802.11n 会给企业网带来什么影响？

已有相当多的WLAN厂商最近宣布，推出基于IEEE 802.11n标准草案的企业无线接入点。这类接入点可在每个频段上提供100M到200Mbps的吞吐量，是目前11g和11a网络的3到6倍。

不管网络经理选择通过Wi-Fi联盟互操作认证的准11n产品，还是等待2008年底或2009年初IEEE最终批准的标准，他们都会面临以下4个问题：给有线基础设施部分造成过重的负担；造成现有的旧无线交换机负担过重；被迫向功率更大的以太网供电（PoE）升级；重新部署和连接一些已有的无线接入点。

多数新接入点将配备1个甚至2个千兆以太网端口。马萨诸塞州大学网络分析师Michael Dickson说：“接入我们楼宇的线路基本上是百兆带宽。对于11n，我们将需要在布线室中安装配置万兆上行链路的千兆交换机。这是笔不小的费用，对于11n来说也是必不可少的费用。”

Farpoint Group负责人Craig Mathias说：“11n将刺激有线基础设施向千兆以太网的升级。”

鉴于11n的容量，升级电缆线路的一个相关问题是，是否升级以太网墙壁插座：事关无线基础设施是否能成为网络接入主要手段的决定。

如果已有的WLAN控制器也缺少网络容量并缺少处理增加的流量所需要的处理能力和内存，它们就必须被更换掉。尤其在厂商采用把来自每个接入点的所有数据包都传送给控制器的纯集中式架构时就更是这样。过去一年里，厂商一直以11n为出发点升级他们的控制器，有时还会把数据包交换功能卸载给接入点去完成，从而创建一种分布式的数据平面（Data Plane）。

Mathias说：“由于具有这类分布式数据平面，因此，控制器中不会出现瓶颈。如果使用Meru 或Extricom产品，便可进行数据集中并控制数据平面。但是如果把设备设计成能够处理传送给它的任意类型的传输流，也不成问题。”

对于11n网络来说，测试无线性能来检验像工作负载和传输流条件等数据可能变得更加重要。为此，企业或系统集成商将使用复杂的性能测试工具，如来自VeriWave和Azimuth Systems的产品，这类产品以前一直主要为无线芯片制造商和设备制造商所使用。Mathias预测：“这将成为未来的一件大事。”

PoE问题可能会让一些用户感到措手不及。Forrester Research分析师Chris Silva说：“PoE基础设施极限可能要经受达到最大性能的11n部署的考验。”

PoE使你可以在交换机与接入点之间布一条线而不是两条线，从而有可能节省可观的费用。但是，11n接入点消耗的电力超过了基于IEEE 802.3af标准的供电器所提供的15.4瓦最大功率。目前即将完成的802.3at新标准至少将功率增加了一倍。至少有一家厂商，Trapeze开发了可以使它刚刚宣布推出的11n接入点可利用已有PoE供电器的新代码，但是要牺牲性能。

Novarum公司经理Phil Belanger说：“11n带来的希望不只是速度更快。11n更远的传输距离将使部署使用5GHz频带的大型系统变得更为实际，5GHz频带提供比2.4GHz更多的信道，而且到目前为止，没有被太多使用。这反过来将使更高容量的WLAN成为可能。对于许多企业来说，在所有位置提供数百兆容量的无线网络将足以取代有线网络。”

802.11n市场一瞥

■ 总设备收入

自2006年二季度推出产品后，收入超过1.5亿美元

■ 三大供应商

Linksys，Netgear，D-Link

最严重的潜在无线/移动安全威胁

我们可以确定3个威胁，但我们目前只解决了其中的一个，即DoS（拒绝服务）。

另两个威胁象征着两种非常不同的人际动力学：一个源于攻击者越来越狡滑，另一个源于用户，即便是IT专业人员对无线威胁的本质也充满了无知。

2006年，研究人员确定了无线接口设备驱动器存在的可能被攻击者以不同方式利用的问题。驱动程序运行在操作系统的内核级上，在内核级上，恶意代码可以访问系统的所有部分。

据Network Chemistry公司高级分析师Andrew Lockhart说，这类驱动程序安全漏洞一般涉及处理无线管理帧中包含的特定信息的长度，从而造成恶意代码可以被执行的缓冲区溢出。

他说：“不管适配器是否与接入点建立联系，驱动程序都将处理此类数据元素。因此，接通电源的无线网卡加上存在漏洞的驱动程序会让用户面临攻击。”

显而易见的解决办法是更换存在漏洞的驱动程序。但是，这是个专门的升级过程。Andrew Lockhart说：“在Windows世界中，多数无线驱动程序属于第三方软件包的一部分，因此，它们不会随Windows更新而更新，这就给消除问题造成麻烦，而且这可能将是相当长的一段时间存在的问题。”

攻击者在攻击什么，以及如何攻击上正在变得更加狡滑，越来越多的利用规避战术绕过或迷惑无线入侵检测/防御应用(IDS/IPS)。长期的解决办法是可以更全面监测和分析无线传输流和行为的更聪明的IDS/IPS系统。但是，研究人员，如Dartmouth学院的Project MAP（测量、分析和保护）的研究人员仍处在这类研究工作的早期阶段。

第二个无线威胁涉及许多移动用户似乎没有更好地利用无线安全技术的事实。

Project MAP主要研究人员之一、Dartmouth学院计算机科学教授David Kotz说：“最大的威胁是使用开放Wi-Fi接入点，而且不使用加密或VPN的人。他们将自己的个人或专业数据托付给一些随意的热点运营商或某个地方的开放接入点。他们非常轻率。”

安全咨询师Winn Schwartau透露说，他12岁的儿子使用基于Windows的Palm Treo，无线窃听在机场或其他公共Wi-Fi网络上使用便携机或PDA的业务经理。他儿子定期收集登录企业网络的用户名/口令组合。他说：“我儿子掌握了登录40个财富100企业网络的口令。”

关键安全漏洞就是这些用户，即使他们利用加密的VPN隧道访问企业网络，但反复使用未加密的无线连接访问Internet邮件或其他网站，从而使小Schwartau能够采集访问用户Web邮件账户的信息。然后他使用这种信息向用户发送来自他自己账户的电子邮件。Schwartau说：“我可以利用恶意代码感染用户的计算机，直接进入你的VPN账户。”

这个问题的另一面是允许一直暴露在互联网中的个人移动设备接入企业网络。亚特兰大Hartsfield-Jackson国际机场信息安全官Lora Mellies说：“当允许用户连接他们自己的设备时，正规的安全标准和程序常常被忽视。例如，可能没有定期备份信息的方案，没有安装防火墙或杀毒保护，没有使用加密技术保护令牌/证书的机密性来提供强认证。”

Schwartau说：“没有人再能够定义企业网络的外围防线。规则是：‘除了企业网络外，你不要连接任何网络；一旦你进入企业网络，你可以做你想做的任何事，但我们将监视你。’”

这种威胁只会随着缺少培训的移动用户数量的增加，以及保存在移动设备上越来越多的敏感或专有企业数据而恶化。

[1] [2] [3] 下一页