-Fi安全规则的一致性，也不能用于评估由无线网络的滥用或误用引起的公司网络资源暴露的程度。

　　每一家公司-包括那些没有授权的WLAN-都应能够发现并证实无线设备及其位置、活动、规则冲突和攻击。这可以通过部署一个无线入侵防御系统(Wireless Intrusion Prevention System (WIPS))以监视所有Wi-Fi活动来实现-这些活动对你的企业产生潜在的影响。WIPS使用分布式网络传感器扫描Wi-Fi使用的无线通道，分析数据通信并检测未授权的连接、错误配置和恶意活动。一个WIPS系统能够对潜在性的威胁发出警告并帮助用户形象地实时地展示Wi-Fi活动。WIPS系统所维护的数据库会答应用户轻易地生成调整性的和连续性的报告。

　　第五招：增强无线规则

　　当然，只进行被动监视是远远不够的。在用户对WIPS警告响应的时候，巨大的破坏可能已经完成，入侵者可能早已消失得无影无踪。因此，需要依靠公司及行业的规章制度和规范加强数据和网络安全性的主动防御。

　　部署一个无线入侵防御系统有其必要性，非凡是它可给与用户快速增强已定义的规则的能力，并可断开未授权的、欺诈性的无线访问点，终止客户端的错误行为，阻止规则无法控制的通信，还可用于对付DoS攻击。为了完成这些目标，必须谨慎选择并配置WIPS系统，例如：

　　●认真规划传感器的位置，避免“盲点”-然后需要验证所期望的覆盖范围

　　●需要采用一种可自动地、精确地对新发现的设备进行分类的设备，从而使得“包含”这些设备的行动总是适当的，并不会入侵相邻的WLAN系统。

　　●测试你的WIPS的有效性以快速准确地确认欺诈性访问点、非正常连接和客户端以及其它重要的Wi-Fi威胁。

　　●警惕那些生成错误警告和错误单元估计的系统，这些系统通过给你发送消息让你进行徒劳的搜索。

　　●为了遵循数据保密性的要求(这些要求需要严格的策略强化)，选择一种能对付多种安全威胁的无线入侵防御系统，此系统应该能够工作在实时的升级模式。

　　●最后，检查WIPS警告和报告以了解WIPS如何加强你的策略。WIPS给你一种能力使你可以控制无线空间，但是明智地使用这种能力却完全信赖于你。

　　虽然每一家公司都是不同的，但大多数公司最终会发现一个综合性的防御体系需要上述的所有措施，它们协同工作以减轻常见的Wi-Fi威胁。然而，任何一项安全措施只有在风险治理的背景下才能产生最大的效益。

　　假如你的公司将要使用Wi-Fi，请从评估企业面临的威胁及其潜在的影响开始，定义你的Wi-Fi需要：Wi-Fi用于支持企业活动的何人、何事、何地、何时。检查所有暴露的Wi-Fi设备以及它们怎样被偶然误用或遭受故意的攻击。

　　然后考虑每一种安全事件的可能性和相关的成本。你不可能减轻每一种可能的威胁。假如你没有良好的企业风险治理，也不可能真正的知道有多少时间和金钱花费在威胁的处理上。完成Wi-Fi漏洞评估和企业风险分析可以帮助你关注产生最大影响的措施所引起的安全预算。

　　一旦你已经定义了一种用于减轻企业最要害的Wi-Fi威胁的安全策略，那就使用本文所介绍的这五招去实施你的策略并治理企业风险。虽然Wi-Fi安全并非自动化的或简单的事情，但依靠那些可用的工具并通过策略定义和强化完全可以实现。总之，运用本文所述的最佳方法可帮助你实现公司网络的安全性和完整性。

• 上一篇:介绍一款局域网监控工具
• 下一篇:教你局域网内共享电视卡