在本文下面，我们列出了数据;链路层针对“企业无线覆盖局域网乱用现象”的对策。这些对策包括：WEP的安全替代--使用无线安全标准;无线局域网异常追踪。当然，无线网络的安全性可以使用更高层的保障如各种IPSec模式或基于SSL的安全协议等。

　　应该的使用无线安全标准

　　2004年，IEEE的研发组开发了一个统一的无线安全标准，其中一大半被无线覆盖设备和软件供应商实现还减轻了已知的802.11安全问题。一开始原名为802.11i标准，这个标准现在被广泛称之为wpa2，它代表了wifi保护访问版本2。然而wpa是旧的版本不安全的向后兼容现有无线基础设施的WEP标准的混合所以被wap2给取代了。WPA使用RC4加密，比WPA2中使用的AES加密更弱。WAP2是目前无线覆盖方案最好的解决方法，并期望在可预见的未来继续如此。大多数支持WPA2的无线接入点具有的特征被称为wifi覆盖保护设置(WPS)，其中有一个允许攻击者获得WPA2密码的安全缺陷，使他或她未经授权而连接到网络。此功能应尽可能关闭以避免攻击。

　　无线IPS和IDS

　　无线ips使用无线传感器识别无线攻击。这些无线无线传感器通常使用与在接入点发现的相同wifi波段，这就是为什么企业无线接入点允许双重用途的原因，不且可以用来访问还可以用于检测网络是否被攻击。这种方式根据厂家的不同而不同。因为有很多的配置方法，最常见的方法是，在没有人访问时暂停无线电台，并执行恶意接入点和攻击的无线空域快照。但是这种部分时间的无线入侵检测方法意味着你只能在无线电台处于检测模式时检测到攻击。对于一天中剩下的时间，无线攻击无法被检测到。这个问题促使一些厂商在访问接入点时使用次要的wifi电台以使一个电台被用于专职访问而另一个用于全职无线IPS。

　　Wifi协议允许为信道分配不同的频率，使得一个信道可以分配给每个频率。在严重拥挤的无线环境中，使用不同的信道(或频率)允许管理员减少干扰，这也被成为共信道干扰。因此，对无线攻击的适当检测需要定期检查每个通道的攻击。基本上有两组频率：在2.4-GHz频谱运行的802.11b和802.11g;在5GHz频谱运行的802.11a;802.11n工作在两个频谱，2.4 GHz和5 GHz;802.11ac仅工作在5-GHz谱。

　　由于无线传感器从一个信道跳跃到另一个信道收集无线数据包以供分析，它将不会收集有些数据包，因此，那些包将被错过因为传感器在同一时间只能监控一个通道。因此，一些厂商现在允许传感器选择“锁定频道”以只允许一个信道(或频率)被监视。对于只有一个信道被使用的高度敏感环境，这个功能可以帮助管理员减少数据包丢失。现实情况是，由于无线网络是一个物理介质，总会发生数据包的丢失。这是由于许多因素，包括移动无线设备、设备的距离的传感器、传感器的天线强度等等。

　　无线入侵检测系统只涉及到接收数据包。因此，它的范围在物理上比一个发送和接收的接入点更广泛。在一个典型的接入点和传感器的部署中，经验法则是每三个接入点一个传感器。无线网络勘测将有助于确定最佳的传感器覆盖和安置。

　　大多数人部署无线入侵检测系统来检测恶意接入点，三角测量也是一个好的想法。虽然一个流氓ap可以被一个单一的传感器检测，但其物理位置无法被检测到。需要用到三角测量来确定流氓ap的近似物理位置。三角测量至少涉及到三个传感器，它们中的所有都是被与三个传感器的信息相关的同一个管理系统管理，并且基于复杂的算法确定流氓ap的物理位置。通常ap显示在IDS管理软件的楼层平面图中。

　　企业无线网络定位和安全网关

　　无线网络加强的最后一点与无线网络在整个网络拓扑设计中的位置相关。由于无线网络的特点，无线网络不应该直接连接到有线局域网。相反，它们必须被视为不安全的公共网络连接，或在最宽松的安全方法中作为dmz。将一个无线接入点直接插入局域网交换机是自找麻烦(虽然802.1x认证可以缓解这个问题)。一个具有良好状态和代理的防火墙能力的安全无线网关必须将无线网络与有线局域网分开。

　　现今最常见的方法是拥有可以在局域网上任何地方连接的ap，但创建一个返回到控制器的加密隧道，并在接触局域网之前通过它传送所有流量。这个控制器将运行防火墙和入侵检测/防御系统(IDS/IPS)的能力在它接触到到内部网络之前检查该流量。如果无线网络在该区域包括多个接入点和漫游用户访问，则“有线侧”的接入点必须被放在同一vlan中，从剩下的有线网络中安全隔离。高端的专业无线网关集合了接入点、防火墙、vpn集中器、以及用户漫游支持能力。网关的安全对你的无线网络--甚至是接入点自己--的保护能力不应忽视。无线网关、接入点、以及网桥的大多数安全问题来源于不安全的设备管理实施，包括使用Telnet、TFTP、默认的SNMP团体字符串和默认的密码，以及允许从网络无线侧进行网关和接入点的远程管理。确保每个设备的安全被适当的审计，并且与更传统的在数据链路层以上工作的入侵检测系统相呼应使用无线专用入侵检测系统。

　　来源：互联网