这篇文章详细介绍了如何配置无线网络。在这里,我们给大家详细介绍一些最好的方法,希望对你有所帮助。
对于网络管理员来说,正确配置无线网络的重要性不言而喻。当然,有许多方法可以正确配置网络。笔者在这里介绍的这些方法不是捷径,但至少是最好的方法。这里,我们将按重要性顺序列出这三个建议:
I . SSID太多
运行多个SSID的缺点是什么?因为对于每个SSID,每个射频设备每秒发送信号大约十次。因此,如果用户在其环境中有五个SSID,用户将每秒进行50次无线传输。所有这些无线信号传输都占用了可用的无线介质,从而减少了可用的带宽。有些人可能会说,他们的组织需要为不同的用户组提供几个不同的SSID,以便将用户的通信逻辑地发送到不同的VLAN,或者利用不同的身份验证或加密机制(例如,内部员工可能会使用支持WPA2/AES的802.1X,临时客户的数据可能会未经加密就发送到强制网络门户。)
但是,我经常看到多个用户组使用相同的认证和加密方法,但是它们与不同的ssid相关(考虑一个大学的情况,其中大学生和教职员工以相同的方式认证无线网络,但是它们与不同的ssid相关)。在这种情况下,可以整合SSID,充分利用‘用户组’的概念。例如,学生和教师可以位于active directory中的不同组织单位。学生和教师使用相同的SSID登录无线网络。但是,当RADIUS服务器响应无线网络时,它会将组织单位作为RADIUS属性进行传输。无线网络将查看这些信息,并将最终用户归入适当的用户组(学生或教师)。无线网络可以为每个用户组创建特定的策略,并根据各种选项(包括端口、服务、时间、IP地址、IP范围等)授权或拒绝访问。).例如,只允许教师访问包含学生成绩信息的服务器的IP地址。
用户组可以减少无关SSID的数量,减少无线媒体的使用。这样就会减少无线信号的传输,从而降低网络的管理成本,增加可用的网络带宽。
第二,“隐藏”SSID广播
SSID代表服务集标志,即用户在扫描无线网络时在其计算机上看到的网络名称。在大多数接入点上,用户可以选择“隐藏”SSID,因此网络名称不再出现在无线传输的数据帧上。在Windows操作系统内置的无线检测软件中,这些网络不会显示为可用的网络连接选项。但是现在有太多的文章和专业人士认为,为了保护无线网络免受攻击,应该禁用SSID广播,因为这样做会增加一层保护。这些人认为攻击者会不断监控自己的网络,在征服网络加密和认证之前,他们必须花时间了解SSID,隐藏SSID会增加他们的攻击难度。
然而,我想知道这些人是否知道,有许多商业和免费软件可以快速破解所谓的'隐藏' SSID,如Kismet。还有Netstumbler。它可能无法完全解析SSID,但它会显示存在一个SSID为空的接入点。Netstumbler会发送主动探测请求,即使隐藏了SSID,根据IEEE标准,接入点仍然需要响应此类请求。虽然这个响应不包含真正的SSID,但它会包含其他有用的信息,如mac地址、信道号、信号强度等。攻击者可以利用这些信息作为攻击的跳板,就像他们找到真正的SSID后所做的那样。
还有一个问题。为了连接到无线网络,合法用户还需要知道SSID。隐藏SSID的广播往往会导致合法用户对要连接的网络感到困惑,这会造成很多麻烦。
简而言之,因为SSID很容易被检测到,所以隐藏SSID几乎不能提供安全机会。可以说,与其说是对攻击者的阻碍,不如说是对本单位合法用户的困扰。
3.时间切片无线入侵检测
在无线网络中配置入侵检测主要有两种方法,一种是通过专用的检测器,另一种是通过时间切片。不为工作站(笔记本电脑等)服务时。),使用时间分片的接入点会花一些时间扫描信道来提供入侵检测。许多无线产品每15秒扫描网络50毫秒。这个数字听起来很合理。但如果仔细计算,结果是每24小时大概只有不到五分钟的扫描时间,也就是说空闲时间太多了。
我该怎么办?可以使用特殊的检测设备。这个检测设备可以全天扫描网络。有两种类型的特殊测试设备,嵌入式和覆盖式。嵌入式检测器利用接入点或设备中的额外射频,它将向同一个WLAN控制器和管理平台报告,后者控制负责服务客户端接入的AP射频。覆盖检测器是一个独立的设备,它的制造商通常与AP接入点不同,它向自己独立的服务器报告。
