您的位置: 网界网 > 新闻 > 正文

应该避免的8个Wi-Fi错误

2015年02月06日 15:14:47 | 作者:波波编译 | 来源:网界网

摘要:当它能正常工作时,Wi-Fi是棒棒哒;当它安全的时候,Wi-Fi也是棒棒哒。但是尽管设置Wi-Fi看起来简单,其实里面的道道还是蛮多的。比方说吧,假如没有做过全面的勘测,没有好好设计整体布局和维护措施,或者忽略了安全问题等,都...

标签
错误
部署
Wi-Fi

【CNW.com.cn独家译稿】当它能正常工作时,Wi-Fi是棒棒哒;当它安全的时候,Wi-Fi也是棒棒哒。但是尽管设置Wi-Fi看起来简单,其实里面的道道还是蛮多的。比方说吧,假如没有做过全面的勘测,没有好好设计整体布局和维护措施,或者忽略了安全问题等,都可能引发严重的问题。

本文要介绍的就是如何避免最有可能犯的Wi-Fi部署和设置错误

一个成功的无线网络需要仔细的分析,精心的设计和规划,还有日常的维护,而所有这些都会涉及到现场勘测。

现场勘测需要环绕工作场所行走,捕捉Wi-Fi和RF射频数据,以便获得来自无线接入点(AP)、邻近的网络以及其他RF源的信号、噪音和干扰等基准读数。根据勘测的结果,便可进行分析工作,以便确定一些基础要素:最佳的AP布点位置,信道和功耗水平等。这些要素也可根据构建网络所需要的一些参数来确定,这些参数包括无线网络的覆盖范围、数据传输速率、网络容量以及漫游能力等。

对于较小的楼宇或办公区域来说,现场勘测可以手持Wi-Fi和/或频谱分析仪边走边进行,然后进行记录。但是对于大型楼宇和较大的办公区域来说,利用图纸进行现场勘测就很重要了。一般可将楼层平面图上载到某个软件中,边走边捕获数据,然后在各种热图上查看勘测结果。这种方式可以提供一种非常直观的效果,可以清楚地看到信号和噪音的等级,以及信号是如何传播的。

然而,尽管在网络的初期部署阶段做好了全面的现场勘测和所有适当的分析、规划和设计,这也不意味着一旦部署完毕,工作就算结束了。

定期进行现场勘测仍然是需要的,可以从中看出是否需要进行调整。干扰、邻近网络的变化,如何使用Wi-Fi等因素都可能对网络的性能产生重大影响。

相邻无线网络的变化可能引发信道共生性干扰,尽管这一点你无法控制,但也可以通过调整网络中各AP所使用的信道来避免干扰。还有一些情况也可能改变无线网络的安全性,例如,无线AP被复位,或者用户把自己的无线路由器或AP带进网络并自行安装等情况。

不要忽略高级设置。在勘测、设计和部署阶段,除了必须确定一些基本的AP设置,如信道设置之外,看看其他设置参数也很简单。

应该发现和探索AP的所有设置参数。看看有哪些独特的功能支持可以帮助提升性能,例如如何转向5GHz频段,或者如何设置IPS/IDS以增强安全性等。

也可以看看一些常用用来调谐Wi-Fi的高级设置参数,例如信道宽度、可支持的数据传输率、信标间隔,以及碎片与RTS的阈值等。还可考虑使用如下一些常用特性来降低开销,提升速率:短前导码长、短时隙与帧聚合等。

尤其对小型企业和组织来说,Wi-Fi保护接入(WPA/WPA2)的简单的个人模式或者说预共享密钥(PSK)模式要比企业模式更有吸引力。因为用个人模式只须数秒便可设定Wi-Fi密码,因为大多数用户都知道他们只是想通过Wi-Fi上网而已。而企业模式的Wi-Fi安全设置起来就没有这么方便了。你必须设置一台RADIUS服务器用于802.1X认证,然后还得为用户创建并提供唯一的登录证书。

换句话说,Wi-Fi安全的个人模式实际上一般需要长期进行安全维护才行。因为每个员工只有一个密码,所以至少应该在每当有员工辞职时修改密码,或者每当有用户丢失Wi-Fi设备时修改密码,如此方能保障网络的安全。如果不修改密码,那么前雇员或者窃贼就可以进入原来的工作区,很轻松地连入企业的Wi-Fi。

Wi-Fi的企业模式使用起来并不是很困难。比如说现在已经有了可托管的RADIUS服务,企业不必花费时间和钱财便可部署企业安全模式。

无论你采用哪种Wi-Fi安全模式,都应使用强密码。密码越长,越复杂,就越安全。例如大小写字母、数字和一些特殊字符相互混杂,效果会更好。用词典中的词做密码肯定是不安全的。

如果采用弱密码和个人模式(PSK),有可能很容易遭到破解。虽然WPA2所提供的AWS加密很强大,但所有的密码都可能遭受暴力词典破解。这种攻击方式就是通过软件(+本站微信networkworldweixin),利用常用单词和短语词典来反复猜测密码,直到猜中为止。这也就是为什么密码中最好别包含可能出现在某本词典中的任何单词或短语的缘故。

同样的攻击方式当然也可适用于WPA2安全的企业模式。不过这种模式会让破解过程变得更加困难。

当然,除了Wi-Fi登录密码之外,也不能忘记还有很多其他的网络密码需要设置,比如说路由器、防火墙和AP等等。要确保在事故发生之前,修改掉这些网络设备的缺省密码。最好也别让一些好奇心很重的用户参与网络设置过程。

还要隐藏好无线网络的SSID,或者说网络名称,因为某人在试图进入网络之前必须先知道你的网络名称。不过这种隐藏名称的做法也只是防君子不防小人的手段。

你可以在信标中禁用SSID广播,这将会从电脑上的本地可用网络和其他Wi-Fi设备列表中将其隐藏。但是在某些类型的网络流量中是无法禁止SSID的发送的,例如联接和探针流量。尽管一些常用的Wi-Fi设备会在此类流量中“忽略”SSID,但是无线分析仪(如Kismet和AirMagnet)都会倾听并在听到后显示出SSID来。

禁用SSID广播也会对无线性能产生一些负面影响。禁用会生成更多的管理流量,占用宝贵的数据传输宝贵时间。

大多数企业级无线AP都具有可支持多个虚拟无线网络的能力,每个网络都可以有自己的基本设置:SSID、安全、广播、带宽偏好、VLAN,等等。这是进行网络隔离的一个很有用的手段,可提供不同等级的网络接入。但这种方法也不能滥用,因为每个SSID都有自己的网络,需要自己的一组信标和管理流量,所以都会占用有价值的通话时间。

假如你发现自己需要三个以上的SSID,那么寻找一些其他隔离无线接入的方法或许更好。举例来说,可利用802.1X认证加Wi-Fi的企业安全模式,动态地指定用户每次该连接哪个VLAN。

无线技术还在不断地演进和发展中。对Wi-Fi来说,IEEE发布了802.11标准,不同厂商的不同设备便可彼此兼容。而按照这些标准的先后发布顺序,不同的标准可用不同的字母来表示:802.11a、b、g、n、ac。

每种802.11标准具有不同的速度和性能。即便所有的常用标准(b、g、n、ac)彼此间都能互操作,但采用新标准的网络如果混杂了旧设备,还是会降低整网的性能。因此,最好确保所有接入网络的无线客户端使用的都是较新的标准,如IEEE 802.11n或802.11ac。

如果你还有BYOD[注]网络,那就不可能控制用户使用什么设备或使用什么无线标准。但你可以禁用某个旧标准,不让使用旧标准的设备接入,就不会对网络性能带来负面影响了。今天,可以比较肯定得说,大多数用户都不可能再使用802.11b的设备了,所以就可以考虑禁用802.11b标准。如今,大部分用户可能都有802.11n或802.11ac的设备,但是不是停止对802.11g标准的支持还得看企业的具体情况而定。(波波编译)

参考资料

1.BYOD:(Bring Your Own Device)是指携带自己的设备办公,这些设备包括个人电脑、手机、平板等,使用者可以不受时间、地点、设备、人员、网络环境的限制登陆到公司网络,并进行工...详情>>

[责任编辑:孙可 sun_ke@cnw.com.cn]

我也说几句