IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當前所在位置:首頁系統(tǒng)集成網(wǎng)絡(luò)管理 → 網(wǎng)管員配置WLAN時易犯的三個低級錯誤

網(wǎng)管員配置WLAN時易犯的三個低級錯誤

時間:2015/6/28來源:IT貓撲網(wǎng)作者:網(wǎng)管聯(lián)盟我要評論(0)

  對于網(wǎng)管員來說,正確配置無線網(wǎng)絡(luò)的重要性不言而喻。當然,要正確配置一個網(wǎng)絡(luò),我們有很多方法。筆者在這里介紹的這些方法并非"捷徑",但起碼屬于最佳方法。在此,我們將依照重要性列示這三個建議:

  一、SSID過多

  運行多個SSID有哪些壞處呢?因為每個無線射頻設(shè)備對每個SSID每秒鐘就要發(fā)送大約十次信號。因而,如果用戶的環(huán)境中擁有五個SSID,那么每秒鐘用戶將進行50次無線發(fā)送。所有的這些無線信號發(fā)送都占用可用的無線媒體,因而會減少可用的帶寬數(shù)量。有人也許會說自己的單位需要幾個不同的SSID用于不同的用戶組,目的是為了從邏輯上將用戶的通信發(fā)送到不同的VLAN,或者是利用不同的身份驗證或加密機制(例如,內(nèi)部的雇員可能使用支持WPA2/AES的802.1X,臨時客戶的數(shù)據(jù)可能被發(fā)送到?jīng)]有加密的強制網(wǎng)絡(luò)入口。)

  但是,筆者經(jīng)?吹蕉鄠用戶組使用相同的身份驗證和加密方法,但卻是關(guān)于不同的SSID的(不妨考慮一下一所大學的情形,大學學生和教職員工對無線網(wǎng)絡(luò)的身份驗證是以同樣的的方式進行的,但卻是關(guān)于不同的SSID的)。在這種情形中,整合SSID是可能的,還可以充分利用"用戶組" 的概念。例如,學生和教工可位于活動目錄中的不同的組織單元中。學生和教工以同樣的SSID登錄進入無線網(wǎng)絡(luò)。但是,在RADIUS服務(wù)器對無線網(wǎng)作出響應(yīng)時,它會將組織單元作為一種RADIUS屬性而傳送。無線網(wǎng)絡(luò)會查看這種信息,并將終端用戶放置到恰當?shù)挠脩艚M(學生或教工)中。無線網(wǎng)絡(luò)可以為每一個用戶組創(chuàng)建特定的策略,根據(jù)多種選項(包括端口、服務(wù)、時間、IP地址、IP范圍等)來準許或拒絕訪問。例如,僅準許教工可以訪問包含學生等級信息的服務(wù)器的IP地址。

  利用用戶組可以減少無關(guān)緊要的SSID的數(shù)量,并減少無線媒體的使用。如此一來,無線信號的發(fā)送便會減少,因而會降低網(wǎng)絡(luò)的管理成本并增加可用的網(wǎng)絡(luò)帶寬。

  二、"隱藏"SSID廣播

  SSID代表著服務(wù)集標志,即用戶掃描無線網(wǎng)絡(luò)時在計算機上看到的網(wǎng)絡(luò)名稱。在多數(shù)接入點上都有一個選項讓用戶"隱藏"SSID,因而網(wǎng)絡(luò)名稱在無線傳輸?shù)臄?shù)據(jù)幀上不再出現(xiàn)。在Windows操作系統(tǒng)中內(nèi)置的無線檢測軟件中,這些網(wǎng)絡(luò)并不作為可用的網(wǎng)絡(luò)連接選項而出現(xiàn)。但現(xiàn)在有太多的文章和專業(yè)人士認為應(yīng)當禁用SSID的廣播,目的是可以保護無線網(wǎng)絡(luò)免受攻擊,因為這樣做會增加一層保護。這些人認為,攻擊者會不斷地監(jiān)視自己的網(wǎng)絡(luò)、攻克網(wǎng)絡(luò)加密和身份驗證之前,必須花費時間知道SSID,隱藏SSID會增加其攻擊的難度。

  但是,不知這些人士是否知道,如今有不少商業(yè)及免費的軟件可以快速地破解所謂的"隱藏"的SSID,如Kismet。還有Netstumbler,它也許無法完全解析SSID,但是它會顯示一個空SSID的接入點的存在。Netstumbler會發(fā)送活動的探測請求,即使SSID被隱藏了,根據(jù)IEEE的標準,仍要求接入點響應(yīng)這種請求。雖然這種響應(yīng)并不包含真實的SSID,但它會包含其它的有用信息,如MAC地址、信道號、信號強度等。攻擊者可以使用這種信息作為攻擊的跳板,這正如在攻擊者發(fā)現(xiàn)了真實的SSID之后所做的一樣。

  還有一個問題,合法用戶為了連接到無線網(wǎng)絡(luò),也需要知道SSID。隱藏SSID的廣播常常導致合法的用戶搞不清楚要連接到的網(wǎng)絡(luò),這會造成不少麻煩。

  總之,由于SSID可以很容易就被檢測到,所以隱藏SSID幾乎無法提供安全機會?梢哉f,與其說它會成為攻擊者的阻礙,倒不如說它成了自己單位的合法用戶的麻煩。

  三、時間分片的無線入侵檢測

  執(zhí)行無線網(wǎng)絡(luò)的入侵檢測有兩種主要的方法,其種之一是通過一個專用的檢測器,另外一種方法是通過時間分片。在不為工作站(筆記本電腦等)服務(wù)時,使用時間分片的接入點會花費一段時間,掃描信道,以提供入侵檢測功能。很多無線產(chǎn)品會每15秒掃描網(wǎng)絡(luò)50毫秒。這個數(shù)字聽起來比較合理。但是,如果細細算來,其結(jié)果就是,每24個小時僅有大約不到五分鐘的掃描時間,也就是說有太多的空閑時間。

  該怎么辦呢?筆者以為,可以使用專用的檢測設(shè)備。這種檢測設(shè)備可以全天候掃描網(wǎng)絡(luò)。共有兩種類型的專用檢測設(shè)備,嵌入式與覆蓋式。嵌入式檢測器利用接入點或設(shè)備內(nèi)的額外的射頻,它會向同樣的WLAN控制器和管理平臺報告,這些控制器和管理平臺控制著負責為客戶端的訪問服務(wù)的AP射頻。而覆蓋式檢測器是獨立的設(shè)備,它的制造商通常與AP接入點不同,并向它自己的獨立服務(wù)器報告。

  筆者個人更喜歡嵌入式檢測器,因為這種設(shè)備減少了線纜數(shù)量、交換機端口的數(shù)量、安裝時間等。使用來自同一制造商的AP和檢測器還有其它好處,特別是涉及到單點支持、降低維護成本時更是這個樣。但是最重要的是,可以使用任何專用的檢測器,卻不要用依賴于時間分片的無線入侵檢測系統(tǒng)。

  以上為筆者所認為的網(wǎng)絡(luò)管理員常犯的三大錯誤,你以為如何?

關(guān)鍵詞標簽:WLAN

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 路由器地址大全-各品牌路由設(shè)置地址路由器地址大全-各品牌路由設(shè)置地址各品牌的ADSL與路由器出廠默認IP、帳號、密各品牌的ADSL與路由器出廠默認IP、帳號、密Nslookup命令詳解-域名DNS診斷Nslookup命令詳解-域名DNS診斷站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件

相關(guān)下載

人氣排行 各品牌的ADSL與路由器出廠默認IP、帳號、密碼路由器地址大全-各品牌路由設(shè)置地址騰達路由器怎么設(shè)置?騰達路由器設(shè)置教程ADSL雙線負載均衡設(shè)置詳細圖文教程路由表說明(詳解route print)網(wǎng)管員實際工作的一天用此方法讓2M帶寬下載速度達到250K/S左右網(wǎng)管必會!了解交換機控制端口流量