802.11n可實(shí)現(xiàn)多要求的移動(dòng)應(yīng)用部署，同時(shí)它也是一個(gè)成熟的里程碑，很多客戶(hù)樂(lè)于大規(guī)模地部署無(wú)線網(wǎng)絡(luò)，甚至來(lái)替換以太網(wǎng)（Ethernet）。這種擴(kuò)張大大增加了無(wú)線安全及無(wú)線安全服務(wù)對(duì)業(yè)務(wù)的重要性。VAR（增值經(jīng)銷(xiāo)商）和系統(tǒng)集成商可以通過(guò)提供更有效且更具規(guī)模的WLAN安全解決方案，包括基于云的服務(wù)來(lái)很好地利用這一市場(chǎng)需求。

802.11n安全的可用性

由于WLAN會(huì)爭(zhēng)奪有限的未授權(quán)頻譜，無(wú)線電射頻（RF）干擾的減少對(duì)于確保可用性以及減少拒絕服務(wù)事件來(lái)說(shuō)非常重要。現(xiàn)在，我們不討論信號(hào)強(qiáng)弱問(wèn)題，而是尋找使用率較高的頻率，從而避免其被完全占用。免費(fèi)的"stumblers"（計(jì)算機(jī)測(cè)試軟件）可以讓我們更加輕松地觀測(cè)當(dāng)前被占用的Wi-Fi頻道情況，但很少有客戶(hù)知道如何使用RF頻譜分析儀。這就提供了許多的市場(chǎng)機(jī)遇，大大帶動(dòng)了例如Fluke AnalyzeAir、Metageek Wi-Spy、或Wi-Fi Sleuth等移動(dòng)頻譜分析儀的使用。

RF干擾無(wú)時(shí)無(wú)刻不在變化，但是，大多數(shù)不希望系統(tǒng)出現(xiàn)停機(jī)狀況的客戶(hù)也許會(huì)傾向于購(gòu)買(mǎi)RF頻譜分析儀，然后找VAR（增值經(jīng)銷(xiāo)商）來(lái)培訓(xùn)。但是例如來(lái)自Aruba, Cisco, Meru及Motorola的有些新產(chǎn)品，已經(jīng)建立了一種可選擇的交付模式：銷(xiāo)售帶有頻譜分析功能的無(wú)線AP。云服務(wù)，甚至可以通過(guò)這些AP設(shè)備向供應(yīng)商運(yùn)營(yíng)服務(wù)器做出有關(guān)RF的報(bào)表，諸如Meru的 E(z)RF Spectrum Manager 或Cisco的 MSE CleanAir Technology。

無(wú)線安全服務(wù)：控制WLAN訪問(wèn)

新802.11n設(shè)備集合了諸如802.11a/g設(shè)備——WPA2這種長(zhǎng)距離Wi-Fi認(rèn)證設(shè)備的安全功能。但是，當(dāng)802.11n設(shè)備配置較陳舊，選項(xiàng)較弱(諸如WPA-TKIP 或 WEP)時(shí)，802.11n設(shè)備就無(wú)法達(dá)到較高的吞吐量(>54 Mbps)。此外，隨著各企業(yè)組織逐漸大規(guī)模地在網(wǎng)絡(luò)中實(shí)施無(wú)線覆蓋訪問(wèn)，他們對(duì)未授權(quán)的無(wú)線網(wǎng)絡(luò)使用情況越來(lái)越敏感。因此，通常認(rèn)為升級(jí)802.11n是提供并加強(qiáng)WLAN安全的最好方式。

客戶(hù)期望WPA2-PSK和 WPA2-802.1X能夠被納入WLAN基礎(chǔ)架構(gòu)。但經(jīng)銷(xiāo)商可通過(guò)提供互為補(bǔ)充的認(rèn)證和網(wǎng)絡(luò)訪問(wèn)控制產(chǎn)品來(lái)實(shí)現(xiàn)客戶(hù)的期望。例如，AP設(shè)備和控制器可執(zhí)行802.1X認(rèn)證，但是一個(gè)802.1X-capable RADIUS服務(wù)器需要完整的事件描述。VAR們長(zhǎng)期出售RADIUS服務(wù)器，諸如Cisco的ACS或Juniper的SBR，但是遠(yuǎn)程辦公室和SMB或許不需要現(xiàn)場(chǎng)RADIUS服務(wù)器或員工來(lái)做支持。這一空白市場(chǎng)也許會(huì)由基于云的802.1X認(rèn)證服務(wù)來(lái)填補(bǔ)。

網(wǎng)絡(luò)訪問(wèn)控制存在著更有利的機(jī)遇。NAC產(chǎn)品與802.1X及RADIUS相吻合，增加的預(yù)連接掃描機(jī)制可確保Wi-Fi客戶(hù)端的合規(guī)性，并能夠拒絕或隔離不具合規(guī)性的客戶(hù)端。但是對(duì)于不同的客戶(hù)端來(lái)說(shuō)將NAC整合到大型網(wǎng)絡(luò)中也有不同的煩惱。WLAN升級(jí)是實(shí)現(xiàn)在一個(gè)簡(jiǎn)單孤立的地點(diǎn)部署NAC的機(jī)會(huì)，并能夠幫助客戶(hù)在體驗(yàn)NAC好處時(shí)感受更好的無(wú)線訪問(wèn)擴(kuò)展體驗(yàn)。

無(wú)線入侵檢測(cè)和防御

客戶(hù)希望對(duì)流氓AP檢測(cè)，如WPA2等可以嵌入到WLAN基礎(chǔ)設(shè)施中。為了規(guī)避風(fēng)險(xiǎn)——尤其是在零售行業(yè)、醫(yī)療保險(xiǎn)行業(yè)以及金融服務(wù)行業(yè)——客戶(hù)可能會(huì)發(fā)現(xiàn)流氓掃描并不能夠有效地檢測(cè)及阻止廣泛的威脅。這將為集成的或第三方無(wú)線入侵防御系統(tǒng) (WIPS)的銷(xiāo)售帶來(lái)機(jī)會(huì)。

集成的WIPS更容易銷(xiāo)售；將普通的AP設(shè)備轉(zhuǎn)換為專(zhuān)用的傳感器可用來(lái)監(jiān)測(cè)無(wú)線通信中可能存在的威脅，包括未授權(quán)AP及攻擊者進(jìn)行DoS、探針或滲透WLAN。第三方WIPS（如 AirMagnet, AirTight）使用特制的傳感器來(lái)檢測(cè)并響應(yīng)分散的的惡意客戶(hù)端攻擊。當(dāng)今，大多數(shù)產(chǎn)品都有所突破，舉例來(lái)說(shuō)，Motorola AirDefense就可以部署在專(zhuān)用的Motorola AP當(dāng)中。VAR可能希望通過(guò)部署若干個(gè)WIPS來(lái)滿足不同WLAN供應(yīng)商及多樣化的客戶(hù)需求。

從傳統(tǒng)上來(lái)說(shuō)，VAR已經(jīng)銷(xiāo)售過(guò)第三方WIPS服務(wù)器應(yīng)用程序和傳感器，或集成的WIPS軟件，安裝在WLAN控制器或管理應(yīng)用程序中。基于云的WIPS最為吸引人的是購(gòu)買(mǎi)之前的試用成本較低，或者說(shuō)它是一種永久的解決方案：把WLAN劃分為數(shù)百個(gè)小型WLAN來(lái)監(jiān)測(cè)(如，零售行業(yè))。

802.11n安全威脅的調(diào)查與調(diào)整

無(wú)論WLAN控制器是否報(bào)告無(wú)線安全事件，一個(gè)集成的WIPS或第三方WIPS，都會(huì)在無(wú)線側(cè)檢測(cè)時(shí)被發(fā)現(xiàn)，WLAN運(yùn)營(yíng)商需要取證工具（forensic tools）和專(zhuān)門(mén)的技術(shù)來(lái)評(píng)估事件的影響水平。WIPS能夠提供實(shí)時(shí)的Wi-Fi設(shè)備蹤跡，歷史定位以及詳細(xì)的事件日志說(shuō)明。專(zhuān)用的WIPS傳感器通常可以被裝在數(shù)據(jù)包捕獲模式中來(lái)記錄進(jìn)行中的攻擊。

在某些調(diào)查中，移動(dòng)Wi-Fi 數(shù)據(jù)包捕獲和分析工具都是不可或缺的。一些客戶(hù)都比較樂(lè)于使用免費(fèi)的，或開(kāi)源工具，如WireShark 或Airodump-NG。而其他客戶(hù)則傾向于購(gòu)買(mǎi)商用Wi-Fi流量分析工具，這樣在大型WLAN中可以節(jié)省不少時(shí)間，同時(shí)還能得到更專(zhuān)業(yè)的洞察力。VAR通常會(huì)銷(xiāo)售一些分析工具，如AirMagnet Analyzer 、WildPackets OmniPeek，用于WLAN故障排除和診斷，這些工具同樣可以被安全人員所用。商業(yè)機(jī)遇同樣為銷(xiāo)售新型易用的Wi-Fi分析儀敞開(kāi)了大門(mén)，因?yàn)檫@樣的銷(xiāo)售方式更加簡(jiǎn)單，也更能夠迎合第一線的員工使用。

最后，VAR和系統(tǒng)集成商可能需要考慮提供更主動(dòng)的無(wú)線安全服務(wù)和產(chǎn)品。例如，VAR可以按照Motorola AirDefense Wireless Vulnerability Assessment 模塊的方式來(lái)銷(xiāo)售Wi-Fi vulnerability assessment offerings （按照軟件模塊或云服務(wù)來(lái)銷(xiāo)售）。系統(tǒng)集成商也可以在使用有效結(jié)論時(shí)，結(jié)合免費(fèi)工具如 BackTrack4，尋找其自身的Wi-Fi深入測(cè)試服務(wù)方式。

無(wú)線安全服務(wù)——永無(wú)止境

雖然802.11n 引發(fā)了WLAN升級(jí)和擴(kuò)容，并希望能夠刺激無(wú)線安全市場(chǎng)，但其結(jié)果并不是短期內(nèi)就能夠看到的。安全性問(wèn)題對(duì)客戶(hù)來(lái)說(shuō)并非一次性就能永久解決的。它是一個(gè)循序漸進(jìn)的過(guò)程，它需要對(duì)新威脅和漏洞保持持久的警戒。這是VAR和系統(tǒng)集成商不斷的收入來(lái)源。

原文鏈接：http://network.51cto.com/art/201012/240919.htm