802.11n对WLAN安全的影响

商业的发展远远高于WLAN的发展速度，许多事情必须开始关注，包括安全问题。802.11n可以拓展网络的覆盖范围和性能，但仍然需要考虑更好的安全性问题。

　　一些旧标准：802.11a/b/g标准

　　和原来的802.11a/b/g标准一样，802.11n高流通量标准拥有802.11i标准的鲁棒安全（robustsecurity）。事实上，所有的DraftN产品都支持WPA2（Wi-Fi保护连接版本2），这是Wi-Fi联盟为802.11i推出的测试程序。

　　好消息是：所有的802.11n WLAN都能够防范WEP破坏和WPA(TKIPMIC)攻击，因为每一个802.11n装置都通过AES加密数据。

　　最好将原有的802.11a/b/g客户端和新的802.11n客户端分到不同的SSID：高流量WLAN需要使用AES(WPA2)，而延迟WLAN则允许使用TKIP或者AES(WPA+WPA2)。这些可以通过在一个虚拟AP上定义SSID或在双基站AP上使用不同的射频来实现。但这仅仅是个临时措施。一旦你将这些延迟装置淘汰或更换，去掉TKIP来提高速度和安全。

　　借用功能：WPA2的优势

　　802.11n继承了WPA2的优点和缺点。802.11a/b/g和802.11n设备使用AES来防止无线数据帧的偷听、伪造和重发送。802.11a/b/g和802.11nAP能够使用802.1X在拒绝陌生接入的同时连接认证用户。然而802.11n仍不能阻止入侵者发送伪造的管理帧——这是一种断开合法用户或伪装成“eviltwin”APS的攻击方式。

　　因此，新的802.11n网络必须对无线攻击保持警惕性。很小的WLANs仍然用周期性的扫描来探测欺诈APS，同时商业WLAN应该使用完整的无线入侵防御体系（WIPS）来阻止欺诈、意外连接、未授权的adhocs和其他Wi-Fi攻击。

　　然而，使用一个或所有这些安全机制的现有的WLANs不能以此为荣。802.11n设备能达到11a/b/g副本的两倍远。欺诈、邻居或原来那些远距离的城域APs现在变成一种威胁。入侵者不仅可以更容易连接到你的WLAN，而且合法用户将更可能意外连到WLAN的外部。假设在你的旧11agAP和一个更快的802.11n欺诈中选择一个，连接到任意可用网络的混杂的客户端每次都会被认为是欺诈。中国网管联盟www_bitscn_com

　　简而言之，802.11n传输范围的扩展使得常规的无线安全事件发生的频率增加，而且暴露了依赖于弱性能的薄弱配置。更糟糕的是，基于WIPS传感器的11a/b/g会完全错过许多安全事件的发生。每一次802.11n的出现都应该包括一个WIPS升级来监控新WLAN的更大的脚本，分析在20MHz和40MHz频段中的11a/b/g和n流量。

　　新特点：802.11n带来了新的安全威胁和复杂性

　　每种新技术都会引入一些未被发现的威胁；象802.11n这样重要的创新也不例外。

　　802.11n这种新设备可能会包含一些尚未发现的缺陷。例如，网件公司（Netgear）型号为WN802T的无线接入点（AP）的早期版本不能正确解析长度为零（null）的SSID（WVE-2008-0010）。还有，Atheros公司用在新的802.11n无线接入点设备（如Linksys公司的WRT350N）上的驱动程序不能正确地处理某些管理帧信息单元（WVE-2008-0008）。这类的漏洞并不罕见；WLAN的管理人员只需要保持对安全公告的关注，并及时更新固件和驱动。

　　802.11n还包含许多非常复杂的可选项，这增加了配置错误的可能性。例如，会存在多条高通量数据传输通道，每一条都必须保证它的容量和参数组合在两端相匹配。大多数情况下，错误的配置会导致性能的下降——虽然看起来不像是安全问题，但它确实能够影响可用性。在某些极端的情况下，错误配置的802.11nAP会导致对邻近的多个WLAN的拒绝服务攻击。要找到并解决这些问题，需要相关的培训和现场分析。

　　最后，802.11n推出了一些新的MAC架构，其中的一个架构被发现是具有可开发性的。使802.11n用模块确认确保几个数据帧的收到，为流媒体应用提供了有效支持。Dos攻击可以通过发送伪造的模块确认到接收器（WVE-2008-0006）破坏802.11nWLAN。一个802.11nWIPS可以检测到攻击，但避免攻击的唯一方法是停止使用AddBlock-ACK (ADDBA)功能。

　　危险性增加

　　幸运的是，当前的无线网络安全最佳解决方案仍然适用于802.11n。然而，需要注意的是由于802.11n在更广的范围内支持了更多的用户和应用，它仍然提高了商业风险。简而言之，一些本来就有的攻击对你的商业来说破坏性更大了。

　　对于802.11n来说，即使不比原来的11a/b/g网络更安全，也会和原来的一样安全。

　　编辑推荐

　　三大WLAN安全机制综合分析

　　SSID、MAC、WEP和VPN保障WLAN安全