一些舊標(biāo)準(zhǔn):802.11a/b/g標(biāo)準(zhǔn)
和原來(lái)的802.11a/b/g標(biāo)準(zhǔn)一樣,802.11n高流通量標(biāo)準(zhǔn)擁有802.11i標(biāo)準(zhǔn)的魯棒安全(robustsecurity)。事實(shí)上,所有的DraftN產(chǎn)品都支持WPA2(Wi-Fi保護(hù)連接版本2),這是Wi-Fi聯(lián)盟為802.11i推出的測(cè)試程序。
好消息是:所有的802.11n WLAN都能夠防范WEP破壞和WPA(TKIPMIC)攻擊,因?yàn)槊恳粋€(gè)802.11n裝置都通過(guò)AES加密數(shù)據(jù)。
最好將原有的802.11a/b/g客戶端和新的802.11n客戶端分到不同的SSID:高流量WLAN需要使用AES(WPA2),而延遲WLAN則允許使用TKIP或者AES(WPA+WPA2)。這些可以通過(guò)在一個(gè)虛擬AP上定義SSID或在雙基站AP上使用不同的射頻來(lái)實(shí)現(xiàn)。但這僅僅是個(gè)臨時(shí)措施。一旦你將這些延遲裝置淘汰或更換,去掉TKIP來(lái)提高速度和安全。
借用功能:WPA2的優(yōu)勢(shì)
802.11n繼承了WPA2的優(yōu)點(diǎn)和缺點(diǎn)。802.11a/b/g和802.11n設(shè)備使用AES來(lái)防止無(wú)線數(shù)據(jù)幀的偷聽(tīng)、偽造和重發(fā)送。802.11a/b/g和802.11nAP能夠使用802.1X在拒絕陌生接入的同時(shí)連接認(rèn)證用戶。然而802.11n仍不能阻止入侵者發(fā)送偽造的管理幀——這是一種斷開(kāi)合法用戶或偽裝成“eviltwin”APS的攻擊方式。
因此,新的802.11n網(wǎng)絡(luò)必須對(duì)無(wú)線攻擊保持警惕性。很小的WLANs仍然用周期性的掃描來(lái)探測(cè)欺詐APS,同時(shí)商業(yè)WLAN應(yīng)該使用完整的無(wú)線入侵防御體系(WIPS)來(lái)阻止欺詐、意外連接、未授權(quán)的adhocs和其他Wi-Fi攻擊。
然而,使用一個(gè)或所有這些安全機(jī)制的現(xiàn)有的WLANs不能以此為榮。802.11n設(shè)備能達(dá)到11a/b/g副本的兩倍遠(yuǎn)。欺詐、鄰居或原來(lái)那些遠(yuǎn)距離的城域APs現(xiàn)在變成一種威脅。入侵者不僅可以更容易連接到你的WLAN,而且合法用戶將更可能意外連到WLAN的外部。假設(shè)在你的舊11agAP和一個(gè)更快的802.11n欺詐中選擇一個(gè),連接到任意可用網(wǎng)絡(luò)的混雜的客戶端每次都會(huì)被認(rèn)為是欺詐。中國(guó)網(wǎng)管聯(lián)盟www_bitscn_com
簡(jiǎn)而言之,802.11n傳輸范圍的擴(kuò)展使得常規(guī)的無(wú)線安全事件發(fā)生的頻率增加,而且暴露了依賴于弱性能的薄弱配置。更糟糕的是,基于WIPS傳感器的11a/b/g會(huì)完全錯(cuò)過(guò)許多安全事件的發(fā)生。每一次802.11n的出現(xiàn)都應(yīng)該包括一個(gè)WIPS升級(jí)來(lái)監(jiān)控新WLAN的更大的腳本,分析在20MHz和40MHz頻段中的11a/b/g和n流量。
新特點(diǎn):802.11n帶來(lái)了新的安全威脅和復(fù)雜性
每種新技術(shù)都會(huì)引入一些未被發(fā)現(xiàn)的威脅;象802.11n這樣重要的創(chuàng)新也不例外。
802.11n這種新設(shè)備可能會(huì)包含一些尚未發(fā)現(xiàn)的缺陷。例如,網(wǎng)件公司(Netgear)型號(hào)為WN802T的無(wú)線接入點(diǎn)(AP)的早期版本不能正確解析長(zhǎng)度為零(null)的SSID(WVE-2008-0010)。還有,Atheros公司用在新的802.11n無(wú)線接入點(diǎn)設(shè)備(如Linksys公司的WRT350N)上的驅(qū)動(dòng)程序不能正確地處理某些管理幀信息單元(WVE-2008-0008)。這類的漏洞并不罕見(jiàn);WLAN的管理人員只需要保持對(duì)安全公告的關(guān)注,并及時(shí)更新固件和驅(qū)動(dòng)。
802.11n還包含許多非常復(fù)雜的可選項(xiàng),這增加了配置錯(cuò)誤的可能性。例如,會(huì)存在多條高通量數(shù)據(jù)傳輸通道,每一條都必須保證它的容量和參數(shù)組合在兩端相匹配。大多數(shù)情況下,錯(cuò)誤的配置會(huì)導(dǎo)致性能的下降——雖然看起來(lái)不像是安全問(wèn)題,但它確實(shí)能夠影響可用性。在某些極端的情況下,錯(cuò)誤配置的802.11nAP會(huì)導(dǎo)致對(duì)鄰近的多個(gè)WLAN的拒絕服務(wù)攻擊。要找到并解決這些問(wèn)題,需要相關(guān)的培訓(xùn)和現(xiàn)場(chǎng)分析。
最后,802.11n推出了一些新的MAC架構(gòu),其中的一個(gè)架構(gòu)被發(fā)現(xiàn)是具有可開(kāi)發(fā)性的。使802.11n用模塊確認(rèn)確保幾個(gè)數(shù)據(jù)幀的收到,為流媒體應(yīng)用提供了有效支持。Dos攻擊可以通過(guò)發(fā)送偽造的模塊確認(rèn)到接收器(WVE-2008-0006)破壞802.11nWLAN。一個(gè)802.11nWIPS可以檢測(cè)到攻擊,但避免攻擊的唯一方法是停止使用AddBlock-ACK (ADDBA)功能。
危險(xiǎn)性增加
幸運(yùn)的是,當(dāng)前的無(wú)線網(wǎng)絡(luò)安全最佳解決方案仍然適用于802.11n。然而,需要注意的是由于802.11n在更廣的范圍內(nèi)支持了更多的用戶和應(yīng)用,它仍然提高了商業(yè)風(fēng)險(xiǎn)。簡(jiǎn)而言之,一些本來(lái)就有的攻擊對(duì)你的商業(yè)來(lái)說(shuō)破壞性更大了。
對(duì)于802.11n來(lái)說(shuō),即使不比原來(lái)的11a/b/g網(wǎng)絡(luò)更安全,也會(huì)和原來(lái)的一樣安全。
編輯推薦
三大WLAN安全機(jī)制綜合分析
SSID、MAC、WEP和VPN保障WLAN安全
粵公網(wǎng)安備 44030902003195號(hào)