IEEE 802.11ac标准通过批准到现在已经将近一年时间,虽然无线技术的速度已经大大提升,但是支持千兆无线网络的安全标准还没有什么变化。事实上,802.11g和802.11n都支持的WPA2加密协议仍然在使用。新标准的推出,加上移动设备数量及功能的增长,都会促使网络管理员重新审视自己网络的无线安全策略。
我们首先看一下IEEE 802.11ac的功能。由于相比802.11n标准有很大改进,支持这个标准的WLAN系统能够支持超过1Gbps的数据传输速度。在数据传输速度方面,802.11ac有如下特征:
• 将老标准的最大无线频宽从40MHz增加到80MHz或者160MHz。带宽翻倍使最大数据传输速度也翻了一番。
• 推出了加大数据包数据存储量的改进版调制技术。每一个数据包可存储的数据量加大也提升了数据传输速度。
• 支持多入多出(MIMO)技术,可以在同一个无线频道上同时发送和接收多个数据流。IEEE 802.11ac将802.11n的单设备4个并发流翻一倍。新标准最多支持8个发送流,单个设备最多4个流;支持两个分别有4个流的设备;或者1个发送到8个设备。单设备传输流数量增加提升了该设备的总传输速度。
• 完全支持波束成型技术,这个技术允许一个接入端(AP)通过多个全向天线将其传输能量全部聚焦在一个特定的方向上。聚焦信号可以增强信号强度,从而提升离AP距离较元的设备连接性能。IEEE 802.11n标准加入了波束成型支持,但是不同的设备供应商采用了不同的实现方式,因此实用性大打折扣。新标准定义了实现方法,从而方便不同供应商产品之间的操作。
重新审视安全性
对于一些企业而言,IEEE 802.11ac的出现并不要求他们对无线安全策略作重大修改。这些企业已经认识到他们的许多员工都在使用移动设备,也已经更新了他们的安全策略。其中还有许多企业已经通过一些更新解决了员工自带设备等问题,但是还没有自上而下地重新审视自己的策略。
也就是说,所有部署了IEEE 802.11ac的企业都应该明确自己当前的WAN是否运行在5GHz频带上,无论是他们是否已经更新了安全策略。802.11n标准可以运行在2.4GHz或5GHz频带上。IEEE 802.11ac则只能运行在5GHz频带上。如果新标准的应用时企业是第一次使用5GHz频带,那么他们有必要更新扫描设备及其他流程,检查运行在更高频带的恶意AP及其他入侵企图。
没有任何一组移动安全策略适用于每一个企业。有一些策略与一些特殊的法规息息相关,如支付卡行业规范或医疗保险可携性和责任法案;其他一些策略则是保护不同类型的敏感数据,如企业财务记录或产品规划与设计。一些企业有很少停留在企业办公室的移动办公员工;而另一些企业的员工则主要在办公室工作,但是也会在家里登录公司系统。每一个企业都需要一种专门针对自己业务设计的安全策略。
随网络变化而更新
当移动设计刚刚出现时,人们曾经只是将它看作是有线网络的补充。它们适合用来在办公室外阅读邮件或在会议上作笔记,但是大多数工作仍然是在员工工作台上通过有线网络完成的。
全无线网络彻底改变了安全假设条件。通过有线网络的数据访问通常用员工登录帐号及以太网中基于端口虚拟LAN(VLAN)身份来确认。基于端口的VLAN访问已经不适用于无线网络。相反,无线网络的访问必须基于最终用户的身份和角度来完成,但是也包括其他一些方面。
设备类型也是一个关键因素。许多员工都有多个移动设备,虽然他们可能只允许在个人手机上收邮件,但是只能使用企业分配和配置的笔记本电脑去访问关键信息。
此外,位置可以用来控制访问。安全软件可以使用各种手段来确定员工位置,如GPS数据或网络路由跟踪。员工在家里限制访问的数据在办公场所就可以解除约束。当员工走出办公区和走进公司餐厅时,他们就无法访问详细的财务信息。
在部署IEEE 802.11ac并认识到无线网络成为主要访问手段之后,BYOD策略也需要重新评估。每隔几个月时间就有新设备发布,而且它们的功能也越来越复杂。几年前制定的策略现在可能已经无法适应新环境。
IEEE 802.11ac大大提升了无线网络容量,但是它只是代码了无线技术发展的最新动态。毫无疑问,还会有更多具有更复杂功能的标准出现。但是,底线是不变的:网络安全经理必须定期检查无线安全策略,了解不断发展的技术,理解应该如何调整业务实践才能更有效地利用这些新功能。