一说起无线网络的安全问题，人们首先想到的就是数据加密、用户身份鉴别、访问限制以及检测欺骗性访问点。随着网络的不断发展，技术也在不断的创新，黑客在攻击手法上也是不断的更新，目前我们所使用的无线客户端，例如膝上电脑、pda还有一些无线手持设备，因为缺乏必要的安全保护措施，很容易就被黑客侵入。如何保护好这些无线设备中的资料，以确保无线网络的安全就成了当务之急。

防范薄弱的无线网络客户端

　　很多无线网络的用户和电脑用户一样，也许都会无意间的进行一些具有安全风险影响的网络活动。大家都知道，无线网络通常由不同的、不相关的部分或者个体组成，比较复杂。在这样的无线网络环境中，设备自动探寻相邻的设备并在无线用户的干预之下一直相连，也进一步增加了这种危险性。最终的结果就是很多无线节点会将系统和数据完全暴露给那些未知的“外人”。

　　有专为wi-fi活动分析的调查显示，大部分的客户端用户都会有意无意的和这些未知的访问点进行过连接，尤其是我们熟悉的windows xp过度友好，会自动连接“任何可用的网络”。为什么说用户还会故意这样去做呢？是因为如果用户与相邻的企业网络连接以绕过本公司的组织非企业应用（如p2p文件共享或者gmail）的策略时，就可以称之为故意。

　　占半数以上的客户端都会直接连接到wi-fi端点，一些用户彼此共享internet访问，这样在毫无察觉的情况下就将其网络的文件夹和文件暴露出来。情况更严重的是，大多数用户并没有认识到这样的连接会有不安全因素的存在。一位研究人员曾经使用普通的ssid来引诱机场的乘客连接到他的“特别”站，这样他就可以通过普通的windows服务端口来攻击大约20%的客户端，而这些用户全部都是忘记禁用他们不安全的无线适配器。

　　很多客户端还由于违反公司的规定以及其他的错误而将其自身暴露在风险之中。四分之一的用户在没有个人防火墙的情况下访问wlan，三分之一的用户在没有反病毒软件的情况下访问，对于那些需要使用无线vpn的客户端，有三分之二是与公司的规则相违背的。很多假冒的访问点都会仿冒一个真实的访问热点的名字，诱骗大量的用户与之相连，而一旦用户与这个假冒的访问点连接，传统的“中间人”攻击工具就会被运行以请求信用卡的号码、登录名和口令等等，有时甚至还会窃听ssl和ssh数据。

　　让用户保护自己的网络安全，绝对是一个错误的决定，相信大部分管理员也都知道这个道理。中小型企业应该规范操作方法，为的就是用手动连接的设置来保护无线连接的安全。

　　而大型企业可以使用安装包、域的登录脚本或者活动目录组策略对象来实行安全的wi-fi配置。不管怎样，在连接到可信任的ssid以及阻止连接到其它的ap或“特别的”节点时，应该设置wi-fi连接来要求正确对待的安全措施。我们举例来说明，要求连接到公司ssid的连接需要通过服务器证书的检查使用企业级的wpa2，同时允许与一个活动的防火墙和vpn客户端一道，以开放的模式连接到雇员的家用wlan。

　　这是一个好的开始，但是还远远不够。大部分用户都低估了网络的风险并禁用了那些让他们觉得不方便的设置。没有中央的审核和控制能力，与内部规则或外部规则的一致性就不可能得到保障。

　　在公司内部，可以部署一个无线入侵防御系统（wips）来实现。一个wips使用访问节点或遍布wlan各处的检查器来监视数据通信，其观察结果被报告给中心的wips服务器，这个服务器可以分析wi-fi通信，查找可能的攻击、问题和策略冲突，使管理员能够快速准确的做出相对应的措施。不管是在什么时候，只要有一个潜在危险被检测到，wips就会采取措施自动中断这个连接，以保证无线网络的安全。

　　主机wips产品的类型比较多，但是所有的产品设计目的只有一个，监视主机自身的无线活动并且与已经定义的规则相比较。airmagnet streetwise规则就是定义有哪些无线连接类型被允许：仅wi-fi，wi-fi和以太网一起，特别的wi-fi，蓝牙和/或红外线等。对于wi-fi连接来说，此程序的建立最低的安全水平（wep-64, wep-128, wpa）和可信任的ssid，这些可信任的ssid都是通过wi-fi连接工具而体现出来的。

　　如果某一个连接试图去违反这些已经被定义的规则，马上就会有错误提示了警告用户。这些基本的设置提高了用户的认识水平，同时还会阻止用户进行配置或者接受可能引起风险的新连接。

　　除了与首选的知名热点和黑名单标示的ssid比较之外，airdefense personal还能够监视针对客户端的连接。例如它可以发现从一个ap向另一个ap的转移，信号强度的变化，ap欺骗等所有的可能的“中间人”攻击。一旦有某个定位为严重程度的事件发生时，程序会马上显示出一个警告提示并且记录下警告内容，同时会马上禁用这个带有风险的连接。

　　有好几种主机wips程序，可以将详细描述客户端活动和安全警告的日志提供给一个中心服务器。network chemistry rfprotect endpoint为管理员提供了一个控制面板，用户通过这个面板可以详细了解到wips代理的状态、已使用的无线连接的种类、一些违反规则的企图。

　　这样的面板可以帮助管理员查看离站的雇员到底是怎样使用wi-fi的，同时还能创建一个用于决定是否应对wi-fi的设置或wips规则进行修正的基础，总的来说可以用于无线网络的脆弱性评估和趋势分析。

　　目前，大部分用户面对的最大挑战就是决定什么时候和如何改变wi-fi的设置。例如我们最常接触到的笔记本电脑，在公司是一种设置，当我们回到家之后，当然要连入家庭网络；还有就是从机场到咖啡馆，一路上可能会连接到很多个不同的无线网络。在理想情况下，这些规则能够被定义并且被锁定，不过在大部多数情况下，要预先确认所有被许可的ssid，几乎是不太现实的事情。

　　airtight spectraguard safe提供了另一个选项：能够帮助用户做出更明智的选择和决定。safe使用了三个配置文件来确认最低的安全设置、可信任的ssid以及适合使用的ap的mac地址，无论是在公司、家里还是其它别的地方都是如此。用户不会改变管理员定义的“工作”配置文件，但是还是允许用户创建适合自己的“家用”配置文件。

　　管理员可以根据wi-fi客户端的当前环境、雇员总数需要和风险容忍程度，来决定公司是否组织对未知ap的连接或者允许用户选择最佳的方法，同时这样的方法也是对整个无线网络安全的保护。