本文详细介绍了配置无线网络的各种方法。在这里,我们给大家详细介绍一些最好的方法,希望对你有所帮助。对于网络管理员来说,正确配置无线网络的重要性不言而喻。当然,要正确配置网络,
我们有很多方法。笔者在这里介绍的这些方法虽然不是‘捷径’,但至少属于最好的方法。这里,
我们将按照重要性的顺序列出这三个建议:1 .ssid太多运行多个ssid有什么坏处?因为对于每个SSID,每个射频设备每秒发送信号大约十次。因此,
如果用户环境中有五个SSID,用户每秒将进行50次无线传输。所有这些无线信号传输都占用了可用的无线介质,从而减少了可用的带宽。
有些人可能会说,他们的组织需要针对不同用户组的几个不同的SSID,以便在逻辑上将用户的通信发送到不同的VLAN,或者使用不同的认证或加密机制(例如,
内部员工可以使用支持WPA2/AES的802.1X,临时客户的数据可能会发送到未加密的强制网络门户。但是,我经常看到多个用户组使用相同的认证和加密方法。
但它是关于不同的ssid(考虑一所大学的情况,学生和工作人员以相同的方式认证无线网络,但它是关于不同的ssid)。在这种情况下,可以集成SSID,
还可以充分利用‘用户组’的概念。例如,学生和教师可以位于active directory中的不同组织单位。学生和教师使用相同的SSID登录无线网络。但是,当RADIUS服务器响应无线网络时,
它将组织单位作为RADIUS属性发送。无线网络将查看这些信息,并将最终用户归入适当的用户组(学生或教师)。无线网络可以为每个用户组创建特定的策略,
根据各种选项(包括端口、服务、时间、IP地址、IP范围等)授予或拒绝访问。).例如,只有教职员工才允许访问包含学生成绩信息的服务器的IP地址。使用用户组可以减少无关紧要的SSID的数量,
并减少无线媒体的使用。这样会减少无线信号的传输,降低网络的管理成本,增加网络可用带宽。第二,“隐藏的”SSID广播SSID代表服务集标志。
即用户扫描无线网络时在计算机上看到的网络名称。在大多数接入点上,用户可以选择“隐藏”SSID,因此网络名称不再出现在无线传输的数据帧中。在Windows操作系统内置的无线检测软件中,
这些网络不会显示为可用的网络连接选项。但是现在有太多的文章和专业人士认为应该禁用SSID的广播,以保护无线网络免受攻击,因为这样做会增加一层保护。这些人认为,
攻击者会不断地监视他们自己的网络,并且在征服网络加密和认证之前必须花时间了解SSID。隐藏SSID会增加他们攻击的难度。然而,我想知道这些人是否知道,
现在有很多商业和免费软件可以快速破解所谓的‘隐藏’SSID,比如Kismet。还有Netstumbler。它可能无法完全解析SSID,但它会显示存在一个SSID为空的接入点。
Netstumbler会发送一个主动探测请求,即使SSID是隐藏的,根据IEEE标准,接入点仍然需要响应这个请求。虽然这个响应不包含真正的SSID,但它将包含其他有用的信息。
例如MAC地址、信道号、信号强度等。攻击者可以使用这些信息作为攻击的跳板,就像他们在发现真实的SSID后所做的一样。还有一个问题是为了连接到无线网络,
也需要知道SSID.隐藏SSID的广播常常导致合法的用户搞不清楚要连接到的网络,这会造成不少麻烦。 总之,由于SSID可以很容易就被检测到,所以隐藏SSID几乎无法提供安全机会。可以说,
与其说它会成为攻击者的阻碍,倒不如说它成了自己单位的合法用户的麻烦。 三、时间分片的无线入侵检测执行配置无线网络的入侵检测有两种主要的方法,其种之一是通过一个专用的检测器,
另外一种方法是通过时间分片。在不为工作站(笔记本电脑等)服务时,使用时间分片的接入点会花费一段时间,扫描信道,以提供入侵检测功能。很多无线产品会每15秒扫描网络50毫秒。这个数字听起来比较合理。但是,
如果细细算来,其结果就是,每24个小时仅有大约不到五分钟的扫描时间,也就是说有太多的空闲时间。 该怎么办呢?可以使用专用的检测设备。这种检测设备可以全天候扫描网络。共有两种类型的专用检测设备,
嵌入式与覆盖式。嵌入式检测器利用接入点或设备内的额外的射频,它会向同样的WLAN控制器和管理平台报告,这些控制器和管理平台控制着负责为客户端的访问服务的AP射频。而覆盖式检测器是独立的设备,
它的制造商通常与AP接入点不同,并向它自己的独立服务器报告。
