无线网络已成为人们工作和生活的一部分，如何保护无线网络也已经成为企业整体安全体系的一个重要部分。但是就像达尔文的进化论所揭示的那样，无线安全的各种神话也经历诞生、演变、灭亡，然后又会被一些新的神话所取代的过程。现在就让我们来揭穿无线网络安全四大神话，并探讨企业如何才能避免这些常见的陷阱或错误。

　　神话1：如果没有部署Wi-Fi，企业就是安全的

　　很多人仍然认为，如果他们制定了“无Wi-Fi”策略，那么他们就是安全的。但愿无线安全真的会是如此简单。现实世界不太可能是一个人人彼此信任的世界，也没有人会天真地认为绝不会有人违背“无Wi-Fi”策略。一个心存芥蒂的员工有可能会悄悄安放一个欺骗接入点(AP)，就连善意的员工也有可能会自行安装一个AP，从而无意间暴露企业网络。

　　实际情况：自以为“无Wi-Fi”策略便可保障企业网络的安全，这无疑于鸵鸟将头埋进沙子的愚蠢之举。

　　神话2：在网络中使用了WPA2，我就安全了

　　如果你的企业已经部署了带WPA2安全功能的Wi-Fi网络，那肯定是一个不错的开头。WPA2可为企业的WLAN Ap和客户端提供更强大的密码安全。但是在较大规模的网络部署中，只有在确保全部设备没有因疏忽而出现误配置，没有给攻击者留下可乘之机，那才是最重要的。随着Wi-Fi日益被用来承载关键任务应用，黑客和犯罪分子们也把重心转移到了攻破Wi-Fi的安全措施上面。研究人员最近披露，WPA-TKIP对于数据包注入攻击是缺乏免疫力的。同样，已经有报道说，思科的WLAN控制器漏洞可以被用来“劫持”思科的LAP。

　　实际情况：基于WPA2的WLAN部署不可能防范所有类型的无线安全威胁。

　　神话3：启用了802.1X端口控制，我就是安全的

　　IEEE的802.1X端口控制可提供一种认证机制，会对每一部希望通过端口进行通信的设备进行安全认证。只有通过认证之后，该设备才会被允许进行通信。如果认证失败，通过此端口的通信就会被禁止。然而，802.1X设计者的目的并不是为了保护网络免遭无线安全威胁。正如我们所预料的，802.1X在防范Wi-Fi客户端的威胁方面是完全无能为力的。即便802.1X端口控制可以防止欺骗AP的通信，但是它依然很容易被“隐藏的欺骗AP”所绕过。举个例子，假设某员工已获得了802.1X的认证证书，他便可利用一个静态IP，以“沉静”模式配置他需要连接的2层桥接AP(这样一来，该AP就绝不会在网路上被识别出)。然后他便可以给Wi-Fi客户端一个伪装的身份(即MAC地址)，从而蒙骗过802.1X端口控制。

　　实际情况：这里的基本问题是，802.1X提供的是一过性控制(也就是入口控制)，而企业真正需要的是连续的监控。

　　神话4：我的NAC解决方案会保护我免遭Wi-Fi威胁

　　NAC的目的就在于基于策略控制对网络的接入，它包括预准入端点安全策略检查(以确定谁可以接入网络)和后准入控制(确定接入者访问了什么内容)。因为NAC解决方案还包括某些主机检查(如在主机上运行的操作系统和服务等)，所以可防范欺骗AP作为路由器或NAT的功能。NAC在防范“沉默欺骗AP”威胁方面也是无能为力的。

　　实际情况：和802.1X相同，NAC也只是一种入门控制，所以关于802.1X的论断同样适用于NAC。