一、如何管理和测试无线网的性能
有效地管理一个WLAN无线网络需要网络管理员能够维护和控制无线网的接入点AP,包括对这些AP在整个的网络环境中的运行和配置的控制。
增加一个没有进行任何配置也没有进行认证的无线网节点,或者更改一个节点的位置的,都会给网络带来信道之间冲突和网络安全等方面的问题。我们介绍几个有用的无线网分析方法帮助网管员实现对无线网的性能分析和管理。
了解网络概况:通过查看14个信道(对于802.11b)的使用状况的总览,以及每一个信道和SSID的资源分配情况了解无线网环境的整体情况。
分析性能报警:通过性能报警了解WLAN潜在的性能问题,比如:错误包的比率、隐藏节点的问题、AP信道间干扰、低传输速率等等。要分析这些报警的原因和造成的危害,通过对性能报警的分级来确定优先要解决的故障问题。
监视信道带宽:监控信道间干扰、多播/广播风暴、微弱的射频信号、桥接环路和低传输速率。射频信号通常是用dBm或者%显示的,这些资源是无线网性能的主要特征。
信道冲突监视:监视信道冲突,在一个信道中AP或者站点过载时要及时发现并排除。
信道噪声监视:通过信道噪声监测及时反映无线网用户的通信质量,如果一个信道内发现了一个未知干扰源就需要立即去分析噪声的原因,并采取相应的
二、企业无线局域网WLAN的安全防护
近来,无线局域网发展的势头越来越猛,它接入速率高,组网灵活,在传输移动数据方面尤其具有得天独厚的优势。但是,随着无线局域网应用领域的不断拓展,其安全问题也越来越受到重视。在有线网络中,您可以清楚辨别哪台电脑连接在网线上。无线网络与此不同,理论上无线电波范围内的任何一台电脑都可以监听并登录无线网络。如果企业内部网络的安全措施不够严密,则完全有可能被窃听、浏览甚至操作电子邮件。为了使授权电脑可以访问网络而非法用户无法截取网络通信,无线网络安全就显得至关重要。
两大基本安全防护手段
在这个道高一尺,魔高一丈的环境里,怎样保卫这些数据的安全?致力于无线局域网?WLAN 发展的各厂家及国际 Wi - Fi 联盟都纷纷提出新的方法来加固无线局域网,以使其广泛应用。2004年 6 月24日, IEEE 通过了 802.11i 基于 SIM 卡认证和 AES 加密的方法为无线局域网提供了安全保障,使得无线局域网拥有了更为广阔的应用空间。
安全性主要包括访问控制和加密两大部分。访问控制保证只有授权用户能访问敏感数据,加密保证只有正确的接收者才能理解数据。目前使用最广泛的 IEEE 802.11b 标准提供了两种手段来保证 WLAN 的安全—— SSID服务配置标示符和 WEP无线加密协议 。SSID提供低级别的访问控制,WEP是可选的加密方案,它使用RC4加密算法,一方面用于防止没有正确的WEP密钥的非法用户接入网络,另一方面只允许具有正确的WEP 密钥的用户对数据进行加密和解密?包括软件手段和硬件手段 。
另外,802.11b标准定义了两种身份验证的方法:开放和共享密钥。在缺省的开放式方法中,用户即使没有提供正确的 WEP密钥也能接入访问点,共享式方法则需要用户提供正确的WEP密钥才能通过身份验证。
WEP 的缺陷和解决之道
WEP加密是存在固有的缺陷的。由于它的密钥固定,初始向量仅为 24 位,算法强度并不算高,于是有了安全漏洞。 AT&T 的研究员最先发布了WEP的解密程序,此后人们开始对WEP质疑,并进一步地研究其漏洞。现在,市面上已经出现了专门的破解WEP加密的程序,其代表是WEPCrack和AirSnort 。
WEP 加密方式本身无问题,问题出在密钥的传递过程中——密钥本身容易被截获。为了解决这个问题,WPA( Wi-Fi Protected Access)作为目前事实上的行业标准,改变了密钥的传递方式。IEEE 802.11TGi任务组 i已经制订了临时密钥完整性协议TKIP,TKIP像WEP一样基于RC4加密,但它提供了快速更新密钥的功能。WPA利用TKIP协议传递密钥,它在密钥管理上采用了类似于RSA的公钥、私钥方式。利用TKIP,以及各个厂商计划推出TKIP固件补丁,用户在WLAN硬件上的投资将得到保护。
一个具体做法是采用RADIUS 服务器与客户机进行双向的身份验证,验证完成后,RADIUS 服务器与客户机确定一个WEP密钥(这意味着,这个密钥不是与客户机本身物理相关的静态密钥,而是由身份验证动态产生的密钥)。此后,RADIUS服务器通过有线网发送会话密钥到AP,AP利用会话密钥对广播密钥加密,把加密后的密钥送到客户机,客户机利用会话密钥解密。然后,客户机与AP激活WEP,利用密钥进行通信。另一种做法称作WEP Plus,它的机理是针对初始向量的缺点,以随机方式生成初始向量,使得上述的WEPCrack和AirSnort程序无法破解WEP密钥。
企业无线网安全防护的建议
·许多安全问题都是由于无线访问点没有处在一个封闭的环境中造成的。所以,首先就应注意合理放置访问点的天线。以便能够限制信号在覆盖区以外的传输距离。别将天线放在窗户附近,因为玻璃无法阻挡信号。你最好将天线放在需要覆盖的区域的中心,尽量减少信号泄露到墙外。
·将信号天线问题处理好之后,再将其加一层“保护膜”,即一定要采用无线加密协议(WEP)。
·建议禁用DHCP和SNMP设置。从禁用DHCP对无线网络而言,这很有意义。
·如果采取这项措施,黑客不得不破译你的IP地址、子网掩码及其它所需的TCP/IP参数(无疑也就增加了难度)。无论黑客怎样利用你的访问点,他仍需要弄清楚IP地址。而关于SNMP设置,要么禁用,要么改变公开及专用的共用字符串。如果不采取这项措施,黑客就能利用SNMP获得有关你方网络的重要信息。
·使用访问列表(也称之为访问控制列表ACL)。为了进一步保护你的无线网络,建议选用此项特性,但请注意,并不是所有的无线访问点都支持。
·因为此项特性可以具体地指定允许哪些机器连接到访问点。支持这项特性的访问点有时会使用普通文件传输协议TFTP,定期下载更新的列表,非常有用。
·综合使用无线和有线策略。无线网络安全不是单独的网络架构,它需要各种不同的程序和协议配合。制定结合有线和无线网络安全的策略能够最大限度提高安全水平。
·使用专业的无线网管理和安全分析工具,象艾尔麦这样专业的无线网分析仪有全面的无线网安全智能评估系统,能及时发现和告警无线网安全和性能方面的问题,是目前企业无线网主要采用的安全检测工具。
故障排除手段。有时发现的噪声不是来自于无线网设备,而是来自于与无线网共享频谱段的其它设备或干扰源,如:无绳电话、微波炉、电子遥控玩具等等,此时就需要用专用的无线网频谱分析仪来对这些异类干扰源进行分析和定位。