802.11n协议带来了新的安全威胁和复杂性

　　每一项新技术都会引入一些隐藏的威胁，象802.11n这样重要的创新肯定也不会例外。

　　802.11n这种新设备可能包含一些未知错误。例如，早期的Netgear WN802T AP版本不能正确的解析零长度（空）SSIDs(WVE-2008-0010)。Atheros用于新802.11n APs的驱动程序（如Linksys的WRT350N）不能正确处理某些管理帧信息单元(WVE-2008-0008)。这些漏洞并不罕见；WLAN的管理人员只需要保持关注安全警告和固件/驱动程序的更新、升级。

　　802.11n还包含相当复杂的可选项，这样也增加了配置错误的可能性。举个例子，假设有十几种可能的高吞吐数据传输速率，每一个都与必须两端匹配的性能和参数相关。在大多数情况下，错误的配置会导致性能未达最大优化——这可能不像一个安全问题，但是它却可以影响可用性。在某些极端情况下，错误配置的802.11n接入点（AP）可能导致去往相邻WLANs的服务拒绝。相关的培训和现场分析对于找到并解决这些问题是必须的。

　　最后，802.11n提出了一些新的MAC架构，其中之一已被发现具有可开发性。具体来说，802.11n为流媒体应用提供了更有效地支持，它通过使用模块确认消息来确保收到了几个数据帧。但是，拒绝服务攻击可以通过发送伪模块确认消息到接收者(WVE-2008-0006)来破坏802.11n WLANs。一个802.11n WIPS可能会探测到这种攻击，但是唯一可以避免它的方法是停止使用Add Block-ACK (ADDBA)功能。

　　如何使802.11n更加安全可靠

　　幸运的是，如今所有的无线网络安全最佳解决方法都仍旧适用于802.11n。但是，需要认识到，由于802.11n在更大的范围内支持了更多的用户和应用，它也可能提高商业风险。总之，一些本来就有的攻击可能现在对你的商业会产生更大的破坏性。

　　归根结底，802.11n网络即使没有比原来的11a/b/g网络更安全，它依然可以跟11a/b/g一样安全。所有需要做的就是知晓和跟进。在这篇文章里，我们探究了802.11n以哪种方式影响WLAN的安全性。现在就该提供这些跟进内容。

　　由于WLANs更新到了802.11n，日益增加的多样化设备会占据大多数。根据In-Sat，2008年Wi-Fi的销售主要是双模Wi-Fi手机（560万）、固定的消费电子设备，如打印机（480万），和便携式消费电子设备，如数码相机（710万）。传统的Wi-Fi客户端，如笔记本电脑，还达不到去年芯片出货量的一半。

　　大多数系统管理员已经了解如何保障无线笔记本电脑的安全，但是Wi-Fi电话，打印机，数码相机和专业设备，如条码扫描机，却构成了新的挑战。他们既不能用桌面管理系统来配置，也不能参与真人交互登录进程。那么，什么技术可以用来保护新一轮嵌入式802.11n设备？

　　MAC过滤器不足

　　让我们先从最常用的控制嵌入式设备接入的方法：媒体访问控制（MAC）过滤器开始。MAC过滤器、访问控制表（ACLs）都被广泛用于阻止来自未知客户端的无线连接。

　　许多销售点（PoS）和IP语音（VoIP）部署都使用旧的、有限的设备——条码扫描器、Wi-Fi手机——他们缺少Wi-Fi网络安全存取（WPA）。通过发送所有Wi-Fi帧的MAC地址来识别已知设备，用已知设备表配置APs的方法非常常见。APs使用这个表来拒绝无法识别的设备并将其余的映入指定的网段（例如虚拟局域网VLAN）。上流过滤器可能会被添加来控制服务访问——例如，只允许SIP和RTP协议抵达VoIP网关，VoIP网关检查SIP包内的统一资源识别。

　　这是在设备缺少嵌入式功能糟糕情况下的最好方法，这些嵌入式功能都是加入802.11i稳健安全网络所必须的元素。但是，MAC地址很容易被伪造。任何一个在范围内的人都可以捕获Wi-Fi帧，提取授权地址，然后使用它们以通过MAC过滤器。而且，如果将有效载荷数据解密，则可以提取目的地IP地址、端口和服务标示符如URIs，以至于上流过滤器无效。

　　一些部署也使用有线等效保密（WEP）使包分析变得更困难，但是鉴于现在的WEP破解工具，这也只是将难度略微提高。总而言之，MAC ACLs是最好的一个薄弱威慑，适合引起偏差的意外连接而不是有目的闯入。