您的位置: 网界网 > 周报全文 > 正文

[周报全文]Wi-Fi应用需避免的8个错误

2015年07月15日 14:47:13 | 作者:CNW.com.cn | 来源:网界网

摘要:当Wi-Fi能正常工作时,它的功能非常棒;当它安全的时候,就更没问题。但是尽管设置Wi-Fi看起来简单,其实里面的道道还是蛮多的。比方说,假如没有做过全面的勘测,没有好好设计整体布局和维护措施,或者忽略了安全问题等,都可能...

标签
应用
Wi-Fi

Wi-Fi能正常工作时,它的功能非常棒;当它安全的时候,就更没问题。但是尽管设置Wi-Fi看起来简单,其实里面的道道还是蛮多的。比方说,假如没有做过全面的勘测,没有好好设计整体布局和维护措施,或者忽略了安全问题等,都可能引发严重的后果。本文要介绍的就是如何避免最有可能犯的Wi-Fi部署和设置错误。

一个成功的无线网络需要仔细的分析,精心的设计和规划,还有日常维护,而所有这些都会涉及到现场勘测。

1现场勘测需要环绕部署场所行走,捕捉Wi-Fi和RF射频数据,以便获得来自无线接入点(AP)、邻近的网络,以及其他RF源的信号、噪音和干扰等基准读数。根据勘测的结果便可进行分析工作,以确定一些基础要素:最佳的AP布点位置、信道和功耗水平等。这些要素也可根据构建网络所需要的一些参数来确定,这些参数包括无线网络的覆盖范围、数据传输速率、网络容量,以及漫游能力等。

对于较小的楼宇或办公区域来说,现场勘测可以手持Wi-Fi或频谱分析仪边走边进行,然后进行记录。但是对于大型楼宇和较大的办公区域来说,利用图纸进行现场勘测就很重要了。一般可将楼层平面图上载到某个软件中,边走边捕获数据,然后在各种热图上查看勘测结果。这种方式可以提供一种非常直观的效果,可以清楚地看到信号和噪音的等级,以及信号是如何传播的。

然而,尽管在网络的初期部署阶段做好了全面的现场勘测和所有适当的分析、规划和设计,但这也不意味着一旦部署完毕,工作就算结束了,定期进行现场勘测仍然是需要的。因为这样做可以从中看出是否需要进行调整。而干扰、邻近网络的变化、使用Wi-Fi方式的变化等因素都可能对网络的性能产生重大影响。

相邻无线网络的变化可能引发信道共同频干扰,尽管这一点你无法控制,但也可以通过调整网络中各AP所使用的信道来避免干扰。还有一些情况也可能改变无线网络的安全性。例如,无线AP被重置,或者用户把自己的无线路由器或AP带进网络并自行安装等。

2不要忽略高级设置。在勘测、设计和部署阶段,除了必须确定一些基本的AP设置,如信道设置之外,看看其他设置参数也很容易。应该发现和探索AP的所有设置参数。看看有哪些独特的功能支持可以帮助提升性能。例如,转向5GHz频段,或者设置IPS/IDS以增强安全性等。

也可以看看一些用来调谐Wi-Fi的常用高级设置参数,例如信道宽度、可支持的数据传输率、信标间隔,以及碎片与RTS的阈值等。还可考虑使用如下一些常用特性来降低开销,提升速率:缩短前导码长,缩短时隙与保护区间,以及帧聚合等。

3对小型企业和组织来说,简单的Wi-Fi保护接入(WPA/WPA2)个人模式,或者说预共享密钥(PSK)模式要比企业模式更有吸引力。因为用个人模式只须数秒便可设定Wi-Fi密码,而大多数用户都知道只有通过这一步骤才能进行Wi-Fi上网。而企业模式的Wi-Fi安全设置起来就没有这么方便了。你必须设置一台RADIUS服务器用于802.1X认证,然后还得为用户创建并提供唯一的登录证书。

不过,Wi-Fi安全的个人模式实际上一般需要长期进行安全维护才行。因为每个员工只有一个密码,所以至少应该在每当有员工辞职时修改密码,或者每当有用户丢失Wi-Fi设备时要修改密码,如此方能保障网络的安全。如果不修改密码,那么前雇员或者窃贼就可以长驱直入原来的工作区,很轻松地连入企业的Wi-Fi。

Wi-Fi的企业模式使用起来也并非一定很困难。比如说现在已经有了可托管的RADIUS服务,用户不必花费精力和财物便可部署企业安全模式。

4无论你采用哪种Wi-Fi安全模式都应使用强密码。密码越长、越复杂就越安全。例如(+本站微信networkworldweixin),大小写字母、数字和一些特殊字符相互混杂效果会更好。用词典中的词做密码肯定是不安全的。

如果采用弱密码和个人模式(PSK),有可能很容易遭到破解。虽然WPA2所提供的AWS加密很强大,但所有的密码都可能遭受暴力词典破解。这种攻击方式就是通过软件对词典中的常用单词和短语来反复猜测密码,直到猜中为止。这也就是为什么密码中最好别包含可能出现在某本词典中的任何单词或短语的缘故。同样的攻击方式当然也可适用于WPA2安全的企业模式。不过后者会让破解过程变得更加困难。

5当然,除了Wi-Fi登录密码之外,也不能忘记还有很多其他的网络设备密码需要设置。比如说路由器、防火墙和AP等等。要确保在事故发生之前,修改掉这些网络设备的缺省密码,最好也别让一些好奇心很重的用户参与网络设置过程。

6还要隐藏好无线网络的SSID,或者说网络名称。因为某人在试图进入网络之前必须先知道你的网络名称。不过这种隐藏名称的做法也只是防君子不防小人的手段。你可以在信标中禁用SSID广播,这将会从电脑上的本地可用网络和其他Wi-Fi设备列表中将其隐藏。但是在某些类型的网络流量中是无法禁止SSID发送的。例如连接和探针流量。尽管一些常用的Wi-Fi设备会在此类流量中“忽略”SSID,但是无线分析仪(如Kismet和AirMagnet)都会侦听并在听到后显示出SSID来。当然,禁用SSID广播也会对无线性能产生一些负面影响。禁用会生成更多的管理流量,占用宝贵的数据传输时间。

7大多数企业级无线AP都具有可支持多个虚拟无线网络的能力,每个虚拟网络都可以有自己的基本设置:SSID、安全、广播、带宽偏好、VLAN,等等。这是进行网络隔离的一个很有用的手段,可提供不同等级的网络接入。但这种方法也不能滥用,因为每个SSID对应一个网络,需要自己的一组信标和管理流量,所以都会占用宝贵的通话时间。

假如你发现自己需要三个以上的SSID,那么寻找一些其他隔离无线接入的方法或许更好。举例来说,可利用802.1X认证加Wi-Fi的企业安全模式,动态地指定用户每次该连接哪个VLAN。

8无线技术还在不断地演进和发展中。对Wi-Fi来说,IEEE发布了802.11标准,不同厂商的不同设备便可彼此兼容。这些标准包括:802.11a、b、g、n、ac。每种802.11标准具有不同的速度和性能。即便所有的常用标准(b、g、n、ac)彼此间都能互操作,但采用新标准的网络如果混杂了旧设备,还是会降低整网的性能。因此,最好确保所有接入网络的无线客户端使用的都是较新的标准。如IEEE 802.11n或802.11ac。

如果你拥有BYOD[注]网络,那就可能无法控制用户使用什么设备或使用什么无线标准了。但你可以禁用某个旧标准——不让使用旧标准的设备接入,这样就不会对网络性能带来负面影响了。今天可以比较肯定地说,大多数用户都不会再使用802.11b的设备,所以就可以考虑禁用802.11b标准。如今,大部分用户可能都在使用802.11n或802.11ac的设备,不过是不是停止对802.11g标准的支持,还得视你的企业的具体情况而定。(波波编译,更多内容详见: http://www.cnw.com.cn/P/6252)

参考资料

1.BYOD:(Bring Your Own Device)是指携带自己的设备办公,这些设备包括个人电脑、手机、平板等,使用者可以不受时间、地点、设备、人员、网络环境的限制登陆到公司网络,并进行工...详情>>

[责任编辑:孙可 sun_ke@cnw.com.cn]

我也说几句

热点排行