Amerykański Duke University buduje największą na świecie sieć kampusową LAN opartą na drafcie standardu IEEE. Gdyby był Pan studentem tej uczelni i chciał się włamać do nowej sieci 802.11n, jakby Pan to zrobił

Mogę przedstawić pewne kroki, które atakujący zapewne by podjął:

1. GOOGLE. Wpisanie w wyszukiwarce „site:duke.edu wireless” daje interesujące wyniki. Wśród nich między innymi FAQ o sieci, instrukcja krok po kroku jak skonfigurować komputer, aby się do niej podłączyć itp. Dowiadujemy się poza tym, że sieć wykorzystuje NetReg (open source) do kontroli dostępu. SSID jest nieukryty.
2. Decyzja o sposobie ataku. Zawsze jest kilka możliwych opcji. Napastnik może próbować przechwycić nieszyfrowane transmisje dzięki narzędziom takim jak Kismet lub Wireshark. Jeśli studenci wykorzystują stronę intranetową do logowania, to wówczas haker może przeprowadzić atak typu man-in-the-middle dzięki np. Ettercap. Spreparowana odpowiednio strona pozwoli na przejęcie danych niezbędnych do uwierzytelnienia w kampusowej sieci. Często ignorowane pliki cookie to także bogate źródło informacji dla hakera.
3. Włamanie. Powyższe kroki wykorzystują największą słabość sieci uczelnianych. Studenci korzystają z bardzo różnorodnego, własnego sprzętu, który musi zostać przez daną sieć obsłużony. Trudno w takiej sytuacji mówić o możliwości zastosowania ujednoliconych zasad bezpieczeństwa. Ciężko wdrożyć skomplikowane mechanizmy szyfrowania i uwierzytelniania. Jako były administrator podobnej sieci, wiem coś o tym.

Czy nadal użycie IPSec VPN uważane jest za najlepszą praktykę, nawet wówczas gdy mamy w pełni wdrożony WPA2/EAP

W takiej sytuacji radziłbym nie używać IPSec. Wprowadzenie wielokrotnego szyfrowania może negatywnie wpłynąć na wydajność sieci i komfort pracy. Stosunkowo proste urządzenia (PDA, VoIP telefony) mogą mieć problemy ze zbyt złożonym szyfrowaniem. Nawet w przypadku laptopów, szyfrowanie AES-CCMP (WPA2) i IPSec spowoduje znaczne obciążenie procesora. Skutek będzie prosty – niezadowolony użytkownik. Moim zdaniem WPA2 i PEAP, TTLS czy EAP/TLS porządnie skonfigurowany jest w stanie zapewnić odpowiednie bezpieczeństwo.

Czy sądzi Pan, że 11n będzie bardziej bezpieczne niż standardy a/b/g, czy raczej kwestia bezpieczeństwa zostanie pozostawiona użytkownikowi

802.11n to w najbliższej perspektywie więcej zagrożeń. Przynajmniej do momentu, gdy standard dojrzeje i się ustabilizuje. Nie jest on jednak bezpieczniejszy od poprzednich. Pozwala na szybsze transmisje, wprowadza MIMO. Użytkownik będzie zadowolony, że jego sieć jest efektywniejsza. Niestety, obecnie 802.11n jest w ciągłej fazie rozwoju i sporo czasu jeszcze upłynie, zanim ten standard się upowszechni.

Na czym, Pana zdaniem, polega największy problem przy zabezpieczaniu sieci bezprzewodowej

Zarządzanie bezpieczeństwem stacji klienckich jest niewątpliwie najtrudniejszym wyzwaniem. Źle skonfigurowane urządzenia, niewłaściwe ustawienia, sieci ad-hoc, błędy w sterownikach to wszystko, co należy wziąć pod uwagę, zabezpieczając klienta sieci. Przedsiębiorstwa mogą wspomagać się na przykład Windows Server 2003 Group Policy, ale ta metoda jest skuteczna tylko wtedy, gdy nałożymy na naszych użytkowników restrykcyjne zasady grupy.