企业无线局域网安全:802.11和无线网络的无缝漫游(一)

日期: 2009-08-19 作者:Lisa Phifer翻译:王波 来源:TechTarget中国 英文

随着商业的全速发展,与其相关的无线局域网(WLANs)也朝着更大,更快的方向发展,因此,需要考虑许多因素,包括安全性问题。802.11n能够扩大网络覆盖范围和性能,但是同样需要考虑与以往同等或更好的安全性。   以往无线IEEE802.11a/b/g标准的简史   和原来的802.11a/b/g 标准一样,802.11n高吞吐量标准拥有802.11i标准的稳固安全性(鲁棒安全,RS)。事实上,所有的 Draft N产品都要求支持Wi-Fi网络保护连接版本2(WPA2),它是Wi-Fi联盟为802.11i推出的测试程序。

  好消息是:所有从零开始的802.11n无线局域网都可以忽略WEP破解者……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

随着商业的全速发展,与其相关的无线局域网(WLANs)也朝着更大,更快的方向发展,因此,需要考虑许多因素,包括安全性问题。802.11n能够扩大网络覆盖范围和性能,但是同样需要考虑与以往同等或更好的安全性。

  以往无线IEEE802.11a/b/g标准的简史

  和原来的802.11a/b/g 标准一样,802.11n高吞吐量标准拥有802.11i标准的稳固安全性(鲁棒安全,RS)。事实上,所有的 Draft N产品都要求支持Wi-Fi网络保护连接版本2(WPA2),它是Wi-Fi联盟为802.11i推出的测试程序。

  好消息是:所有从零开始的802.11n无线局域网都可以忽略WEP破解者和WPA(TKIP MIC)攻击,因为每一个802.11n设备都能够对数据进行ASE加密。背景:无线局域网必须能够同时支持以往的802.11a/b/g客户端和全新的802.11n客户端,它可能需要允许暂时密钥集成协议(TKIP)。这样做可以使先前的非高级加密标准(non-AES)用户进行安全连接。遗憾的是,当使用TKIP时,802.11n禁止高吞吐量的数据流。

  因此,最好是把原有的802.11a/b/g客户端与新的802.11n客户端划分为独立的服务设定识别器(SSID):高吞吐量的WLAN需要使用AES(WPA2)而传统的WLAN可以使用TKIP或者AES(WPA+WPA2)。这个可以通过在虚拟访问接入点(AP)定义两个SSIDs完成,或者在双基站AP上开放不同的射频同样可以实现。但是,这只是一个临时措施。只要你能够停止使用、或者淘汰并替换这些传统遗留设备,你便可以去掉TKIP来提高速度和安全性。

  使用WPA2来改善802.11n安全性的优势

  802.11n继承了WPA2的优点和缺点。802.11a/b/g和802.11n设备可以使用AES防止无线数据帧窃听、伪造和重发送。802.11a/b/g和802.11n接入点(AP)能够使用802.1X来连接经过授权的用户,相反,拒绝陌生人接入。但是,802.11n仍不能阻止入侵者发送伪造的管理帧数据——这是一种通过断开合法用户或伪装成“恶魔双子星(evil twin)”接入点的攻击方式。

  因此,新的802.11n网络必须对无线传播的攻击保持警惕。非常小的WLANs可以依旧使用周期性扫描来探测欺骗访问接入点,而商业WLANs应该可以使用完整的无线入侵预防系统(WIPs)以防止欺诈、意外联合、未被授权的点对点模式,还有其它的Wi-Fi攻击。

  尽管如此,现在采用一种或者所有这些安全机制的WLANs不能只依赖于此。802.11n设备可以达到与他相对的802.11a/b/g设备的两倍多。欺诈、邻居,或者原来那些远距离的城域APs现在都有可能变成一种威胁。入侵者不仅能够很轻松连接到你的无线局域网,而且合法用户将更有可能意外连接到WLANs的局外。如果在你原先的11ag接入点和更快的802.11n欺骗访问点之间做一个选择,连接到任何可用网络的混杂客户会每次都去找欺骗访问点。

  简而言之,802.11n标准范围的扩大增加了传统无线网络安全事件发生的频率,并且暴露了依赖于不佳性能的薄弱配置。更糟糕的是,现有的基于WIPS传感器的11a/b/g可能会完全错过许多的安全事件。每一次802.11n的出现都应该包括WIPS升级以监测新的无线局域网更大的脚本轨迹,分析在20MHz和40MHz两个频段中11a/b/g和n的流量。

作者

Lisa Phifer
Lisa Phifer

Lisa Phifer owns Core Competence Inc., a consultancy specializing in safe business use of emerging Internet technologies.

相关推荐

  • 获得个人设备的无线访问控制权

    大多数企业都部署了无线网络,有什么无线访问控制办法,既允许一些主要员工访问,同时防止工人利用个人设备访问公司网络?

  • 主流WIFI加密方式大比拼

    本文介绍了主流的WIFI加密方式:WEP、WPA、WPA2以及WPA+WPA2。它们究竟孰优孰劣?对无线传输的速度是否有影响呢?

  • 考虑802.11网络未来

    Wi-Fi向前发展需要克服诸多困难,幸运的是我们有一个正在制定的新标准:802.11,它将帮助我们解决这些问题。

  • 拒做公共WiFi热点 给无线网络加密

    没有加密的无线网络就如同免费的公共WiFi热点,是“蹭网”族的最爱,而这些公共WiFi热点提供者往往是不知在哪设置无线加密,如何选择加密方式,本文将详细介绍。