IEEE 802.11ac標(biāo)準(zhǔn)通過(guò)批準(zhǔn)到現(xiàn)在已經(jīng)將近一年時(shí)間,雖然無(wú)線技術(shù)的速度已經(jīng)大大提升,但是支持千兆無(wú)線網(wǎng)絡(luò)的安全標(biāo)準(zhǔn)還沒(méi)有什么變化。事實(shí)上,802.11g和802.11n都支持的WPA2加密協(xié)議仍然在使用。新標(biāo)準(zhǔn)的推出,加上移動(dòng)設(shè)備數(shù)量及功能的增長(zhǎng),都會(huì)促使網(wǎng)絡(luò)管理員重新審視自己網(wǎng)絡(luò)的無(wú)線安全策略。
我們首先看一下IEEE 802.11ac的功能。由于相比802.11n標(biāo)準(zhǔn)有很大改進(jìn),支持這個(gè)標(biāo)準(zhǔn)的WLAN系統(tǒng)能夠支持超過(guò)1Gbps的數(shù)據(jù)傳輸速度。在數(shù)據(jù)傳輸速度方面,802.11ac有如下特征:
將老標(biāo)準(zhǔn)的最大無(wú)線頻寬從40MHz增加到80MHz或者160MHz。帶寬翻倍使最大數(shù)據(jù)傳輸速度也翻了一番。
推出了加大數(shù)據(jù)包數(shù)據(jù)存儲(chǔ)量的改進(jìn)版調(diào)制技術(shù)。每一個(gè)數(shù)據(jù)包可存儲(chǔ)的數(shù)據(jù)量加大也提升了數(shù)據(jù)傳輸速度。
支持多入多出(MIMO)技術(shù),可以在同一個(gè)無(wú)線頻道上同時(shí)發(fā)送和接收多個(gè)數(shù)據(jù)流。IEEE 802.11ac將802.11n的單設(shè)備4個(gè)并發(fā)流翻一倍。新標(biāo)準(zhǔn)最多支持8個(gè)發(fā)送流,單個(gè)設(shè)備最多4個(gè)流;支持兩個(gè)分別有4個(gè)流的設(shè)備;或者1個(gè)發(fā)送到8個(gè)設(shè)備。單設(shè)備傳輸流數(shù)量增加提升了該設(shè)備的總傳輸速度。
完全支持波束成型技術(shù),這個(gè)技術(shù)允許一個(gè)接入端(AP)通過(guò)多個(gè)全向天線將其傳輸能量全部聚焦在一個(gè)特定的方向上。聚焦信號(hào)可以增強(qiáng)信號(hào)強(qiáng)度,從而提升離AP距離較元的設(shè)備連接性能。IEEE 802.11n標(biāo)準(zhǔn)加入了波束成型支持,但是不同的設(shè)備供應(yīng)商采用了不同的實(shí)現(xiàn)方式,因此實(shí)用性大打折扣。新標(biāo)準(zhǔn)定義了實(shí)現(xiàn)方法,從而方便不同供應(yīng)商產(chǎn)品之間的操作。
重新審視安全性
對(duì)于一些企業(yè)而言,IEEE 802.11ac的出現(xiàn)并不要求他們對(duì)無(wú)線安全策略作重大修改。這些企業(yè)已經(jīng)認(rèn)識(shí)到他們的許多員工都在使用移動(dòng)設(shè)備,也已經(jīng)更新了他們的安全策略。其中還有許多企業(yè)已經(jīng)通過(guò)一些更新解決了員工自帶設(shè)備等問(wèn)題,但是還沒(méi)有自上而下地重新審視自己的策略。
也就是說(shuō),所有部署了IEEE 802.11ac的企業(yè)都應(yīng)該明確自己當(dāng)前的WAN是否運(yùn)行在5GHz頻帶上,無(wú)論是他們是否已經(jīng)更新了安全策略。802.11n標(biāo)準(zhǔn)可以運(yùn)行在2.4GHz或5GHz頻帶上。IEEE 802.11ac則只能運(yùn)行在5GHz頻帶上。如果新標(biāo)準(zhǔn)的應(yīng)用時(shí)企業(yè)是第一次使用5GHz頻帶,那么他們有必要更新掃描設(shè)備及其他流程,檢查運(yùn)行在更高頻帶的惡意AP及其他入侵企圖。
沒(méi)有任何一組移動(dòng)安全策略適用于每一個(gè)企業(yè)。有一些策略與一些特殊的法規(guī)息息相關(guān),如支付卡行業(yè)規(guī)范或醫(yī)療保險(xiǎn)可攜性和責(zé)任法案;其他一些策略則是保護(hù)不同類型的敏感數(shù)據(jù),如企業(yè)財(cái)務(wù)記錄或產(chǎn)品規(guī)劃與設(shè)計(jì)。一些企業(yè)有很少停留在企業(yè)辦公室的移動(dòng)辦公員工;而另一些企業(yè)的員工則主要在辦公室工作,但是也會(huì)在家里登錄公司系統(tǒng)。每一個(gè)企業(yè)都需要一種專門針對(duì)自己業(yè)務(wù)設(shè)計(jì)的安全策略。
隨網(wǎng)絡(luò)變化而更新
當(dāng)移動(dòng)設(shè)計(jì)剛剛出現(xiàn)時(shí),人們?cè)?jīng)只是將它看作是有線網(wǎng)絡(luò)的補(bǔ)充。它們適合用來(lái)在辦公室外閱讀郵件或在會(huì)議上作筆記,但是大多數(shù)工作仍然是在員工工作臺(tái)上通過(guò)有線網(wǎng)絡(luò)完成的。
全無(wú)線網(wǎng)絡(luò)徹底改變了安全假設(shè)條件。通過(guò)有線網(wǎng)絡(luò)的數(shù)據(jù)訪問(wèn)通常用員工登錄帳號(hào)及以太網(wǎng)中基于端口虛擬LAN(VLAN)身份來(lái)確認(rèn)?;诙丝诘腣LAN訪問(wèn)已經(jīng)不適用于無(wú)線網(wǎng)絡(luò)。相反,無(wú)線網(wǎng)絡(luò)的訪問(wèn)必須基于最終用戶的身份和角度來(lái)完成,但是也包括其他一些方面。
設(shè)備類型也是一個(gè)關(guān)鍵因素。許多員工都有多個(gè)移動(dòng)設(shè)備,雖然他們可能只允許在個(gè)人手機(jī)上收郵件,但是只能使用企業(yè)分配和配置的筆記本電腦去訪問(wèn)關(guān)鍵信息。
此外,位置可以用來(lái)控制訪問(wèn)。安全軟件可以使用各種手段來(lái)確定員工位置,如GPS數(shù)據(jù)或網(wǎng)絡(luò)路由跟蹤。員工在家里限制訪問(wèn)的數(shù)據(jù)在辦公場(chǎng)所就可以解除約束。當(dāng)員工走出辦公區(qū)和走進(jìn)公司餐廳時(shí),他們就無(wú)法訪問(wèn)詳細(xì)的財(cái)務(wù)信息。
在部署IEEE 802.11ac并認(rèn)識(shí)到無(wú)線網(wǎng)絡(luò)成為主要訪問(wèn)手段之后,BYOD策略也需要重新評(píng)估。每隔幾個(gè)月時(shí)間就有新設(shè)備發(fā)布,而且它們的功能也越來(lái)越復(fù)雜。幾年前制定的策略現(xiàn)在可能已經(jīng)無(wú)法適應(yīng)新環(huán)境。
IEEE 802.11ac大大提升了無(wú)線網(wǎng)絡(luò)容量,但是它只是代碼了無(wú)線技術(shù)發(fā)展的最新動(dòng)態(tài)。毫無(wú)疑問(wèn),還會(huì)有更多具有更復(fù)雜功能的標(biāo)準(zhǔn)出現(xiàn)。但是,底線是不變的:網(wǎng)絡(luò)安全經(jīng)理必須定期檢查無(wú)線安全策略,了解不斷發(fā)展的技術(shù),理解應(yīng)該如何調(diào)整業(yè)務(wù)實(shí)踐才能更有效地利用這些新功能。