捕获欺骗性威胁的秘诀

对现有的802.11设备进行调查——接入点、站点和点对点结点——用移动WLAN分析器浏览你的站点。每隔一定时间记录样本（例如，在建筑角落的每隔200英尺）。合并样本，记录每个设备的MAC地址、扩展服务集标识符（ESSID）、平均/峰值信噪比（SNR）、信道、安全状态和IP地址。站点可能会使用许多ESSID和信道，并依赖与之相关的接入点。为远程邻居建立一个入口，然后使用移动分析器，用你办公室内部和紧邻的足够强大的信号追踪设备。尽力用足够的精度确定可能的拥有者和地址，进而进行分类。

2.对所有发现的设备进行分类，并配置工具

过滤目录，将其分为几个类别，通过不同地处理一些访问控制列表中的设备和安全警报策略，这样你就可以集中精力处理真正的威胁。虽然，你可能会让WIDS忽视了远程邻居，但是需要提醒你，注意设备和近邻之间的连接。无论移除还是将其标记为你的官方无线局域网的一部分，消除你办公室内部未经授权的设备。然后创建一个授权的接入点和站点列表，进而执行这些设备的策略。比如，对可能指示偶然重置或者MAC欺骗的接入点设置进行监测。现在，准确的分类可以大大节省调查研究的时间。

3. 监控新设备的无线网络和有线网络

安装无线入侵检测系统，可以对你的无线局域网覆盖区进行略微监测，发现邻近或者外部的欺骗性威胁。WIDS不能监测到的小型或者远程办公室可以用移动分析仪进行随机抽查。如果你拥有无线IDS/IPS或者网络管理系统，也可以对它们进行配置，对欺骗性威胁进行监测——比如，防止未经授权的MAC使用你的以太网交换机，或者侦查接入点无线局域网中的意外广播。最后，配置WIDS和移动分析仪警报装置，这样你就不会被误报所淹没。举例来说，WIDS自动对有线交换器的连通性进行跟踪，这样您就可以集中精力处理网络连接的欺骗威胁。