无线网络可能是企业网络的主流,但这并不意味着它们是无需动脑的。在这里,我们提出并试图回答一些你可能仍在处理的棘手问题。
802.11n高吞吐量无线局域网将如何影响企业网络?
无线局域网供应商数量惊人最近宣布基于IEEE 802.11n标准草案的企业接入点,承诺每频带的吞吐量为100M到200Mbps,或者是目前11g和11a网的3到6倍。
|
网络管理人员是否选择了11N产品草案,由Wi-Fi联盟互操作的认证,或者在2008年底或2009年初等待最终IEEE批准,他们可能面临这四个问题中的任何一个:过载有线基础设施的部分;超载现有,旧的无线LAN交换机;迫使升级到更高供电的电源超高;并重新定位和重新加热一些现有的无线接入点。
大多数新的接入点将配备一个甚至两个千兆以太网端口。马萨诸塞大学阿默斯特分校(University of Massachusetts at Amherst)网络分析师迈克尔•迪克森(Michael Dickson)表示:“对于我们的建筑来说,我们的规模大多是‘100兆’。”“对于11n,我们需要在壁橱里放置千兆交换机,并提供千兆上行链路。这是一个确定的成本,几乎是11n的必要成本。”
“11N增加了激励,转到有线基础设施中的”GigE“,”Farpoint Group的校长Craig Mathias说。
升级电缆工厂的一个相关问题,鉴于11N的容量,是是否升级以太网墙壁插孔,决定无线基础设施是否成为网络访问的主要手段。
If existing wireless LAN controllers also lack the net capacity, and the needed processing power and memory to handle the increased traffic, they’ll have to be replaced, especially if the vendor has a purely centralized architecture with every packet running from each access point to the controller. Vendors have been upgrading their controllers over the past year with 11n in mind, sometimes also offloading the packet switching functions to the access points, creating a distributed data plane.
“通过这种分布式数据平面,控制器上没有瓶颈,”Mathias说。“如果您有Meru或Infricom,则您可以集中列出数据和控制平面。但是,如果你设计了处理它的盒子,那么它就不是问题。“
基准测试无线性能,以验证工作负载和流量条件可能对11N网络变得更加重要。为此,企业或系统集成商将使用复杂的性能测试工具,例如那些veriwave.和方位系统,此前主要用于无线电芯片制造商和设备制造商。“这将是未来的一件大事,”马赛厄斯预测道。
以太网(PoE)问题的电源可能会惊讶地抓住一些用户。“PoE基础设施可能具有11N部署测试的上限,用于其最大能力,”Forrester Research的分析师克里斯·席尔瓦说。
PoE让你只需在交换机和接入点之间连接一根电缆,而不是两根,这可能会节省大量成本。但是,11n接入点比基于IEEE 802.3af标准的功率喷射器提供的15.4瓦的最大功率消耗更多的电能。如果采用新标准,这一数字至少会翻一番,802.3AT,现已定稿。至少有一个供应商,秋千,已经创建了新的代码,可以让其刚刚宣布的11n接入点利用现有的PoE注入器,但在性能方面有权衡。
诺华董事总经理菲尔•贝朗格(Phil Belanger)表示:“11n的希望不仅仅是更快。”“11n的增加范围将使使用5-GHz频段部署大型系统更加实际,5-GHz比2.4-GHz有更多的信道,到目前为止还没有得到太多的使用。这反过来将使更大容量的无线局域网成为可能。对于许多企业来说,一个在任何地方都能提供几百兆容量的无线网络将足以成为唯一的网络。”
无线/移动设备面临的最大安全威胁是什么?
另外两种威胁是两个非常不同的人类动态的象征性:一个来自攻击者越来越狡猾的狡猾,另一个来自对用户的持续无知,甚至是关于无线威胁性质的专业人士。
无线网络安全的建议 Gartner说: |
||||||||||||||
|
2006年,研究人员发现了可能被攻击者以各种方式利用的无线接口设备驱动程序的问题。驱动程序在操作系统内核,恶意代码可能访问系统的所有部分。
Network Chemistry的安全分析师Andrew Lockhart表示,通常情况下,这些驱动程序漏洞涉及操纵包含在无线管理框架中的特定信息片段的长度,从而导致缓冲区溢出,恶意有效载荷可能被执行。
不管适配器是否与接入点相关联,驱动程序都会处理这些数据元素。因此,一个通电的无线网卡和一个易受攻击的驱动程序的结合会让用户容易受到攻击,”他说。
显而易见的解决方案是替换易受攻击的驱动因素。但这是一个临时过程。“In the Windows world, most wireless drivers are part of a third-party software package, so they don’t get updated with a Windows update, which makes it troublesome to eliminate the problem, and it will likely be a problem for a while,” he says.
攻击者在攻击内容和攻击方式方面变得越来越聪明,他们越来越多地使用躲避战术来避开或迷惑无线入侵检测/防御应用程序(IDS/IPS)。长期的解决方案是聪明的IDS / IPS系统这可以更全面地监控和分析无线交通和行为。但研究人员,如达特茅斯学院的研究人员项目地图(用于测量、分析和保护)只是这种工作的早期阶段。
第二个无线威胁与许多移动用户在无线安全方面似乎没有变得更聪明有关。
“最大的威胁是那些使用开放Wi-Fi接入点而不使用加密或vpn的人,”达特茅斯大学计算机科学教授、MAP项目的主要研究人员之一大卫·科茨(David Kotz)说。“他们信任一些随机的热点运营商或某处的开放接入点,将他们的个人或专业数据。人们粗心。”
这是外交辞令。
安全顾问Winn Schwartau喜欢告诉他的12岁儿子如何使用基于Windows的Palm Treo,在机场或其他公共Wi-Fi网上使用笔记本电脑或PDA的商业主管的无线窃听。他经常收集到公司网的用户名/密码组合。“我的儿子有40个财富100 [网]的密码,”他说。
The key vulnerability was these users, even if they used an encrypted VPN tunnel to access the corporate net, repeatedly used an unencrypted wireless link to access Internet mail or other Web sites in the clear, allowing the younger Schwartau to collect information to access the user’s Web mail account. He then used it to send the user an e-mail from his own account. “I can then infect that machine [with malicious code], and have access to your VPN account,” Schwartau says.
该问题的倒数允许个人移动设备在野外暴露于互联网,以连接到公司网。“允许用户连接自己的设备时,通常会忽略正常的安全标准和程序,”Hartsfield-Jackson Atlanta International Airport机场的信息安全官员。“例如,可能没有计划定期备份信息,没有安装防火墙或防病毒保护,不使用用于机密性的加密或用于强大身份验证的令牌/证书。”
“再也没有人能定义(企业网络的)边界了,”施瓦陶表示。“规则是:‘你只能连接公司网络;一旦你到了那里,你可以做任何你想做的事,但我们会看着你。’”
随着缺乏训练的移动用户数量的增长,以及移动设备上敏感或专有的公司数据数量的激增,这种威胁只会变得更严重。
无线(基于wi - fi的)网络电话值不值得?
从企业用金钱投票的市场来看,迄今为止的答案是,“一般来说,不会”,至少对于大规模部署来说是这样。
有例外,虽然罕见,但他们倾向于证明这条规则。最常引用的是大阪煤气在日本,。该公司使用Meru Networks的WLAN基础设施支持6000部配备蜂窝和Wi-Fi网络接口的移动电话。整个项目的价格是:1000万美元。
|
||||||||||||||||||
人们不愿接受大规模的无线VoIP并不令人意外。企业范围内的有线VoIP部署直到最近才发现了吸引力,而且其中很多都是令人担忧的。公平地说,焦虑通常是由给定企业站点的特定问题或问题造成的。
但是使用无线连接来代替电线会增加很多复杂性,解决方案也只是慢慢成熟。接入点必须广泛分布以支持语音通信,而无线电干扰可以很容易地影响语音质量或通话会话。对不安全的VoIP会话进行无线窃听是企业管理者担心的另一个问题。
Forrester的克里斯•席尔瓦(Chris Silva)表示,很难精确地指出节省了多少钱。他说:“无线网络电话已经被定位为一种替代蜂窝电话使用时间的方式。”“但企业IT部门并没有很好地处理他们在这方面的实际支出:它们通常只是被花掉了。因此,很难提出节约的理由,也很难提出投资无线网络VoIP的理由。”
在三个月的时间里,我们测试了来自Aruba无线网络、Chantry网络(现在的西门子)、思科和Colubris网络的WLAN交换机和接入点,包括音频质量、QoS执行、漫游能力和系统特性。
他的发现包括:
*带有QoS强制上网,只有网络上的语音流量,呼叫近乎匹配的收费音频。
*即使是少量的数据流量,掉线通话变得常见,音频质量很差,即使QoS仍然启用。
*从一个访问点到另一个访问点的漫游失败或花费太长时间,从0.5秒到10秒,呼叫下降。
这些调查结果反映了Dartmouth学院的一些经历,它在四年前在其普遍的阿鲁巴校园无线局域网上拥有有限的VoIP部署。最初,一些大学人员使用荧歌的可穿戴移动VoIP手机。David Bucciero的技术服务总监Dartmouth Bucciero称,漫游有一些问题,尽管这些痛苦是人们表示无线VoIP值得麻烦的人。
最近,该学院增加了将近100部Cisco 7920无线VoIP手机,“非常完美”,尽管延迟是部署早期的一个问题,Bucciero说。减少这些延迟一直是一个持续的调整过程,与阿鲁巴和思科(该学院的有线网络供应商)密切合作。
事情在两年内发生了变化,包括802.11e QoS标准的出现,通过持续的专有QoS调整而增强,以及接入点之间更快的切换。
但真正的变化是人们对在蜂窝网络和Wi-Fi网络之间自动切换通话时间的兴趣和产品不断增长。在企业级别,这种融合需要一个IP PBX,通常是一个会话发起协议(SIP)服务器、WLAN基础设施、新专业服务器以及在所谓的双模式手机上运行的客户端代码,这种手机既有蜂窝网络,也有Wi-Fi无线电台。