一些舊標準:802.11a/b/g標準
和原來的802.11a/b/g標準一樣,802.11n高流通量標準擁有802.11i標準的魯棒安全(robustsecurity)。事實上,所有的DraftN產品都支持WPA2(Wi-Fi保護連接版本2),這是Wi-Fi聯盟為802.11i推出的測試程序。
好消息是:所有的802.11n WLAN都能夠防范WEP破壞和WPA(TKIPMIC)攻擊,因為每一個802.11n裝置都通過AES加密數據。
最好將原有的802.11a/b/g客戶端和新的802.11n客戶端分到不同的SSID:高流量WLAN需要使用AES(WPA2),而延遲WLAN則允許使用TKIP或者AES(WPA+WPA2)。這些可以通過在一個虛擬AP上定義SSID或在雙基站AP上使用不同的射頻來實現。但這僅僅是個臨時措施。一旦你將這些延遲裝置淘汰或更換,去掉TKIP來提高速度和安全。
借用功能:WPA2的優勢
802.11n繼承了WPA2的優點和缺點。802.11a/b/g和802.11n設備使用AES來防止無線數據幀的偷聽、偽造和重發送。802.11a/b/g和802.11nAP能夠使用802.1X在拒絕陌生接入的同時連接認證用戶。然而802.11n仍不能阻止入侵者發送偽造的管理幀——這是一種斷開合法用戶或偽裝成“eviltwin”APS的攻擊方式。
因此,新的802.11n網絡必須對無線攻擊保持警惕性。很小的WLANs仍然用周期性的掃描來探測欺詐APS,同時商業WLAN應該使用完整的無線入侵防御體系(WIPS)來阻止欺詐、意外連接、未授權的adhocs和其他Wi-Fi攻擊。
然而,使用一個或所有這些安全機制的現有的WLANs不能以此為榮。802.11n設備能達到11a/b/g副本的兩倍遠。欺詐、鄰居或原來那些遠距離的城域APs現在變成一種威脅。入侵者不僅可以更容易連接到你的WLAN,而且合法用戶將更可能意外連到WLAN的外部。假設在你的舊11agAP和一個更快的802.11n欺詐中選擇一個,連接到任意可用網絡的混雜的客戶端每次都會被認為是欺詐。中國網管聯盟www_bitscn_com
簡而言之,802.11n傳輸范圍的擴展使得常規的無線安全事件發生的頻率增加,而且暴露了依賴于弱性能的薄弱配置。更糟糕的是,基于WIPS傳感器的11a/b/g會完全錯過許多安全事件的發生。每一次802.11n的出現都應該包括一個WIPS升級來監控新WLAN的更大的腳本,分析在20MHz和40MHz頻段中的11a/b/g和n流量。
新特點:802.11n帶來了新的安全威脅和復雜性
每種新技術都會引入一些未被發現的威脅;象802.11n這樣重要的創新也不例外。
802.11n這種新設備可能會包含一些尚未發現的缺陷。例如,網件公司(Netgear)型號為WN802T的無線接入點(AP)的早期版本不能正確解析長度為零(null)的SSID(WVE-2008-0010)。還有,Atheros公司用在新的802.11n無線接入點設備(如Linksys公司的WRT350N)上的驅動程序不能正確地處理某些管理幀信息單元(WVE-2008-0008)。這類的漏洞并不罕見;WLAN的管理人員只需要保持對安全公告的關注,并及時更新固件和驅動。
802.11n還包含許多非常復雜的可選項,這增加了配置錯誤的可能性。例如,會存在多條高通量數據傳輸通道,每一條都必須保證它的容量和參數組合在兩端相匹配。大多數情況下,錯誤的配置會導致性能的下降——雖然看起來不像是安全問題,但它確實能夠影響可用性。在某些極端的情況下,錯誤配置的802.11nAP會導致對鄰近的多個WLAN的拒絕服務攻擊。要找到并解決這些問題,需要相關的培訓和現場分析。
最后,802.11n推出了一些新的MAC架構,其中的一個架構被發現是具有可開發性的。使802.11n用模塊確認確保幾個數據幀的收到,為流媒體應用提供了有效支持。Dos攻擊可以通過發送偽造的模塊確認到接收器(WVE-2008-0006)破壞802.11nWLAN。一個802.11nWIPS可以檢測到攻擊,但避免攻擊的唯一方法是停止使用AddBlock-ACK (ADDBA)功能。
危險性增加
幸運的是,當前的無線網絡安全最佳解決方案仍然適用于802.11n。然而,需要注意的是由于802.11n在更廣的范圍內支持了更多的用戶和應用,它仍然提高了商業風險。簡而言之,一些本來就有的攻擊對你的商業來說破壞性更大了。
對于802.11n來說,即使不比原來的11a/b/g網絡更安全,也會和原來的一樣安全。
編輯推薦
三大WLAN安全機制綜合分析
SSID、MAC、WEP和VPN保障WLAN安全
粵公網安備 44030902003195號