分类: 系统运维
2008-03-21 21:00:43
802.11n会对企业网带来什么影响?什么样的无线安全威胁最可怕?无线VoIP前途如何?所有这些问题都是企业在部署无线网络时必须面对的挑战。
802.11n 会给企业网带来什么影响?
已有相当多的WLAN厂商最近宣布,推出基于IEEE 802.11n标准草案的企业无线接入点。这类接入点可在每个频段上提供100M到200Mbps的吞吐量,是目前11g和11a网络的3到6倍。
>不管网络经理选择通过Wi-Fi联盟互操作认证的准11n产品,还是等待2008年底或2009年初IEEE最终批准的标准,他们都会面临以下4个问题:给有线基础设施部分造成过重的负担;造成现有的旧无线交换机负担过重;被迫向功率更大的以太网供电(PoE)升级;重新部署和连接一些已有的无线接入点。
多数新接入点将配备1个甚至2个千兆以太网端口。马萨诸塞州大学网络分析师Michael Dickson说:“接入我们楼宇的线路基本上是百兆带宽。对于11n,我们将需要在布线室中安装配置万兆上行链路的千兆交换机。这是笔不小的费用,对于11n来说也是必不可少的费用。”
Farpoint Group负责人Craig Mathias说:“11n将刺激有线基础设施向千兆以太网的升级。”
鉴于11n的容量,升级电缆线路的一个相关问题是,是否升级以太网墙壁插座:事关无线基础设施是否能成为网络接入主要手段的决定。
如果已有的WLAN控制器也缺少网络容量并缺少处理增加的流量所需要的处理能力和内存,它们就必须被更换掉。尤其在厂商采用把来自每个接入点的所有数据包都传送给控制器的纯集中式架构时就更是这样。过去一年里,厂商一直以11n为出发点升级他们的控制器,有时还会把数据包交换功能卸载给接入点去完成,从而创建一种分布式的数据平面(Data Plane)。
Mathias说:“由于具有这类分布式数据平面,因此,控制器中不会出现瓶颈。如果使用Meru 或Extricom产品,便可进行数据集中并控制数据平面。但是如果把设备设计成能够处理传送给它的任意类型的传输流,也不成问题。”
对于11n网络来说,测试无线性能来检验像工作负载和传输流条件等数据可能变得更加重要。为此,企业或系统集成商将使用复杂的性能测试工具,如来自VeriWave和Azimuth Systems的产品,这类产品以前一直主要为无线芯片制造商和设备制造商所使用。Mathias预测:“这将成为未来的一件大事。”
PoE问题可能会让一些用户感到措手不及。Forrester Research分析师Chris Silva说:“PoE基础设施极限可能要经受达到最大性能的11n部署的考验。”
PoE使你可以在交换机与接入点之间布一条线而不是两条线,从而有可能节省可观的费用。但是,11n接入点消耗的电力超过了基于IEEE 802.3af标准的供电器所提供的15.4瓦最大功率。目前即将完成的802.3at新标准至少将功率增加了一倍。至少有一家厂商,Trapeze开发了可以使它刚刚宣布推出的11n接入点可利用已有PoE供电器的新代码,但是要牺牲性能。
Novarum公司经理Phil Belanger说:“11n带来的希望不只是速度更快。11n更远的传输距离将使部署使用5GHz频带的大型系统变得更为实际,5GHz频带提供比2.4GHz更多的信道,而且到目前为止,没有被太多使用。这反过来将使更高容量的WLAN成为可能。对于许多企业来说,在所有位置提供数百兆容量的无线网络将足以取代有线网络。”
802.11n市场一瞥
■ 总设备收入
自2006年二季度推出产品后,收入超过1.5亿美元
■ 三大供应商
Linksys,Netgear,D-Link
最严重的潜在无线/移动安全威胁
我们可以确定3个威胁,但我们目前只解决了其中的一个,即DoS(拒绝服务)。
另两个威胁象征着两种非常不同的人际动力学:一个源于攻击者越来越狡滑,另一个源于用户,即便是IT专业人员对无线威胁的本质也充满了无知。
2006年,研究人员确定了无线接口设备驱动器存在的可能被攻击者以不同方式利用的问题。驱动程序运行在操作系统的内核级上,在内核级上,恶意代码可以访问系统的所有部分。
据Network Chemistry公司高级分析师Andrew Lockhart说,这类驱动程序安全漏洞一般涉及处理无线管理帧中包含的特定信息的长度,从而造成恶意代码可以被执行的缓冲区溢出。
他说:“不管适配器是否与接入点建立联系,驱动程序都将处理此类数据元素。因此,接通电源的无线网卡加上存在漏洞的驱动程序会让用户面临攻击。”
显而易见的解决办法是更换存在漏洞的驱动程序。但是,这是个专门的升级过程。Andrew Lockhart说:“在Windows世界中,多数无线驱动程序属于第三方软件包的一部分,因此,它们不会随Windows更新而更新,这就给消除问题造成麻烦,而且这可能将是相当长的一段时间存在的问题。”
攻击者在攻击什么,以及如何攻击上正在变得更加狡滑,越来越多的利用规避战术绕过或迷惑无线入侵检测/防御应用(IDS/IPS)。长期的解决办法是可以更全面监测和分析无线传输流和行为的更聪明的IDS/IPS系统。但是,研究人员,如Dartmouth学院的Project MAP(测量、分析和保护)的研究人员仍处在这类研究工作的早期阶段。
第二个无线威胁涉及许多移动用户似乎没有更好地利用无线安全技术的事实。
Project MAP主要研究人员之一、Dartmouth学院计算机科学教授David Kotz说:“最大的威胁是使用开放Wi-Fi接入点,而且不使用加密或VPN的人。他们将自己的个人或专业数据托付给一些随意的热点运营商或某个地方的开放接入点。他们非常轻率。”
安全咨询师Winn Schwartau透露说,他12岁的儿子使用基于Windows的Palm Treo,无线窃听在机场或其他公共Wi-Fi网络上使用便携机或PDA的业务经理。他儿子定期收集登录企业网络的用户名/口令组合。他说:“我儿子掌握了登录40个财富100企业网络的口令。”
关键安全漏洞就是这些用户,即使他们利用加密的VPN隧道访问企业网络,但反复使用未加密的无线连接访问Internet邮件或其他网站,从而使小Schwartau能够采集访问用户Web邮件账户的信息。然后他使用这种信息向用户发送来自他自己账户的电子邮件。Schwartau说:“我可以利用恶意代码感染用户的计算机,直接进入你的VPN账户。”
这个问题的另一面是允许一直暴露在互联网中的个人移动设备接入企业网络。亚特兰大Hartsfield-Jackson国际机场信息安全官Lora Mellies说:“当允许用户连接他们自己的设备时,正规的安全标准和程序常常被忽视。例如,可能没有定期备份信息的方案,没有安装防火墙或杀毒保护,没有使用加密技术保护令牌/证书的机密性来提供强认证。”
Schwartau说:“没有人再能够定义企业网络的外围防线。规则是:‘除了企业网络外,你不要连接任何网络;一旦你进入企业网络,你可以做你想做的任何事,但我们将监视你。’”
这种威胁只会随着缺少培训的移动用户数量的增加,以及保存在移动设备上越来越多的敏感或专有企业数据而恶化。
部署基于WLAN的VoIP有必要吗?
从企业用钱投票的市场来做出判断的话,答案是到目前为止,至少对于大规模部署基于WLAN的VoIP是“一般不值得”。
但也存在例外,尽管很少。最常提到的一个例外是日本的Osaka Gas公司。这家公用事业公司使用Meru Networks的WLAN基础设施支持6000部配置蜂窝和Wi-Fi网络接口的移动电话。整个项目的标价是:1000万美元。
不欢迎大规模无线VoIP部署并不让人感到吃惊。企业范围的有线VoIP部署最近才得到接受,并且人们对其中的许多部署充满忧虑。公平地说,这种忧虑常常是由某个企业站点存在的特定问题引起的。
而利用无线连接取代有线线路增加很多复杂性,而解决这些复杂性的办法只是在缓慢成熟。接入点必须部署到各个位置来支持语音传输流,而无线电干扰会很容易影响语音质量或呼叫会话。对不安全的VoIP会话的无线窃听是令企业经理担心的另一个问题。
Forrester的Chris Silva说,准确核算成本节省十分困难。他说:“无线VoIP一直被定位于一种节省蜂窝移动电话使用时间的途径。然而,企业IT不了解他们实际在这方面的花费,费用常常只是作为开支勾销了,因此很难证明节省,也就很难为投资WLAN VoIP拿出充分的理由。”
美国《Network World》用了3个月时间,从音频质量、QoS强制执行、漫游能力和系统特性角度,对来自Aruba Wireless Networks、Chantry Networks (现在是Siemens)、Cisco和Colubris Networks的WLAN交换机和接入点进行了测试。
测试结果如下:
● 在打开QoS强制执行并且网络上只有语音传输流时,呼叫质量几乎达到了收费质量的音质。
● 即使存在很少量的数据传输量时,通话掉线也很常见,音频质量不佳(甚至在启用QoS时)。
● 从一个接入点向另一个接入点漫游要么失败,要么时间过长(0.5到10秒),导致通话掉线。
这些结果反映了Dartmouth学院的一些使用体验。该学院4年前在其基于Aruba的遍布校园的无线LAN上进行了有限的VoIP部署。最初,一些教职员工使用来自Vocera的可佩戴移动VoIP电话。据Dartmouth学院技术服务主管David Bucciero说,漫游存在一些问题。Bucciero是一位认为无线VoIP尽管出现了这些成长之痛但仍值得一试的人员之一。
Bucciero说,最近,这所学院刚刚添加了不到100部“不存在缺陷的”Cisco 7920无线VoIP手机,尽管延时是部署早期出现的问题。对于该学院来说,减少延时是一个持续的调整过程,需要与Aruba和Cisco密切合作。
这两年发生了变化,包括802.11e QoS标准(厂商不断利用专有的QoS改进加强这项标准)的出现以及接入点间更快的切换。
但是,真正的变化是人们对自动在蜂窝与Wi-Fi网络之间切换呼叫会话的兴趣的增加,以及这类产品的出现。在企业级上,这种融合需要一台IP PBX,通常需要一台会话发起协议(SIP)服务器,需要WLAN基础设施、来自Divitas等新兴厂商和Siemens这样的老牌公司的新型专用服务器,以及运行在所谓双模式手机(具有蜂窝和Wi-Fi无线电装置)上相应的客户程序。
Dartmouth学院正在做这件事,在对Nokia E61i进行试验测试。Nokia E61i是一款Nokia作为其与Cisco的融合合作伙伴关系的一部分——最近在美国推出的双模移动电话。这款手机利用SIP与Cisco CallManager IP PBX通信。
Farpoint的Mathias说:“蜂窝与Wi-Fi融合是无线LAN VoIP发展的真正推动力。一旦融合变为现实,我们可以将电话簿、语音邮件、其他服务整合在一起,拥有一部可以在各个地方使用的电话。”
企业需要进行改革以支持移动性吗?
越来越多的公司不再看重移动电子邮件而选择实现业务应用移动化。
马萨诸塞州Needham市咨询公司TowerGroup首席分析师Bob Egan说:“当你开始更大范围部署这些应用时,问题变成‘我如何能够降低已有的运行费用’或者‘我如何能够提供新的增加收入的机会。’这些问题迫使你去思考是采用战略模式还是临时模式。”
在2006年的一次TechRepublic调查中,370位美国IT和业务专业人员说他们把实现以下应用的移动化作为目标(回答者可以选择多个答案):内联网接入(23%的人选择),现场服务/数据输入/数据采集(21%),个人信息管理(19%)、客户关系管理或销售队伍自动化(16%)、供应链管理(12%)和ERP(近10%)。
实现这些应用移动化的理由是提高工作人员的工作效率,这个理由被35%的回答者列为“极其重要”。另外两个排在前的理由(“极其重要”)是减少费用(近30%的人提到)和改进数据采集及准确性(28%)。在所有3个案例中,更大比例的回答者将这些理由列为“重要”。
成功利用这类应用和实现这些目标需要不同领域中的改革:如雇员和经理职责和责任、网络接入和认证、移动设备管理、最终用户和无线网络技术支持,以及安全性和数据保护政策与执行。
Gartner副总裁John Girard说:“如果你不主动去解决移动工作人员问题,包括人力资源和心理问题以及技术,你就得不到全部价值。归根结底,最重要的部分是人的部分:你如何监视工作、如何分配职责以及你知道你的团队在做什么?”
为实现这些目标,Gartner建议整合多种移动服务配置、管理和安全功能(如安全漏洞评估、安全配置、标准软件映像控制、安全与性能监测),将日常功能由安全部门转交给运营部门,建立这些部门间的联合政策开发。这样做的目标是将定位于移动性问题子集但不能共享信息、非战略移动性计划组成部分的单个软件应用的数量减少到最低程度。
Girard问道:“如果你在不同的平台(桌面机、笔记本、智能电话)上采取不同的政策,你如何保持一致性呢?多数公司拥有对桌面机行之有效、但对笔记本效果不佳、而对智能电话效果更差的软件分发计划。”或者,某个备份桌面PC的考虑周全的方法完全忽略移动设备。尽管越来越多的数据保存在移动设备上,并且移动设备面临更大的丢失、被盗或被攻击的可能性。
TowerGroup的Bob Egan说:“组织变化就是为了控制公司知识产权的流动(如何供应和保护网络和设备上的数据)和随之而来的职责。”
移动性变成了必须作为一个整体看待和对待的系统或“系统的系统”。亚特兰大Hartsfield-Jackson国际机场电信工程师Daver Malik说:“随着每天都有越来越多的用户变成移动用户,我们不仅非常注意系统的正常运行时间,而且也非常注意系统的健康,密切监视系统使用、容量和趋势,防止给用户造成不应该的破坏。”
防止不应该的用户破坏的一个相关方面是技术支持和企业帮助台。J. Gold Associates负责人Jack Gold说:“在支持移动工作人员方面做得很好的公司非常少。目前他们的支持基础设施是针对提供桌面支持的:你不可能派遣技术人员到现场去解决移动问题。”技术支持团队需要新的培训、新的工具、新的政策和程序才能够有效、迅速地对移动性问题做出响应。
一种新出现的选择是将其中的一些或全部任务外包给新一代管理服务供应商,Movero Technology就是一个例子。这家Austin市的公司为企业处理基于蜂窝的设备和应用部署的各个方面。
如何控制扩展移动和无线环境时的成本?
移动领域存在很多费用:无线与有线基础设施费用、蜂窝语音和数据计划费用、这些计划的使用模式费用、移动设备购买费用、应用费用、设备管理软件费用、培训费、技术支持费用。
TowerGroup的Egan说:“从战略角度看,费用变得更可见,因为费用显得更多。但是以临时方式实现移动性隐藏了真实的费用,而在我看来,这些费用比以战略方式实现移动性的费用要多得多。”
Egan说,与汽车租赁巨头Avis的交谈是让他最为意外的一件事。Avis是第一家为雇员配备无线手持机并让他们在顾客还车时到停车场迎接顾客的公司之一。Egan讲道:“我说过,这对于客户服务是多好的一件事啊。Avis员工开始笑了。”这个系统的真正好处是,它使Avis可以在现场立即做出是让归还的汽车继续服役、重新评估价值还是将它拿去拍卖的决定。
有了战略计划,集中的和标准化的设备与软件购买就有了可能,而这是合理化和减少移动费用的关键要素。
Hartsfield-Jackson机场的Malik说:“最大限度地发挥你固定基础设施的潜力来支持扩展无线/移动环境,能够支持规范和技术未来扩展的、精心制定的网络固定部分的技术,是在进行这类扩展时控制相关费用的关键。”
同企业桌面系统采购费用一样,移动性采购费用必须加以控制。Gartner的Girard说:“了解你为移动部署购买的每样东西的费用和所有权的含意非常重要。搞清楚你想支持什么平台,并激励业务部门和用户采用这些平台。”
Girard建议对企业已有的相关工具、系统和服务(包括软件许可证)进行一次全面的盘点。他说:“企业已经把钱花在了什么地方?然后应用‘奥卡姆剃刀原理’(Occam’s Razor)进行简化。问自己:‘为了减少复杂性和费用,我如何达到更少的产品?’”
据Venture Development公司(VDC)说,计算费用时的一个隐藏要素是如果移动设备或移动系统的其他某个部分发生故障时停机时间和技术支持的影响。VDC在2006年10月的一份报告中估计一些消费者级移动设备的故障率每月可能超过20%。据这份报告说:“事实上,停机时间损失的生产力的总成本可能占到移动设备TCO(总拥有成本)的30%。”
VDC指出,设备厂商不断推出新特性和技术来增加便携机和其他手持机的耐久性和坚固性。这类产品包括半坚固型便携机。这类便携机可以比消费级产品经受更粗暴的对待和事故,尽管它们无法与专门适应最恶劣条件而设计的军用级设备匹敌。这类设备更高的初始费用是值得的,因为公司可以避免由于设备故障而造成的停机时间高得多的费用。
咨询师Jack Gold说,战略计划使你与无线运营商可以进行更具攻击性的谈判,让细化为不同用户群制定的蜂窝数据计划、减少速率、共享时间或数据量方面的过多费用,以及控制国际漫游费成为可能。
如何阻止无线DoS?
新出现了两种DoS攻击。一种利用无线电波干扰无线WLAN接入点或网卡。另一种更为复杂,它利用802.11n协议做同样的事情—阻止无线收发设备发送或接收信息。
一个很好的例子就是电视台用来转播波士顿红袜队在主场比赛的微波转播车造成的干扰,尽管这种干扰是无意造成的。在一些情况下,高度聚焦的无线波束不会给这个棒球场的802.11 WLAN造成问题,因为它们是对准远离棒球场的几个发射塔之一。但是在一种情况下,无线电波束射过棒球场,撞到新安装的一排金属看台上反射回棒球场,从而摧毁WLAN。
红袜队IT主管Steve Conley说,就算他拿着无线笔记本紧挨在WLAN接入点旁边仍不能连接在接入点上。
没有什么自制或商用干扰器具有这类商用微波系统的功率。不过,在短距离上,它们不需要很大的功率。可供使用的产品包括一种可以在90英尺距离上干扰3个频率(包括2.4 GHz)的400美元的袖珍型干扰器。这种干扰器在广告中被宣传为一种让运行在无线链路上的“间谍相机”失效的方法。另一个有效距离约为30英尺的微型干扰器价格在290美元左右。
甚至还有Wi-Fi Hog项目,其理念是将公共无线网络由共享使用的概念中“解放出来”。安装在笔记本PC上的Hog利用有选择的干扰阻止其他客户连接接入点,从而独占接入点供自己使用。
不过,关注工业自动化非赢利专业组织“Instrumentation, Systems and Automation Society”网站上最近发表的一篇文章对干扰进行了全面、客观的分析。这篇由CMS Associates首席执行官Richard Caro撰写的文章列举了为什么无线干扰并不像一些人声称和一些人担心的那样容易实现的几个理由。
目前还没有对抗精心策划的、集中干扰攻击的真正手段,一般只能利用像Cisco的Cognio频谱分析仪这样的工具迅速检测出它,然后用短路器来应对。
第二种DoS攻击是短路器无法应付的:通过修改驱动程序或固件,滥用802.11媒体访问控制(MAC)层协议。Dartmouth学院计算机科学教授David Kotz说:“它造成网卡不按MAC协议规矩办事。由于网卡没有‘公平’遵守规则,造成网络无法为其他网卡使用。”
一个例子是向某个接入点的某台客户机发送取消身份认证帧或将它们广播给所有客户机。显然,客户机将断开与接入点的连接。Kotz说:“多数客户机会马上重新认证。但是如果攻击重复进行的话,你收到的Wi-Fi电话或视频流会出现这些中断。”
Kotz说,目前,应对办法与干扰攻击相同:尽可能迅速地检测问题,尽快找到罪犯,叫“带枪的警察”来对付他。他说:“从根本上讲,长期的解决办法还是修补协议本身。”