综合精品欧美日韩国产在线,久久综合给合久久狠,欧美日韩AⅤ在线视频

您當(dāng)前所在位置：首頁(yè) → 系統(tǒng)集成 → 網(wǎng)絡(luò)管理 → 網(wǎng)管員配置WLAN時(shí)易犯的三個(gè)低級(jí)錯(cuò)誤

網(wǎng)管員配置WLAN時(shí)易犯的三個(gè)低級(jí)錯(cuò)誤 時(shí)間：2015-06-28 00:00:00 來(lái)源：IT貓撲網(wǎng) 作者：網(wǎng)管聯(lián)盟 我要評(píng)論(1)

　　對(duì)于網(wǎng)管員來(lái)說(shuō)，正確配置無(wú)線網(wǎng)絡(luò)的重要性不言而喻。當(dāng)然，要正確配置一個(gè)網(wǎng)絡(luò)，我們有很多方法。筆者在這里介紹的這些方法并非"捷徑"，但起碼屬于最佳方法。在此，我們將依照重要性列示這三個(gè)建議：

　　一、SSID過(guò)多

　　運(yùn)行多個(gè)SSID有哪些壞處呢?因?yàn)槊總€(gè)無(wú)線射頻設(shè)備對(duì)每個(gè)SSID每秒鐘就要發(fā)送大約十次信號(hào)。因而，如果用戶的環(huán)境中擁有五個(gè)SSID，那么每秒鐘用戶將進(jìn)行50次無(wú)線發(fā)送。所有的這些無(wú)線信號(hào)發(fā)送都占用可用的無(wú)線媒體，因而會(huì)減少可用的帶寬數(shù)量。有人也許會(huì)說(shuō)自己的單位需要幾個(gè)不同的SSID用于不同的用戶組，目的是為了從邏輯上將用戶的通信發(fā)送到不同的VLAN，或者是利用不同的身份驗(yàn)證或加密機(jī)制(例如，內(nèi)部的雇員可能使用支持WPA2/AES的802.1X，臨時(shí)客戶的數(shù)據(jù)可能被發(fā)送到?jīng)]有加密的強(qiáng)制網(wǎng)絡(luò)入口。)

　　但是，筆者經(jīng)常看到多個(gè)用戶組使用相同的身份驗(yàn)證和加密方法，但卻是關(guān)于不同的SSID的(不妨考慮一下一所大學(xué)的情形，大學(xué)學(xué)生和教職員工對(duì)無(wú)線網(wǎng)絡(luò)的身份驗(yàn)證是以同樣的的方式進(jìn)行的，但卻是關(guān)于不同的SSID的)。在這種情形中，整合SSID是可能的，還可以充分利用"用戶組" 的概念。例如，學(xué)生和教工可位于活動(dòng)目錄中的不同的組織單元中。學(xué)生和教工以同樣的SSID登錄進(jìn)入無(wú)線網(wǎng)絡(luò)。但是，在RADIUS服務(wù)器對(duì)無(wú)線網(wǎng)作出響應(yīng)時(shí)，它會(huì)將組織單元作為一種RADIUS屬性而傳送。無(wú)線網(wǎng)絡(luò)會(huì)查看這種信息，并將終端用戶放置到恰當(dāng)?shù)挠脩艚M(學(xué)生或教工)中。無(wú)線網(wǎng)絡(luò)可以為每一個(gè)用戶組創(chuàng)建特定的策略，根據(jù)多種選項(xiàng)(包括端口、服務(wù)、時(shí)間、IP地址、IP范圍等)來(lái)準(zhǔn)許或拒絕訪問(wèn)。例如，僅準(zhǔn)許教工可以訪問(wèn)包含學(xué)生等級(jí)信息的服務(wù)器的IP地址。

　　利用用戶組可以減少無(wú)關(guān)緊要的SSID的數(shù)量，并減少無(wú)線媒體的使用。如此一來(lái)，無(wú)線信號(hào)的發(fā)送便會(huì)減少，因而會(huì)降低網(wǎng)絡(luò)的管理成本并增加可用的網(wǎng)絡(luò)帶寬。

　　二、"隱藏"SSID廣播

　　SSID代表著服務(wù)集標(biāo)志，即用戶掃描無(wú)線網(wǎng)絡(luò)時(shí)在計(jì)算機(jī)上看到的網(wǎng)絡(luò)名稱。在多數(shù)接入點(diǎn)上都有一個(gè)選項(xiàng)讓用戶"隱藏"SSID，因而網(wǎng)絡(luò)名稱在無(wú)線傳輸?shù)臄?shù)據(jù)幀上不再出現(xiàn)。在Windows操作系統(tǒng)中內(nèi)置的無(wú)線檢測(cè)軟件中，這些網(wǎng)絡(luò)并不作為可用的網(wǎng)絡(luò)連接選項(xiàng)而出現(xiàn)。但現(xiàn)在有太多的文章和專業(yè)人士認(rèn)為應(yīng)當(dāng)禁用SSID的廣播，目的是可以保護(hù)無(wú)線網(wǎng)絡(luò)免受攻擊，因?yàn)檫@樣做會(huì)增加一層保護(hù)。這些人認(rèn)為，攻擊者會(huì)不斷地監(jiān)視自己的網(wǎng)絡(luò)、攻克網(wǎng)絡(luò)加密和身份驗(yàn)證之前，必須花費(fèi)時(shí)間知道SSID，隱藏SSID會(huì)增加其攻擊的難度。

　　但是，不知這些人士是否知道，如今有不少商業(yè)及免費(fèi)的軟件可以快速地破解所謂的"隱藏"的SSID，如Kismet。還有Netstumbler，它也許無(wú)法完全解析SSID，但是它會(huì)顯示一個(gè)空SSID的接入點(diǎn)的存在。Netstumbler會(huì)發(fā)送活動(dòng)的探測(cè)請(qǐng)求，即使SSID被隱藏了，根據(jù)IEEE的標(biāo)準(zhǔn)，仍要求接入點(diǎn)響應(yīng)這種請(qǐng)求。雖然這種響應(yīng)并不包含真實(shí)的SSID，但它會(huì)包含其它的有用信息，如MAC地址、信道號(hào)、信號(hào)強(qiáng)度等。攻擊者可以使用這種信息作為攻擊的跳板，這正如在攻擊者發(fā)現(xiàn)了真實(shí)的SSID之后所做的一樣。

　　還有一個(gè)問(wèn)題，合法用戶為了連接到無(wú)線網(wǎng)絡(luò)，也需要知道SSID。隱藏SSID的廣播常常導(dǎo)致合法的用戶搞不清楚要連接到的網(wǎng)絡(luò)，這會(huì)造成不少麻煩。

　　總之，由于SSID可以很容易就被檢測(cè)到，所以隱藏SSID幾乎無(wú)法提供安全機(jī)會(huì)?？梢哉f(shuō)，與其說(shuō)它會(huì)成為攻擊者的阻礙，倒不如說(shuō)它成了自己?jiǎn)挝坏暮戏ㄓ脩舻穆闊?/p>

　　三、時(shí)間分片的無(wú)線入侵檢測(cè)

　　執(zhí)行無(wú)線網(wǎng)絡(luò)的入侵檢測(cè)有兩種主要的方法，其種之一是通過(guò)一個(gè)專用的檢測(cè)器，另外一種方法是通過(guò)時(shí)間分片。在不為工作站(筆記本電腦等)服務(wù)時(shí)，使用時(shí)間分片的接入點(diǎn)會(huì)花費(fèi)一段時(shí)間，掃描信道，以提供入侵檢測(cè)功能。很多無(wú)線產(chǎn)品會(huì)每15秒掃描網(wǎng)絡(luò)50毫秒。這個(gè)數(shù)字聽(tīng)起來(lái)比較合理。但是，如果細(xì)細(xì)算來(lái)，其結(jié)果就是，每24個(gè)小時(shí)僅有大約不到五分鐘的掃描時(shí)間，也就是說(shuō)有太多的空閑時(shí)間。

　　該怎么辦呢?筆者以為，可以使用專用的檢測(cè)設(shè)備。這種檢測(cè)設(shè)備可以全天候掃描網(wǎng)絡(luò)。共有兩種類型的專用檢測(cè)設(shè)備，嵌入式與覆蓋式。嵌入式檢測(cè)器利用接入點(diǎn)或設(shè)備內(nèi)的額外的射頻，它會(huì)向同樣的WLAN控制器和管理平臺(tái)報(bào)告，這些控制器和管理平臺(tái)控制著負(fù)責(zé)為客戶端的訪問(wèn)服務(wù)的AP射頻。而覆蓋式檢測(cè)器是獨(dú)立的設(shè)備，它的制造商通常與AP接入點(diǎn)不同，并向它自己的獨(dú)立服務(wù)器報(bào)告。

　　筆者個(gè)人更喜歡嵌入式檢測(cè)器，因?yàn)檫@種設(shè)備減少了線纜數(shù)量、交換機(jī)端口的數(shù)量、安裝時(shí)間等。使用來(lái)自同一制造商的AP和檢測(cè)器還有其它好處，特別是涉及到單點(diǎn)支持、降低維護(hù)成本時(shí)更是這個(gè)樣。但是最重要的是，可以使用任何專用的檢測(cè)器，卻不要用依賴于時(shí)間分片的無(wú)線入侵檢測(cè)系統(tǒng)。

　　以上為筆者所認(rèn)為的網(wǎng)絡(luò)管理員常犯的三大錯(cuò)誤，你以為如何?

關(guān)鍵詞標(biāo)簽：WLAN

相關(guān)閱讀

文章評(píng)論

查看所有1條評(píng)論>>