无线802.11n标准的网络安全.docVIP

无线802.11n标准的网络安全 　　摘要：从802.11b过渡到802.11g，只不过是一次升级行为，而从802.11g发展到802.11n，则是一个换代问题，一个从原始进化到高级的过程。802.11n作为Wi-Fi的下一代技术标准，自身具备多种优点，这必然使802.11n标准将会取代现有的标准，但是安全性问题仍然需要考虑。 　　 　　WLAN是利用无线通信技术在一定的局部范围内建立的网络，是计算机网络与无线通信技术相结合的产物，它以无线多址信道作为传输媒介，提供传统有线局域网LAN（LocalAreaNetwork）的功能，能够使用户真正实现随时、随地、随意的宽带网络接入。 　　WLAN开始是作为有线局域网络地延伸而存在的，各团体、企事业单位广泛地采用了WLAN技术来构建其办公网络。但随着应用的进一步发展，WLAN正逐渐从传统意义上的局域网技术发展成为“公共无线局域网”，成为国际互联网INTERNET宽带接入手段。WLAN具有易安装、易扩展、易管理、易维护、高移动性、保密性强、抗干扰等特点。 　　随着YouTube、无线家庭媒体网关、企业Voice over WLAN等应用的不断涌现，对WLAN技术提出了越来越高的带宽要求，802.11a/b/g这些传统技术已经无法支撑新的业务需求，IEEE 802.11工作组意识到支持高吞吐将是WLAN技术发展历程的关键点。基于IEEE HTSG(High Throughput Study Group)前期的技术工作，于2003年成立了Task Group n(TGn)。N表示Next Generation，核心内容就是通过物理层和MAC层的优化来充分提高WLAN技术的吞吐。由于802.11n涉及了大量的复杂技术，标准制定过程中又涉及了大量的设备厂家，所以整个标准制定过程历时漫长，相关设备厂家早已无法耐心等待这么漫长的标准化周期，纷纷提前发布了各自的11n产品。为了确保这些产品的互通性，Wi-Fi联盟基于IEEE 2007年发布的802.11n草案的2.0版本制定了11n产品认证规范，以帮助11n技术能够快速产业化。 　　802.11n首要的任务是提高吞吐，通过结合物理层的多项技术，包括提供多条空间流(SDM)的MIMO技术来实现多条数据流并发、通过绑定两个20MHz带宽(即40MHz)来提高物理频宽、采用了MIMO-OFDM并提供了更多的子载频等，从而将物理层吞吐提高到300Mbps。如果仅仅提高物理层的速率，而没有对空口访问等MAC协议层的优化，802.11n的物理层优化将无从发挥，所以802.11n对MAC采用了Block确认、帧聚合等技术，大大提高了MAC层的效率。 　　802.11n可以拓展网络的覆盖范围和性能，但仍然需要考虑更好的安全性问题。 　　和原来的802.11a/b/g标准一样，802.11n高流通量标准拥有802.11i标准的鲁棒安全(robust security)。事实上，所有的Draft N产品都支持WPA2(Wi-Fi保护连接版本2)，这是Wi-Fi联盟为802.11i推出的测试程序。 所有的802.11n WLAN都能够防范WEP破坏和WPA (TKIP MIC)攻击，因为每一个802.11n装置都通过AES加密数据。 　　最好将原有的802.11a/b/g客户端和新的802.11n客户端分到不同的SSID：高流量WLAN需要使用AES (WPA2)，而延迟WLAN则允许使用TKIP或者AES (WPA+WPA2)。这些可以通过在一个虚拟AP上定义SSID或在双基站AP上使用不同的射频来实现。但这仅仅是个临时措施。一旦你将这些延迟装置淘汰或更换，去掉TKIP来提高速度和安全。 　　借用功能：WPA2的优势 　　802.11n继承了WPA2的优点和缺点。802.11a/b/g和802.11n设备使用AES来防止无线数据帧的偷听、伪造和重发送。802.11a/b/g和802.11n AP能够使用802.1X在拒绝陌生接入的同时连接认证用户。然而802.11n仍不能阻止入侵者发送伪造的管理帧――这是一种断开合法用户或伪装成“evil twin”APS的攻击方式。 　　因此，新的802.11n网络必须对无线攻击保持警惕性。很小的WLANs仍然用周期性的扫描来探测欺诈APS，同时商业WLAN应该使用完整的无线入侵防御体系(WIPS)来阻止欺诈、意外连接、未授权的ad hocs和其他Wi-Fi攻击。 　　然而，使用一个或所有这些安全机制的现有的WLANs不能以此为荣。802.11n设备能达到11a /b/g副本的两倍远。欺诈、邻居或原来那些远距离的城域APs现在变成一种威胁。入侵者不仅可以更容易连接到你的WLAN，而且合法用户将更可能意外连到