甚至是季度性的流氓接入点抽查仍然给恶意黑客巨大的机会，为一些人留出不是几天就是几个月的时间插入流氓接入点、执行攻击、然后删除它而不被发现。

错误配置接入点

企业无线局域网的部署可能出现配置错误。人类的错误加上不同管理员安装接入点和开关可能导致多种配置错误。例如，一个未保存的配置变化可能容许一个设备在停电重启时恢复到出厂默认设置。并且许多其它的配置错误会导致过多的漏洞。因此，这些设备必须进行符合你的政策的配置监测。一些这样的监测可以在布线侧与WLAN管理产品一起实施。此外，如果你在无线IPS中预先定义政策以监测与政策不兼容的设备，成熟的无线IPS产品还可以监视错误配置的接入点。

现代的系统有不同的考虑——基于控制器的方法在很大程度上避免了这个为题，但一些组织，特别是一些较小的组织，仍将面临这样的问题。在控制器方面，人为的错误带来更大和更重大的风险——所有接入点都会有问题或有配置漏洞，而不只是一个。

无线钓鱼

因为组织机构在加强他们的无线网络方面变得更自律，趋势表明无线用户已经成为低悬的果实。当涉及到人类行为时，执行安全Wi-Fi使用是困难的。普通的无线用户根本不熟悉在当地的咖啡店或机场连接到开放的Wi-Fi网络的威胁。此外，用户可以在不知情的情况下连接到他们认为是合法接入点的无线网络，但实际上，是为特别是吸引不知情的受害者设立的蜜罐或开放网络。

例如，他们可能在家里有一个被称为“Linksys”的网络。因此，他们的笔记本电脑会自动连接到其它任何称为“Linksys”的网络。这种内置行为可能会导致偶然关联到一个恶意的无线网路，通常被称为无线网络钓鱼。

一旦攻击者获得对用户笔记本电脑的访问权限，则其不仅可以窃取敏感文件等的信息，还可以获得作为企业网络用户的无线网络凭据。这种攻击可能比直接攻击企业网络更容易执行。如果攻击者可以从一个无线用户获得证书，然后他或她可以使用这些凭据来访问企业无线网络，绕过任何用于阻止更复杂攻击的加密和安全机制。

客户端隔离

用户通常最容易成为攻击者的目标，特别是当它涉及到Wi-Fi时。当用户与接入点关联，他们可以看到其他试图连接到接入点的人。理想的情况是，大多数用户连接到接入点以获取互联网访问或访问公司网络，但他们在相同的无线网络中成为恶意用户的受害者。

除了窃听，恶意用户还可能直接定位到其他用户，只要他们被关联到相同的接入点。具体来说，一旦用户认证并关联到一个接入点，他或她便获取到一个IP地址，并因此访问到第三层。与有线网络很相似，恶意无线用户现在与其他接入到该接入点的用户在同一个网络中，将他们作为直接的攻击目标。

无线技术供应商也意识到了这一漏洞，并已经发布了产品特点为客户和公司网络提供客户端隔离。基本上，客户端隔离允许人们访问接入点提供的互联网和其他资源，减少了局域网的能力。当固定Wi-Fi网络时，隔离是必要的。通常该功能是默认被禁用的，所以确保它被所有的接入点启用。

(责任编辑：)