企业无线安全 802.11和无线网络无缝漫游

　　随着商业的全速发展，与其相关的无线局域网(WLANs)也朝着更大，更快的方向发展，因此，需要考虑许多因素，包括安全性问题。802.11n能够扩大网络覆盖范围和性能，但是同样需要考虑与以往同等或更好的安全性。

　　以往无线IEEE802.11a/b/g标准的简史

　　和原来的802.11a/b/g标准一样，802.11n高吞吐量标准拥有802.11i标准的稳固安全性(鲁棒安全，RS)。事实上，所有的DraftN产品都要求支持Wi-Fi网络保护连接版本2(WPA2)，它是Wi-Fi联盟为802.11i推出的测试程序。

　　好消息是：所有从零开始的802.11n无线局域网都可以忽略WEP破解者和WPA(TKIPMIC)攻击，因为每一个802.11n设备都能够对数据进行ASE加密。背景：无线局域网必须能够同时支持以往的802.11a/b/g客户端和全新的802.11n客户端，它可能需要允许暂时密钥集成协议(TKIP)。这样做可以使先前的非高级加密标准(non-AES)用户进行安全连接。遗憾的是，当使用TKIP时，802.11n禁止高吞吐量的数据流。

　　因此，最好是把原有的802.11a/b/g客户端与新的802.11n客户端划分为独立的服务设定识别器(SSID)：高吞吐量的WLAN需要使用AES(WPA2)而传统的WLAN可以使用TKIP或者AES(WPA+WPA2)。这个可以通过在虚拟访问接入点(AP)定义两个SSIDs完成，或者在双基站AP上开放不同的射频同样可以实现。但是，这只是一个临时措施。只要你能够停止使用、或者淘汰并替换这些传统遗留设备，你便可以去掉TKIP来提高速度和安全性。

　　使用WPA2来改善802.11n安全性的优势

　　802.11n继承了WPA2的优点和缺点。802.11a/b/g和802.11n设备可以使用AES防止无线数据帧窃听、伪造和重发送。802.11a/b/g和802.11n接入点(AP)能够使用802.1X来连接经过授权的用户，相反，拒绝陌生人接入。但是，802.11n仍不能阻止入侵者发送伪造的管理帧数据——这是一种通过断开合法用户或伪装成“恶魔双子星(eviltwin)”接入点的攻击方式。

　　因此，新的802.11n网络必须对无线传播的攻击保持警惕。非常小的WLANs可以依旧使用周期性扫描来探测欺骗访问接入点，而商业WLANs应该可以使用完整的无线入侵预防系统(WIPs)以防止欺诈、意外联合、未被授权的点对点模式，还有其它的Wi-Fi攻击。

　　尽管如此，现在采用一种或者所有这些安全机制的WLANs不能只依赖于此。802.11n设备可以达到与他相对的802.11a/b/g设备的两倍多。欺诈、邻居，或者原来那些远距离的城域APs现在都有可能变成一种威胁。入侵者不仅能够很轻松连接到你的无线局域网，而且合法用户将更有可能意外连接到WLANs的局外。如果在你原先的11ag接入点和更快的802.11n欺骗访问点之间做一个选择，连接到任何可用网络的混杂客户会每次都去找欺骗访问点。

　　简而言之，802.11n标准范围的扩大增加了传统无线网络安全事件发生的频率，并且暴露了依赖于不佳性能的薄弱配置。更糟糕的是，现有的基于WIPS传感器的11a/b/g可能会完全错过许多的安全事件。每一次802.11n的出现都应该包括WIPS升级以监测新的无线局域网更大的脚本轨迹，分析在20MHz和40MHz两个频段中11a/b/g和n的流量。