當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)安全>正文

802.11n標(biāo)準(zhǔn)對(duì)WLAN安全的影響

http://www.yibo1263.com　2009/6/12 8:46:12 　來源:網(wǎng)絡(luò)整理　編輯:葉子

　　商業(yè)的發(fā)展遠(yuǎn)遠(yuǎn)高于WLAN的發(fā)展速度，許多事情必須開始關(guān)注，包括安全問題。802.11n可以拓展網(wǎng)絡(luò)的覆蓋范圍和性能，但仍然需要考慮更好的安全性問題。

　　一些舊標(biāo)準(zhǔn)：802.11a/b/g標(biāo)準(zhǔn)

　　和原來的802.11a/b/g標(biāo)準(zhǔn)一樣，802.11n高流通量標(biāo)準(zhǔn)擁有802.11i標(biāo)準(zhǔn)的魯棒安全（robust security）。事實(shí)上，所有的Draft N產(chǎn)品都支持WPA2（Wi-Fi保護(hù)連接版本2），這是Wi-Fi聯(lián)盟為802.11i推出的測(cè)試程序。

　　好消息是：所有的802.11n WLAN都能夠防范WEP破壞和WPA (TKIP MIC)攻擊，因?yàn)槊恳粋€(gè)802.11n裝置都通過AES加密數(shù)據(jù)。

　　最好將原有的802.11a/b/g客戶端和新的802.11n客戶端分到不同的SSID：高流量WLAN需要使用AES (WPA2)，而延遲WLAN則允許使用TKIP或者AES (WPA+WPA2)。這些可以通過在一個(gè)虛擬AP上定義SSID或在雙基站AP上使用不同的射頻來實(shí)現(xiàn)。但這僅僅是個(gè)臨時(shí)措施。一旦你將這些延遲裝置淘汰或更換，去掉TKIP來提高速度和安全。

　　借用功能：WPA2的優(yōu)勢(shì)

　　802.11n繼承了WPA2的優(yōu)點(diǎn)和缺點(diǎn)。802.11a/b/g和802.11n設(shè)備使用AES來防止無線數(shù)據(jù)幀的偷聽、偽造和重發(fā)送。802.11a/b/g和802.11n AP能夠使用802.1X在拒絕陌生接入的同時(shí)連接認(rèn)證用戶。然而802.11n仍不能阻止入侵者發(fā)送偽造的管理幀——這是一種斷開合法用戶或偽裝成“evil twin”APS的攻擊方式。

　　因此，新的802.11n網(wǎng)絡(luò)必須對(duì)無線攻擊保持警惕性。很小的WLANs仍然用周期性的掃描來探測(cè)欺詐APS，同時(shí)商業(yè)WLAN應(yīng)該使用完整的無線入侵防御體系（WIPS）來阻止欺詐、意外連接、未授權(quán)的ad hocs和其他Wi-Fi攻擊。

　　然而，使用一個(gè)或所有這些安全機(jī)制的現(xiàn)有的WLANs不能以此為榮。802.11n設(shè)備能達(dá)到11a /b/g副本的兩倍遠(yuǎn)。欺詐、鄰居或原來那些遠(yuǎn)距離的城域APs現(xiàn)在變成一種威脅。入侵者不僅可以更容易連接到你的WLAN，而且合法用戶將更可能意外連到WLAN的外部。假設(shè)在你的舊11ag AP和一個(gè)更快的802.11n欺詐中選擇一個(gè)，連接到任意可用網(wǎng)絡(luò)的混雜的客戶端每次都會(huì)被認(rèn)為是欺詐。

　　簡而言之，802.11n傳輸范圍的擴(kuò)展使得常規(guī)的無線安全事件發(fā)生的頻率增加，而且暴露了依賴于弱性能的薄弱配置。更糟糕的是，基于WIPS傳感器的11a/b/g會(huì)完全錯(cuò)過許多安全事件的發(fā)生。每一次802.11n的出現(xiàn)都應(yīng)該包括一個(gè)WIPS升級(jí)來監(jiān)控新WLAN的更大的腳本，分析在20 MHz和40 MHz頻段中的11a/b/g和n流量。

　　新特點(diǎn)：802.11n帶來了新的安全威脅和復(fù)雜性

　　每種新技術(shù)都會(huì)引入一些未被發(fā)現(xiàn)的威脅；象802.11n這樣重要的創(chuàng)新也不例外。

　　802.11n這種新設(shè)備可能會(huì)包含一些尚未發(fā)現(xiàn)的缺陷。例如，網(wǎng)件公司（Netgear）型號(hào)為WN802T的無線接入點(diǎn)（AP）的早期版本不能正確解析長度為零（null）的SSID（WVE-2008-0010）。還有，Atheros公司用在新的802.11n無線接入點(diǎn)設(shè)備（如Linksys公司的WRT350N）上的驅(qū)動(dòng)程序不能正確地處理某些管理幀信息單元（WVE-2008-0008）。這類的漏洞并不罕見；WLAN的管理人員只需要保持對(duì)安全公告的關(guān)注，并及時(shí)更新固件和驅(qū)動(dòng)。

　　802.11n還包含許多非常復(fù)雜的可選項(xiàng)，這增加了配置錯(cuò)誤的可能性。例如，會(huì)存在多條高通量數(shù)據(jù)傳輸通道，每一條都必須保證它的容量和參數(shù)組合在兩端相匹配。大多數(shù)情況下，錯(cuò)誤的配置會(huì)導(dǎo)致性能的下降——雖然看起來不像是安全問題，但它確實(shí)能夠影響可用性。在某些極端的情況下，錯(cuò)誤配置的802.11n AP會(huì)導(dǎo)致對(duì)鄰近的多個(gè)WLAN的拒絕服務(wù)攻擊。要找到并解決這些問題，需要相關(guān)的培訓(xùn)和現(xiàn)場(chǎng)分析。

　　最后，802.11n推出了一些新的MAC架構(gòu)，其中的一個(gè)架構(gòu)被發(fā)現(xiàn)是具有可開發(fā)性的。使802.11n用模塊確認(rèn)確保幾個(gè)數(shù)據(jù)幀的收到，為流媒體應(yīng)用提供了有效支持。Dos攻擊可以通過發(fā)送偽造的模塊確認(rèn)到接收器（WVE-2008-0006）破壞802.11nWLAN。一個(gè)802.11n WIPS可以檢測(cè)到攻擊，但避免攻擊的唯一方法是停止使用Add Block-ACK (ADDBA)功能。

　　危險(xiǎn)性增加

　　幸運(yùn)的是，當(dāng)前的無線網(wǎng)絡(luò)安全最佳解決方案仍然適用于802.11n。然而，需要注意的是由于802.11n在更廣的范圍內(nèi)支持了更多的用戶和應(yīng)用，它仍然提高了商業(yè)風(fēng)險(xiǎn)。簡而言之，一些本來就有的攻擊對(duì)你的商業(yè)來說破壞性更大了。

本新聞共2頁,當(dāng)前在第1頁 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·802.11n無線網(wǎng)部署難點(diǎn)全方位解析

·NETGEAR新款11n無線路由圖賞

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费