無(wú)線網(wǎng)絡(luò)的組建的誤區(qū)及安全性分析

標(biāo)簽：非法AP  無(wú)線網(wǎng)絡(luò)

無(wú)線網(wǎng)絡(luò)誤區(qū)

誤區(qū)一 信號(hào)越強(qiáng)越好

首先我們還是先來(lái)了解一下無(wú)線產(chǎn)品的幾個(gè)硬件指標(biāo)：發(fā)射功率、接受靈敏度及天線增益。目前無(wú)線網(wǎng)絡(luò)的主要略勢(shì)是在信號(hào)覆蓋范圍及傳輸速率上，通常增強(qiáng)信號(hào)的方法就是提高發(fā)射功率及加強(qiáng)天線增益。

發(fā)射功率：無(wú)線設(shè)備采用發(fā)射功率來(lái)衡量發(fā)射信號(hào)性能高低，發(fā)射功率越大，無(wú)線產(chǎn)品之間傳輸?shù)木嚯x也就越遠(yuǎn)，覆蓋范圍就越廣，穿透能力就越強(qiáng)。發(fā)射功率的度量單位為dbm。這個(gè)和我們生活中好使用的燈泡的道理大致是一樣的，瓦數(shù)越大，燈泡越亮，照射的范圍則更廣。

增益：增益是指天線加強(qiáng)信號(hào)的發(fā)射和接受的能力，增益越大，信號(hào)發(fā)射的能力越強(qiáng)，靈敏度越高。增益的度量單位為dbi，天線的尺寸大小、內(nèi)部的材料對(duì)天線增益有著很大的關(guān)系。

為什么說信號(hào)越強(qiáng)越好是個(gè)誤區(qū)呢?原因在于因?yàn)樾盘?hào)過強(qiáng)，所以它的范圍也就越大，則可控區(qū)域反而減小，對(duì)用戶的安全性反而降低。如：某個(gè)單位的死角，辦公區(qū)域的使用面積在300平米以上，用戶雖然可以接收到信號(hào)，但是他的安全性并不是最好的。

誤區(qū)二 標(biāo)準(zhǔn)越高越好

在無(wú)線產(chǎn)品中基于802.11n草案標(biāo)準(zhǔn)的產(chǎn)品是目前技術(shù)最先進(jìn)，信號(hào)覆蓋較遠(yuǎn)的產(chǎn)品。正是因?yàn)檫@樣很多企業(yè)在采購(gòu)設(shè)備的時(shí)候往往過于追求硬件指標(biāo)而，而忽視產(chǎn)品的易用性及價(jià)格。根據(jù)目前部分在市場(chǎng)中銷售的11n產(chǎn)品售價(jià)來(lái)看，大部分路由器產(chǎn)品的價(jià)格在1700-1900元之間，而基于11n的無(wú)線網(wǎng)卡也是在800-900元之間，售價(jià)都不菲。這樣的價(jià)格是一個(gè)怎樣的概念呢?

目前市場(chǎng)中銷售的基于802.11g的無(wú)線路由器的價(jià)格在200左右，11g的無(wú)線網(wǎng)卡在150元左右，比較起來(lái)11n產(chǎn)品是11g產(chǎn)品售價(jià)的7-8倍。雖然11N產(chǎn)品的技術(shù)領(lǐng)先，但因?yàn)閮r(jià)格及技術(shù)不成熟等因素我們并不推薦中小型企業(yè)使用，相比較11g的產(chǎn)品更適合中小型企業(yè)使用。

組建無(wú)線網(wǎng)絡(luò)的安全性

未經(jīng)授權(quán)訪問的用戶

我們知道無(wú)線信號(hào)都是在空氣中傳播的，只要是在信號(hào)覆蓋范圍內(nèi)，一些非法用戶就可以無(wú)需任何物理連接就可以獲取無(wú)線網(wǎng)絡(luò)的數(shù)據(jù)，因此，必須從多方面防止非法終端接入以及數(shù)據(jù)的泄漏問題。

解決辦法是使用身份驗(yàn)證來(lái)防止未經(jīng)授權(quán)用戶的訪問，換句話說就是使用各種加密手段來(lái)防止非法用戶入侵。綁定MAC地址是我們最常見最簡(jiǎn)單的方法，每塊無(wú)線網(wǎng)卡都擁有唯一的一個(gè)MAC地址，通過AP設(shè)置與網(wǎng)卡MAC地址的綁定來(lái)實(shí)現(xiàn)加密，但這種安全方式也就適用于對(duì)信息要求不高的家庭用戶，對(duì)于企業(yè)用戶，我們建議使用WEP和WPA兩種常見到的加密方式。

非法AP的接入訪問

除了未經(jīng)授權(quán)訪問的用戶會(huì)對(duì)無(wú)線局域網(wǎng)絡(luò)的安全性造成威脅之外，非法AP的接入訪問同樣會(huì)對(duì)整個(gè)網(wǎng)絡(luò)造成威脅。在無(wú)線AP接入有線集線器時(shí)，會(huì)遇到非法AP的攻擊，非法安裝的AP會(huì)危害無(wú)線網(wǎng)絡(luò)的寶貴資源。

解決方法可以利用對(duì)AP的合法性驗(yàn)證以及定期的站點(diǎn)審查來(lái)防止，在此驗(yàn)證過程中不但AP需要確認(rèn)無(wú)線用戶的合法性，無(wú)線終端設(shè)備也必須驗(yàn)證AP是否為虛假的訪問點(diǎn)，然后才能進(jìn)行通信。

病毒及黑客的攻擊

除以上兩點(diǎn)之外，病毒及黑客的攻擊也是會(huì)對(duì)無(wú)線局域網(wǎng)絡(luò)構(gòu)成威脅，很多網(wǎng)絡(luò)都有一套經(jīng)過精心設(shè)置的安全設(shè)備作為網(wǎng)絡(luò)的外殼，以防止非法攻擊，但是在外殼保護(hù)的網(wǎng)絡(luò)內(nèi)部確是非常的脆弱容易受到攻擊的。黑客可以通過簡(jiǎn)單配置就可快速地接入網(wǎng)絡(luò)主干，使網(wǎng)絡(luò)暴露在攻擊者面前，因此必須加強(qiáng)防范措施。即使有一定邊界安全設(shè)備的網(wǎng)絡(luò)，同樣也會(huì)使網(wǎng)絡(luò)暴露出來(lái)從而遭到攻擊。

常見的解決方法是加裝防火墻、將客戶端安裝升級(jí)和殺毒軟件等，另外還要將公司的無(wú)線網(wǎng)絡(luò)與核心網(wǎng)絡(luò)隔離。

服務(wù)和性能的限制

我們知道目前無(wú)線局域網(wǎng)的傳輸帶寬是有限的，與有線網(wǎng)絡(luò)相比還遠(yuǎn)遠(yuǎn)不夠，在實(shí)際使用過程中由于物理層的開銷，實(shí)際吞吐量也僅為標(biāo)準(zhǔn)的一半，并且實(shí)際吞吐量是被所有用戶所共享的。假如黑客從以太網(wǎng)發(fā)送大量ping，AP的帶寬會(huì)大量飽和，如果發(fā)送廣播流量，多個(gè)AP就同時(shí)會(huì)被阻塞，攻擊者可以在同無(wú)線網(wǎng)絡(luò)相同的無(wú)線信道內(nèi)發(fā)送信號(hào)，這樣被攻擊的網(wǎng)絡(luò)就會(huì)通過CSMA/CA機(jī)制進(jìn)行自動(dòng)適應(yīng)，同樣影響無(wú)線網(wǎng)絡(luò)的傳輸。

另外，傳輸較大的數(shù)據(jù)文件或者復(fù)雜的client/server系統(tǒng)都會(huì)產(chǎn)生很大的網(wǎng)絡(luò)流量。面對(duì)這種問題解決方法是，經(jīng)常進(jìn)行網(wǎng)絡(luò)監(jiān)測(cè)如果AP的質(zhì)量和信號(hào)狀況不穩(wěn)定時(shí)，建議用測(cè)試儀等設(shè)備檢測(cè)，這樣可以有效識(shí)別網(wǎng)絡(luò)速率、幀的類型，幫助進(jìn)行故障定位。

無(wú)線網(wǎng)絡(luò)的確方便了我們的生活，但是與此同時(shí)你是否考慮到了他的另一面呢?誤區(qū)是存在的，安全問題也是存在的，所以請(qǐng)讀者更多的關(guān)注自己所處的無(wú)線網(wǎng)絡(luò)環(huán)境。