保护无线 追踪封杀公司无赖上网者

风一样的男孩

　接入点可能会被某用户建立了一个，其目的是为了将一台笔记本电脑带到休息室后自己仍能访问互联网。内部的工程师也有可能安装一个无线路由器，自己搭建一个测试网络，但在测试结束后有可能忘了禁用这个无线网。这些建立未授权的接入点的人往往本身并没有什么恶意，但是这并不能说这些接入点没有危害。如果你认为攻击者并不会找无线连接或者不会利用这些连接，那么，不妨用谷歌搜索一下与TJX公司有关的危害，然后再检查一下自己的网络。

　　NetStumbler、 Kismet以及其它的一些软件工具对于确认区域内的接入点确实有用，但是，这些工具并不能提供太多的信息。你要问一问，你发现的这些接入点位于你的网络上吗，它位于公司的网络上吗，还是位于邻居的网络上?除非你的单位处于一个有很少单位的区域，那么，这些工具并不会告诉你所需要的方方面面。简言之，这些工具的作用是有限的。

　　另外一种选择是扫描你的网络，看看有没有不正常的MAC地址，虽然这种扫描有可能太费时，并且有可能会产生错误。这种方法常用于扫描注册到D-Link等设备的MAC地址，但是由于许多大企业收购了小厂商，此方法就未必有效。例如，由于思科收购了Linksys，故MAC地址显示为思科。如果你拥有单位里众所周知的MAC地址的清单，你可以扫描那些还没有得到许可的任何设备。但是，如果你并没有设备的详细清单，也就无法开始，这种方法就有可能不会太有效。即使你的网络清查很正常，MAC地址扫描也未必百分之百地有效。这是因为设备有可能在网络中移动，或者这些设备有可能不对Ping操作做出响应，或者这些设备有可能在扫描时关闭了电源。

　　有些无线接入点厂商将无赖接入点的检测功能内置到了其产品中。这种产品能够根据无线信号确认接入点，并借助网络跟踪AP。这种产品可以确认网络端口，并准许你控制它。不过，要注意，这些产品并不便宜。

　　不管你采用什么技术或技巧来追踪无赖接入点，其关键都在于经常搜寻。PCI DSS(付款卡行业数据安全标准)要求每个季度都要扫描，但是我们认为搜索得更频繁一些更好。你还要为在发现了未授权的接入点后该采取什么应对措施做好准备。

　　一定要慎重。如果用户需要搭建一个测试网络，IT可以花点儿时间提供一个开关，切不可“一棒子打死”。找到一个开关，将连接移过去。如果用户只是需要无线连接，不妨断开其设备，然后再向他解释使用该设备可能给公司带来的风险。更好的方案是，看看你是否可以在那个地方建立一个授权的无线接入，其它用户将会很喜欢的。如果你还没有编写关于未授权接入点的书面策略，那就赶紧动手吧，让整个单位的人都按照安全策略来上网，岂非乐事?