对于网管员来说,正确配置无线网络的重要性不言而喻。当然,要正确配置一个网络,我们
有很多方法。笔者在这里介绍的这些方法并非“捷径”,但起码属于最佳方法。在此,我们将依照重要性列示这三个建议:
一、SSID过多
运行多个SSID有哪些坏处呢?因为每个无线射频设备对每个SSID每秒钟就要发送大约十次信号。因而,如果用户的环境中拥有五个SSID,那 么每秒钟用户将进行50次无线发送。所有的这些无线信号发送都占用可用的无线媒体,因而会减少可用的带宽数量。有人也许会说自己的单位需要几个不同的 SSID用于不同的用户组,目的是为了从逻辑上将用户的通信发送到不同的VLAN,或者是利用不同的身份验证或加密机制(例如,内部的雇员可能使用支持 WPA2/AES的802.1X,临时客户的数据可能被发送到没有加密的强制网络入口。)
但是,笔者经常看到多个用户组使用相同的身份验证和加密方法,但却是关于不同的SSID的(不妨考虑一下一所大学的情形,大学学生和教职员工对 无线网络的身份验证是以同样的的方式进行的,但却是关于不同的SSID的)。在这种情形中,整合SSID是可能的,还可以充分利用“用户组” 的概念。例如,学生和教工可位于活动目录中的不同的组织单元中。学生和教工以同样的SSID登录进入无线网络。但是,在RADIUS服务器对无线网作出响应时,它会将组织单元作为一种RADIUS属性而传送。无线网络会查看这种信息,并将终端 用户放置到恰当的用户组(学生或教工)中。无线网络可以为每一个用户组创建特定的策略,根据多种选项(包括端口、服务、时间、IP地址、IP范围等)来准 许或拒绝访问。例如,仅准许教工可以访问包含学生等级信息的服务器的IP地址。
利用用户组可以减少无关紧要的SSID的数量,并减少无线媒体的使用。如此一来,无线信号的发送便会减少,因而会降低网络的管理成本并增加可用 的网络带宽。
二、“隐藏”SSID广播
SSID代表着服务集标志,即用户扫描无线网络时在计算机上看到的网络名称。在多数接入点上都有一个选项让用户“隐藏”SSID,因而网络名称 在无线传输的数据帧上不再出现。在Windows操作系统中内置 的无线检测软件中,这些网络并不作为可用的网络连接选项而出现。但现在有太多的文章和专业人士认为应当禁用SSID的广播,目的是可以保护无线网络免受攻 击,因为这样做会增加一层保护。这些人认为,攻击者会不断地监视自己的网络、攻克网络加密和身份验证之前,必须花费时间知道SSID,隐藏SSID会增加 其攻击的难度。
但是,不知这些人士是否知道,如今有不少商业及免费的软件可以快速地破解所谓的“隐藏”的SSID,如Kismet。还有 Netstumbler,它也许无法完全解析SSID,但是它会显示一个空SSID的接入点的存在。Netstumbler会发送活动的探测请求,即使 SSID被隐藏了,根据IEEE的标准,仍要求接入点响应这种请求。虽然这种响应并不包含真实的SSID,但它会包含其它的有用信息,如MAC地址、信道 号、信号强度等。攻击者可以使用这种信息作为攻击的跳板,这正如在攻击者发现了真实的SSID之后所做的一样。
还有一个问题,合法用户为了连接到无线网络,也需要知道SSID。隐藏SSID的广播常常导致合法的用户搞不清楚要连接到的网络,这会造成不少 麻烦。
总之,由于SSID可以很容易就被检测到,所以隐藏SSID几乎无法提供安全机会。可以说,与其说它 会成为攻击者的阻碍,倒不如说它成了自己单位的合法用户的麻烦。
三、时间分片的无线入侵检测
执行无线网络的入侵检测有两种主要的方法,其种之一是通过一个专用的检测器,另外一种方法是通过时间分片。在不为工作站(笔记本电脑等)服务 时,使用时间分片的接入点会花费一段时间,扫描信道,以提供入侵检测功能。很多无线产品会每15秒扫描网络50毫秒。这个数字听起来比较合理。但是,如果 细细算来,其结果就是,每24个小时仅有大约不到五分钟的扫描时间,也就是说有太多的空闲时间。
该怎么办呢?笔者以为,可以使用专用的检测设备。这种检测设备可以全天候扫描网络。共有两种类型的专用检测设备,嵌入式与覆盖式。嵌入式检测器利用接入点或设备内的额 外的射频,它会向同样的WLAN控制器和管理平台报告,这些控制器和管理平台控制着负责为客户端的访问服务的AP射频。而覆盖式检测器是独立的设备,它的 制造商通常与AP接入点不同,并向它自己的独立服务器报告。
笔者个人更喜欢嵌入式检测器,因为这种设备减少了线缆数量、交换机端口 的数量、安装时间等。使用来自同一制造商的AP和检测器还有其它好处,特别是涉及到单点支持、降低维护成本时更是这个样。但是最重要的是,可以使用任何专 用的检测器,却不要用依赖于时间分片的无线入侵检测系统。
以上为笔者所认为的网络管理员常犯的三大错误,你以为如何?
运行多个SSID有哪些坏处呢?因为每个无线射频设备对每个SSID每秒钟就要发送大约十次信号。因而,如果用户的环境中拥有五个SSID,那 么每秒钟用户将进行50次无线发送。所有的这些无线信号发送都占用可用的无线媒体,因而会减少可用的带宽数量。有人也许会说自己的单位需要几个不同的 SSID用于不同的用户组,目的是为了从逻辑上将用户的通信发送到不同的VLAN,或者是利用不同的身份验证或加密机制(例如,内部的雇员可能使用支持 WPA2/AES的802.1X,临时客户的数据可能被发送到没有加密的强制网络入口。)
但是,笔者经常看到多个用户组使用相同的身份验证和加密方法,但却是关于不同的SSID的(不妨考虑一下一所大学的情形,大学学生和教职员工对 无线网络的身份验证是以同样的的方式进行的,但却是关于不同的SSID的)。在这种情形中,整合SSID是可能的,还可以充分利用“用户组” 的概念。例如,学生和教工可位于活动目录中的不同的组织单元中。学生和教工以同样的SSID登录进入无线网络。但是,在RADIUS服务器对无线网作出响应时,它会将组织单元作为一种RADIUS属性而传送。无线网络会查看这种信息,并将终端 用户放置到恰当的用户组(学生或教工)中。无线网络可以为每一个用户组创建特定的策略,根据多种选项(包括端口、服务、时间、IP地址、IP范围等)来准 许或拒绝访问。例如,仅准许教工可以访问包含学生等级信息的服务器的IP地址。
利用用户组可以减少无关紧要的SSID的数量,并减少无线媒体的使用。如此一来,无线信号的发送便会减少,因而会降低网络的管理成本并增加可用 的网络带宽。
二、“隐藏”SSID广播
SSID代表着服务集标志,即用户扫描无线网络时在计算机上看到的网络名称。在多数接入点上都有一个选项让用户“隐藏”SSID,因而网络名称 在无线传输的数据帧上不再出现。在Windows操作系统中内置 的无线检测软件中,这些网络并不作为可用的网络连接选项而出现。但现在有太多的文章和专业人士认为应当禁用SSID的广播,目的是可以保护无线网络免受攻 击,因为这样做会增加一层保护。这些人认为,攻击者会不断地监视自己的网络、攻克网络加密和身份验证之前,必须花费时间知道SSID,隐藏SSID会增加 其攻击的难度。
但是,不知这些人士是否知道,如今有不少商业及免费的软件可以快速地破解所谓的“隐藏”的SSID,如Kismet。还有 Netstumbler,它也许无法完全解析SSID,但是它会显示一个空SSID的接入点的存在。Netstumbler会发送活动的探测请求,即使 SSID被隐藏了,根据IEEE的标准,仍要求接入点响应这种请求。虽然这种响应并不包含真实的SSID,但它会包含其它的有用信息,如MAC地址、信道 号、信号强度等。攻击者可以使用这种信息作为攻击的跳板,这正如在攻击者发现了真实的SSID之后所做的一样。
还有一个问题,合法用户为了连接到无线网络,也需要知道SSID。隐藏SSID的广播常常导致合法的用户搞不清楚要连接到的网络,这会造成不少 麻烦。
总之,由于SSID可以很容易就被检测到,所以隐藏SSID几乎无法提供安全机会。可以说,与其说它 会成为攻击者的阻碍,倒不如说它成了自己单位的合法用户的麻烦。
三、时间分片的无线入侵检测
执行无线网络的入侵检测有两种主要的方法,其种之一是通过一个专用的检测器,另外一种方法是通过时间分片。在不为工作站(笔记本电脑等)服务 时,使用时间分片的接入点会花费一段时间,扫描信道,以提供入侵检测功能。很多无线产品会每15秒扫描网络50毫秒。这个数字听起来比较合理。但是,如果 细细算来,其结果就是,每24个小时仅有大约不到五分钟的扫描时间,也就是说有太多的空闲时间。
该怎么办呢?笔者以为,可以使用专用的检测设备。这种检测设备可以全天候扫描网络。共有两种类型的专用检测设备,嵌入式与覆盖式。嵌入式检测器利用接入点或设备内的额 外的射频,它会向同样的WLAN控制器和管理平台报告,这些控制器和管理平台控制着负责为客户端的访问服务的AP射频。而覆盖式检测器是独立的设备,它的 制造商通常与AP接入点不同,并向它自己的独立服务器报告。
笔者个人更喜欢嵌入式检测器,因为这种设备减少了线缆数量、交换机端口 的数量、安装时间等。使用来自同一制造商的AP和检测器还有其它好处,特别是涉及到单点支持、降低维护成本时更是这个样。但是最重要的是,可以使用任何专 用的检测器,却不要用依赖于时间分片的无线入侵检测系统。
以上为笔者所认为的网络管理员常犯的三大错误,你以为如何?