随着商业的全速发展,与其相关的无线局域网(WLANs)也朝着更大,更快的方向发展,因此,需要考虑许多因素,包括安全性问题。802.11n能够扩大网络覆盖范围和性能,但是同样需要考虑与以往同等或更好的安全性。
以往无线IEEE802.11a/b/g标准的简史
和原来的802.11a/b/g标准一样,802.11n高吞吐量标准拥有802.11i标准的稳固安全性(鲁棒安全,RS)。事实上,所有的DraftN产品都要求支持Wi-Fi网络保护连接版本2(WPA2),它是Wi-Fi联盟为802.11i推出的测试程序。
好消息是:所有从零开始的802.11n无线局域网都可以忽略WEP破解者和WPA(TKIPMIC)攻击,因为每一个802.11n设备都能够对数据进行ASE加密。背景:无线局域网必须能够同时支持以往的802.11a/b/g客户端和全新的802.11n客户端,它可能需要允许暂时密钥集成协议(TKIP)。这样做可以使先前的非高级加密标准(non-AES)用户进行安全连接。遗憾的是,当使用TKIP时,802.11n禁止高吞吐量的数据流。
因此,最好是把原有的802.11a/b/g客户端与新的802.11n客户端划分为独立的服务设定识别器(SSID):高吞吐量的WLAN需要使用AES(WPA2)而传统的WLAN可以使用TKIP或者AES(WPA+WPA2)。这个可以通过在虚拟访问接入点(AP)定义两个SSIDs完成,或者在双基站AP上开放不同的射频同样可以实现。但是,这只是一个临时措施。只要你能够停止使用、或者淘汰并替换这些传统遗留设备,你便可以去掉TKIP来提高速度和安全性。
使用WPA2来改善802.11n安全性的优势
802.11n继承了WPA2的优点和缺点。802.11a/b/g和802.11n设备可以使用AES防止无线数据帧窃听、伪造和重发送。802.11a/b/g和802.11n接入点(AP)能够使用802.1X来连接经过授权的用户,相反,拒绝陌生人接入。但是,802.11n仍不能阻止入侵者发送伪造的管理帧数据——这是一种通过断开合法用户或伪装成“恶魔双子星(eviltwin)”接入点的攻击方式。
因此,新的802.11n网络必须对无线传播的攻击保持警惕。非常小的WLANs可以依旧使用周期性扫描来探测欺骗访问接入点,而商业WLANs应该可以使用完整的无线入侵预防系统(WIPs)以防止欺诈、意外联合、未被授权的点对点模式,还有其它的Wi-Fi攻击。
尽管如此,现在采用一种或者所有这些安全机制的WLANs不能只依赖于此。802.11n设备可以达到与他相对的802.11a/b/g设备的两倍多。欺诈、邻居,或者原来那些远距离的城域APs现在都有可能变成一种威胁。入侵者不仅能够很轻松连接到你的无线局域网,而且合法用户将更有可能意外连接到WLANs的局外。如果在你原先的11ag接入点和更快的802.11n欺骗访问点之间做一个选择,连接到任何可用网络的混杂客户会每次都去找欺骗访问点。
简而言之,802.11n标准范围的扩大增加了传统无线网络安全事件发生的频率,并且暴露了依赖于不佳性能的薄弱配置。更糟糕的是,现有的基于WIPS传感器的11a/b/g可能会完全错过许多的安全事件。每一次802.11n的出现都应该包括WIPS升级以监测新的无线局域网更大的脚本轨迹,分析在20MHz和40MHz两个频段中11a/b/g和n的流量。
【编辑推荐】