解析802.11n安全的五个问题

来源:网络时间:2010-12-31 14:02:11
  802.11n可实现多要求的移动应用部署,同时它也是一个成熟的里程碑,很多客户乐于大规模地部署无线网络,甚至来替换以太网(Ethernet)。这种扩张大大增加了无线安全及无线安全服务对业务的重要性。VAR(增值经销商)和系统集成商可以通过提供更有效且更具规模的WLAN安全解决方案,包括基于云的服务来很好地利用这一市场需求。

  802.11n安全的可用性

  由于WLAN会争夺有限的未授权频谱,无线电射频(RF)干扰的减少对于确保可用性以及减少拒绝服务事件来说非常重要。现在,我们不讨论信号强弱问题,而是寻找使用率较高的频率,从而避免其被完全占用。免费的"stumblers"(计算机测试软件)可以让我们更加轻松地观测当前被占用的Wi-Fi频道情况,但很少有客户知道如何使用RF频谱分析仪。这就提供了许多的市场机遇,大大带动了例如Fluke AnalyzeAir、Metageek Wi-Spy、或Wi-Fi Sleuth等移动频谱分析仪的使用。

  RF干扰无时无刻不在变化,但是,大多数不希望系统出现停机状况的客户也许会倾向于购买RF频谱分析仪,然后找VAR(增值经销商)来培训。但是例如来自Aruba, Cisco, Meru及Motorola的有些新产品,已经建立了一种可选择的交付模式:销售带有频谱分析功能的无线AP。云服务,甚至可以通过这些AP设备向供应商运营服务器做出有关RF的报表,诸如  Meru的 E(z)RF Spectrum Manager 或Cisco的 MSE CleanAir Technology。

  无线安全服务:控制WLAN访问

  新802.11n设备集合了诸如802.11a/g设备——WPA2这种长距离Wi-Fi认证设备的安全功能。但是,当802.11n设备配置较陈旧,选项较弱(诸如WPA-TKIP 或 WEP)时,802.11n设备就无法达到较高的吞吐量(>54 Mbps)。此外,随着各企业组织逐渐大规模地在网络中实施无线覆盖访问,他们对未授权的无线网络使用情况越来越敏感。因此,通常认为升级802.11n是提供并加强WLAN安全的最好方式。

  客户期望WPA2-PSK和 WPA2-802.1X能够被纳入WLAN基础架构。但经销商可通过提供互为补充的认证和网络访问控制产品来实现客户的期望。例如,AP设备和控制器可执行802.1X认证,但是一个802.1X-capable RADIUS服务器需要完整的事件描述。VAR们长期出售RADIUS服务器,诸如Cisco的ACS或Juniper的SBR,但是远程办公室和SMB或许不需要现场RADIUS服务器或员工来做支持。这一空白市场也许会由基于云的802.1X认证服务来填补。

  网络访问控制存在着更有利的机遇。NAC产品与802.1X及RADIUS相吻合,增加的预连接扫描机制可确保Wi-Fi客户端的合规性,并能够拒绝或隔离不具合规性的客户端。但是对于不同的客户端来说将NAC整合到大型网络中也有不同的烦恼。WLAN升级是实现在一个简单孤立的地点部署NAC的机会,并能够帮助客户在体验NAC好处时感受更好的无线访问扩展体验。

  无线入侵检测和防御

  客户希望对流氓AP检测,如WPA2等可以嵌入到WLAN基础设施中。为了规避风险——尤其是在零售行业、医疗保险行业以及金融服务行业——客户可能会发现流氓扫描并不能够有效地检测及阻止广泛的威胁。这将为集成的或第三方无线入侵防御系统 (WIPS)的销售带来机会。

  集成的WIPS更容易销售;将普通的AP设备转换为专用的传感器可用来监测无线通信中可能存在的威胁,包括未授权AP及攻击者进行DoS、探针或渗透WLAN。第三方WIPS(如 AirMagnet, AirTight)使用特制的传感器来检测并响应分散的的恶意客户端攻击。当今,大多数产品都有所突破,举例来说,Motorola AirDefense就可以部署在专用的Motorola AP当中。VAR可能希望通过部署若干个WIPS来满足不同WLAN供应商及多样化的客户需求。

  从传统上来说,VAR已经销售过第三方WIPS服务器应用程序和传感器,或集成的WIPS软件,安装在WLAN控制器或管理应用程序中。基于云的WIPS最为吸引人的是购买之前的试用成本较低,或者说它是一种永久的解决方案:把WLAN划分为数百个小型WLAN来监测(如,零售行业)。

  802.11n安全威胁的调查与调整

  无论WLAN控制器是否报告无线安全事件,一个集成的WIPS或第三方WIPS,都会在无线侧检测时被发现,WLAN运营商需要取证工具(forensic tools)和专门的技术来评估事件的影响水平。WIPS能够提供实时的Wi-Fi设备踪迹,历史定位以及详细的事件日志说明。专用的WIPS传感器通常可以被装在数据包捕获模式中来记录进行中的攻击。

  在某些调查中,移动Wi-Fi 数据包捕获和分析工具都是不可或缺的。一些客户都比较乐于使用免费的,或开源工具,如WireShark 或Airodump-NG。而其他客户则倾向于购买商用Wi-Fi流量分析工具,这样在大型WLAN中可以节省不少时间,同时还能得到更专业的洞察力。VAR通常会销售一些分析工具,如AirMagnet Analyzer 、WildPackets OmniPeek,用于WLAN故障排除和诊断,这些工具同样可以被安全人员所用。商业机遇同样为销售新型易用的Wi-Fi分析仪敞开了大门,因为这样的销售方式更加简单,也更能够迎合第一线的员工使用。

  最后,VAR和系统集成商可能需要考虑提供更主动的无线安全服务和产品。例如,VAR可以按照Motorola AirDefense Wireless Vulnerability Assessment 模块的方式来销售Wi-Fi vulnerability assessment offerings (按照软件模块或云服务来销售)。系统集成商也可以在使用有效结论时,结合免费工具如 BackTrack4,寻找其自身的Wi-Fi深入测试服务方式。

  无线安全服务——永无止境

  虽然802.11n 引发了WLAN升级和扩容,并希望能够刺激无线安全市场,但其结果并不是短期内就能够看到的。安全性问题对客户来说并非一次性就能永久解决的。它是一个循序渐进的过程,它需要对新威胁和漏洞保持持久的警戒。这是VAR和系统集成商不断的收入来源。
文章内容来源于网络,不代表本站立场,若侵犯到您的权益,可联系我们删除。(本站为非盈利性质网站) 联系邮箱:9145908@qq.com