公司可以不再需要使用耗费人力的工具来检查信号强度、服务器可访问性和Wi-Fi漏洞。测试在地理位置上分散的整个企业网络的成百上千的接入端（AP）和无数的客户端需要使用更高效的自动化工具和方法。

    在许多早期的Wi-Fi部署中，安全性意味着检查整个建筑物或园区，监听陌生信号，以便发现未授权的恶意AP。这不仅极为低效，而且经常会“阻碍”许多识别错误的AP，也会忽视其他的一些威胁，如配置错误和操作不当的客户端。

    使用具有无线入侵防御系统的AP进行全天监控

    随着Wi-Fi越来越流行，许多AP经过更新后能够监听频道内或频道外的流氓信号。另外专门的Wireless Intrusion Prevention Systems （WIPS），也可用于全天监控无线攻击或违规行为，以及响应临时阻挡和发现嫌疑的流氓信号。

    然而，这两个方法已经开始融合到一起。许多企业AP现在能够在需要时变成专职WIPS探测器，而且有几个AP供应商也提供了专用的WIPS设备。现在争论的重点越来越不在于扫描的频率，24/7是依赖无线的企业必须要求实现的。相反，合理的安全任务和符合规范要求则占据了核心地位。

    集中的WLAN评估工具保证了规范性

    为了符合像PCI DSS或Federal Information Security Management Act （FISMA）这样的规范，组织必须证明安全控制的有效性，并记录嫌疑违反规范的情况。现在，许多商业WIPS和一些WLAN管理器能够根据流行的行业规范产生封闭的规范报告，但是仍然需要持续地评估这些安全性控制和政策。

    许多公司都雇佣第三方审计人员到现场执行评估；例如，要在一个商店中验证PCI DSS规范。然而，在进行这个审计之前，我们最好先测试一些有问题的地方，然后在它们暴露之前修复 这些问题。理想情况下，这些自我评估应该定期进行，而且不会消耗太多的员工时间，不需要太多的现场调查费用。

    这正是集中评估工具发挥作用的地方。例如，AirTight Networks使用基于云的WIPS与上述探测器通信来实现每季度的PCI扫描和修复服务。这些探测器会监听邻近的流量，并探测Cardholder Data Environments （CDEs）的无线漏洞，从而产生PCI DSS 1.2规范所要求的月扫描报告（至少）。

    对于那些已经部署了WIPS的公司而言，像Motorola AirDefense提供的无线漏洞评估模块等插件能够将部署的探测器变成远程测试引擎，它们能够周期性地连接AP，探测暴露的端口和URL，并生成记录结果的报告。

    自动的远程安全性扫描，不管是由本身的WIPS执行，或者是云服务实现，都能够实现廉价的常规自我评估。然而，它们并不能替代不定期的人工现场渗透测试。

    非自动化WLAN测试——渗透测试

    查找可能淹没客户端、AP和WLAN管理器的盲点、错误和新攻击是WLAN测试的重要组成部分。然而，这种无线测试还没有实现完全的自动化。

    例如，MDK3是一个命令行工具，它可用于猜测隐藏的SSID和MAC ACL，寻找客户端的认证漏洞，并发送802.11 Beacon、Deauth和TKIP MIC DoS攻击。审计人员可以使用MDK3方便地在不同的位置发起这些渗透测试，如办公室内部和外部。然而，诸如MDK3等工具绝不应该在工作时间内对生产环境WLAN执行测试，因为生产使用需要人工指引和结果解释。

    集中的渗透测试工具经常可用于发现影响WLAN安全性的较上层的系统漏洞。例如，Metasploit脚本能够尝试许多不同的有线和无线LAN应用程序。如果要对一个大型网络执行更高效的Metasploit测试，我们可以考虑Rapid7的Metasploit Pro，它可以从一个中央控制台执行多层次的远程渗透测试。

第三十五届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。