802.11系列和無線網絡無縫漫游
隨著商業的全速發展,與其相關的無線局域網(WLANs)也朝著更大,更快的方向發展,因此,需要考慮許多因素,包括安全性問題。802.11n能夠擴大網絡覆蓋范圍和性能,但是同樣需要考慮與以往同等或更好的安全性。
以往無線IEEE802.11a/b/g標準的簡史
和原來的802.11a/b/g標準一樣,802.11n高吞吐量標準擁有802.11i標準的穩固安全性(魯棒安全,RS)。事實上,所有的DraftN產品都要求支持Wi-Fi網絡保護連接版本2(WPA2),它是Wi-Fi聯盟為802.11i推出的測試程序。
好消息是:所有從零開始的802.11n無線局域網都可以忽略WEP破解者和WPA(TKIPMIC)攻擊,因為每一個802.11n設備都能夠對數據進行ASE加密。背景:無線局域網必須能夠同時支持以往的802.11a/b/g客戶端和全新的802.11n客戶端,它可能需要允許暫時密鑰集成協議(TKIP)。這樣做可以使先前的非高級加密標準(non-AES)用戶進行安全連接。遺憾的是,當使用TKIP時,802.11n禁止高吞吐量的數據流。
因此,最好是把原有的802.11a/b/g客戶端與新的802.11n客戶端劃分為獨立的服務設定識別器(SSID):高吞吐量的WLAN需要使用AES(WPA2)而傳統的WLAN可以使用TKIP或者AES(WPA+WPA2)。這個可以通過在虛擬訪問接入點(AP)定義兩個SSIDs完成,或者在雙基站AP上開放不同的射頻同樣可以實現。但是,這只是一個臨時措施。只要你能夠停止使用、或者淘汰并替換這些傳統遺留設備,你便可以去掉TKIP來提高速度和安全性。
使用WPA2來改善802.11n安全性的優勢
802.11n繼承了WPA2的優點和缺點。802.11a/b/g和802.11n設備可以使用AES防止無線數據幀竊聽、偽造和重發送。802.11a/b/g和802.11n接入點(AP)能夠使用802.1X來連接經過授權的用戶,相反,拒絕陌生人接入。但是,802.11n仍不能阻止入侵者發送偽造的管理幀數據——這是一種通過斷開合法用戶或偽裝成“惡魔雙子星(eviltwin)”接入點的攻擊方式。
因此,新的802.11n網絡必須對無線傳播的攻擊保持警惕。非常小的WLANs可以依舊使用周期性掃描來探測欺騙訪問接入點,而商業WLANs應該可以使用完整的無線入侵預防系統(WIPs)以防止欺詐、意外聯合、未被授權的點對點模式,還有其它的Wi-Fi攻擊。
盡管如此,現在采用一種或者所有這些安全機制的WLANs不能只依賴于此。802.11n設備可以達到與他相對的802.11a/b/g設備的兩倍多。欺詐、鄰居,或者原來那些遠距離的城域APs現在都有可能變成一種威脅。入侵者不僅能夠很輕松連接到你的無線局域網,而且合法用戶將更有可能意外連接到WLANs的局外。如果在你原先的11ag接入點和更快的802.11n欺騙訪問點之間做一個選擇,連接到任何可用網絡的混雜客戶會每次都去找欺騙訪問點。
簡而言之,802.11n標準范圍的擴大增加了傳統無線網絡安全事件發生的頻率,并且暴露了依賴于不佳性能的薄弱配置。更糟糕的是,現有的基于WIPS傳感器的11a/b/g可能會完全錯過許多的安全事件。每一次802.11n的出現都應該包括WIPS升級以監測新的無線局域網更大的腳本軌跡,分析在20MHz和40MHz兩個頻段中11a/b/g和n的流量。
【編輯推薦】
