实际情况:和802.1X雷同,NAC也只是一种入门把持,所以关于802.1X的论断同样实用于NAC。
神话5:802.11w可打消Wi-Fi DoS攻击。
究其性质而言,Wi-Fi极易遭遇DoS攻击(例如射频干扰、解除认证/解除连接洪水、虚拟干扰等)。利用未经授权的无线频谱加上“简略化”的MAC协议,就能在Wi-Fi上发起DoS攻击。IEEE最近通过了802.11w标准,该标准拟解决对某些802.11管理框架子集(如解除认证框架、解除连接诶框架)的密码保护问题。该标正确实可以缓和基于此类保护框架的攻击。
实际情况:基于各种框架的攻击其实是在802.11w保护界限之外的,而攻击所利用的射频频谱始终是可能的。
神话6:AP兼职安全功效足够了。
WLAN基础架构或允许以支撑这样一种模式,一个AP可通过编程成为一个无线入侵检测感应器。然而,如果你需要更高级别的保护,例如想要服从行业或政府的监管规矩,那你需要的就是无线入侵防护(而不只是入侵检测),因为当把一个AP从接入功效切换为供给保护的功效时,它充其量也只能供给部分保护。具备AP功效的设备不可能在安全上花费大批的时间周期,如果它这么做了,就有可能会影响到其作为数据/语音承载设备的性能。因此在应用上述模式时,此类设备在扫描病毒和减轻要挟方面都只会花费较少的时间。如此一来,便会产生要挟检测的延时,甚至可能严重影响到禁止/防备才能。
实际情况:“兼职”感应器在可靠地限制要挟方面是非常不可靠的(比如说此类感应器不能履行持续而频繁的遏制分组的传送)。
很显然,来自非管理无线安全设备的要挟需要予以重点关注。解决这一问题的第一步是要为你的企业制定无线安全策略——断定哪些通信是授权的,哪些未经授权。
其次是要评估对于企业的具体安全风险,并追加专门的工具,比如无线入侵检测/防御系统等。最后,但并非最不重要的是,无线安全还是人和用户教导的问题,这一问题在减轻安全风险方面是一个需要保持不懈加以解决的问题。
相关阅读