花草玩家線上購物
   
現在的時間是 2018-12-19, 19:20

所有顯示的時間為 UTC + 8 小時




 1 頁 (共 1 頁) [ 1 篇文章 ] 
 
發表人 內容
 文章主題 : 建置飯店無線網路
文章發表於 : 2008-02-18, 14:28 
護法
護法
頭像

註冊時間: 2002-10-10, 18:35
文章: 895
來自: 台北
圖檔
無線熱點(hot spot)是所有公共安全解決方案的核心。現在許多機場、旅館、咖啡廳等公共場所都已佈建公共無線上網熱點,任何持有無線功能之電腦或PDA的民眾都可輕易地透過這些熱點連上Internet,但是警察、消防、醫護人員所使用的熱點卻截然不同:這些熱點僅供經授權人員使用,以保持絕對嚴密的安全性,讓訪客在飯店內能更安心的自由暢遊網路世界。

802.11b為目前主流
無線區域網路的規格有HomeRF、infrared、藍芽與IEEE 802.11b等規格,其中以藍芽與802.11b兩種規格的競爭最為激烈,不過藍芽在製造成本無法降低與相關電腦產品並未普及採用下而露出敗象。相較於802.11的規格,許多筆記型電腦廠商均宣佈明年推出的新款機種,均將內建該規格的網路卡,而現階段許多咖啡店或辦公室,也都採用802.11規格的橋接器。
另外,802.11a 因使用較高的頻帶,因此應用在長距離的傳送上,其效果也比較好, 對於遠程的無線架設上比較有利, 故, 若環境特殊, 也可實行此方式..

規劃無線網路時之參考:
1.使用WEP加密協定雖然我門已經知道WEP加密協定並不安全,但是它可算是安全的第一道防線。同時,它是在802.11b裡定義好的,因此,所有通過WI-FI認證的802.11b設備都不需要另外增加或安裝新的軟硬體,就可以使用WEP(40-bit加密金鑰的版本),只是超過半數以上的廠商對於WEP加密協定在出廠的預設值上是不啟動的,因此使用者要特別注意自己的設備是否有將WEP加密協定打開。在實地調查裡,超過一半的無線網路都沒有使用WEP加密協定進行無線網路卡與存取站之間的資料傳遞加密,這就好像把你家大門打開開一樣,邀請所有的人到你家走走逛逛。雖然WEP並不安全,但是有門總比沒有門要來得好,檢查你的WEP加密有沒有設定好是你應該要去注意第一件事。

2.更換無線設備出廠之預設SSID
也許您會對此感到驚訝,然而世界上就是會有像這樣教人無法置信的事情發生。此即,有太多的廠商安裝人員或網路的管理人員對於所安裝上去的無線網路設備僅是一知半解,抱持著『反正東西可以用就好了』舊有觀念,對於無線網路架設的規劃,事前也沒有做好。如果連SSID這種基本的設定也沒有去更改,那麼可能Access Point或是Wireless Router的密碼也是預設的,其嚴重性便可想而知。另外,也不要將您的SSID取個太簡單易猜測的名字,像是您公司的名稱、部門名稱、或是產品名稱,這些都不是好名字,很容易被有心的人猜到,也不要使用一些地理位置來取SSID,像是街道名稱或是建築物名稱,這些也不是好主意。

3.關掉『SSID廣播功能』在無線網路裡,無線網路卡必須要和無線存取站使用相同的SSID才能互相溝通。但是如果您將Access Point的SSID廣播功能啟動,此時,存取站不管無線網路卡的SSID為何,都會允許它使用這台存取站。因此,切記關掉您的SSID廣播功能。

4.變更存取站的預設密碼就算您已變更AccessPoint的SSID名稱,但是像NetStumbler還是可以依據存取站的MAC位址,而找出設備的製造廠商。因此,如果您沒有變更設備的預設密碼,有心者仍是可以依據廠商的預設密碼而得以進入您的無線區域網路中恣意而為。

5.注意無線區域網路的涵蓋範圍如果您的無線區域網路只想部署在大樓內部,就要特別留意會不會有無線電波逸漏到大樓外面,而使得別人有機可趁。一般說來,如果只部署在建築物內部時,通常會採用由建築物內部(或中心)向外面做輻射狀的方式來架設無線存取站(或橋接器),尤其需要注意部署在窗戶或牆邊的存取站,更要特別注意逸漏出去的無線電波強度是否強到足以讓建築物外面的人來使用。

6.注意有沒有異常的無線網路設備出現身為一個無線網路的管理者,您必須特別留心無線區域網路上的一些異常現象。尤其必須在隔一段時間之後,就做一次『sitesurvey』。像NetStumbler是一個很好用的工具,它可以找出有哪些人偷偷把自己的Access Point加到您的無線區域網路中。由於無線網路設備已經是愈來愈便宜了,因此買的人相對地也是愈來愈多。不只是無線網路卡,內部其他人或其他單位也有可能去購買他們自己的無線網路存取設備,用來延伸或強化他們無線網路涵蓋範圍,或是擴增他們的無線網路頻寬。但是這樣卻會增加管理者相當大的困擾,同時對於安全向的考量上也是一大挑戰,因此經常檢查是否有異常設備出現在您的無線區域網路裡便變得特別重要。

7.檢查逸漏的無線電波強度經常性地,您可能需要找台裝有無線網路卡的筆記型電腦到您的建築物四周圍走動一下,同時要記得先幫您的無線網路卡外加強一點的天線。尤其要注意的地方包括建築物附近停車地點,或是隱密的地方,逐一檢查這些地方是否可以接收到逸漏出來的無線電波以及強度。當然,或許這些逸漏的電波強度已經衰減到無法讓一般無線網路卡使用,但是配上一支好一點的天線,還是有可能以1Mbps速度連上你的無線網路,別小看這小小的1Mbps,它已經足夠讓駭客玩上好一陣子了。

8.用MAC位址來控制也是不錯的方式如果管理政策許可,那麼,利用鎖定MAC位址的方式來管理那些無線網路卡當然是一個萬無一失的方式。現在有很多新的無線網路存取設備都支援使用MAC位址來鎖定可以使用的無線網路卡,有些是在存取站上設定可以使用的無線網路卡的卡號(MAC位址),有些則是在RADIUS伺服器上面設定哪些MAC位址的網路卡可以連上網路。唯這種方式有兩點必須要注意:第一,是無線網路卡的MAC位址是可以假造的,所以您不能只靠這一層保護;第二,是如何更新MAC位址的問題。也就是當您的無線網路卡要新增的時候(或是暫時允許外來的卡加入你的無線網路裡面的時候),您要如何來更新這些存取站的MAC位址列表。這些問題都是必須要先考慮清楚的,否則,您可能每天都會面臨到只為了要加這些資料而被到處追著跑的窘境。

9.使用RADIUS做進一步的使用者管理雖說RADIUS認證並沒有包含在802.11b的標準裡,不過有許多廠商都有在無線設備上面設計使用RADIUS進行存取驗證。一些功能較強的Access Point可以設定成使用RADIUS伺服器來進行使用者的驗證,讓無線網路卡在接上無線網路之前,必須先透過AccessPoint完成RADIUS上的使用者帳號密碼驗證。如果無法通過,那麼就表示無法連上無線網路。一般而言,使用RADIUS認證的方式都是以帳號和密碼的方式來進行,不過某一些Access Point還可以配合RADIUS進行無線網路卡的MAC位址檢查。

10.讓無線網路卡有固定的IP位址另一個可以考量的方向是讓每一張無線網路卡都有一個固定的IP位址,換句話說,就是把DHCP配發IP位址的功能給取消。當然,這和上面鎖定無線網路卡的MAC位址一樣會增加管理上的負荷,但是卻可以避免讓外來的無線網路卡隨便取的IP位址。此外,還有一點需注意的是,如果您的無線網路存取設備本身的功能不差,既可以當成是Router也可以當成是NAT伺服器,此時,建議您將一些預設值也一起加以修改,比如原來的NAT虛擬網路段可能是192.168.1.0/24 ,那麼,您可以考慮將其換成192.168.100.0/24,或是其他的虛擬網路段,以避免別人在知道廠商的預設網路段時,隨便找個IP位址試試就可以立刻使用。

11.無線網路設備選購的考量我們已經知道WEP並不安全,尤其64-bit(40-bit 加密金鑰)的WEP比較起128-bit更在是不堪一擊,因此,選購無線網路設備時,記得避免購買只支援64-bit WEP的無線網路設備。如果您已經買了只有64-bit WEP的無線網路設備,那麼試者找找看有沒有新的驅動程式(有些卡只需要更新驅動程式即可以使用128-bit WEP)。另外,記得盡可能購買可以更新韌體的設備,有韌體的更新,才能確保您的設備可以繼續跟上標準。現今還有許多和安全相關的標準正在發展之中,如果您的韌體無法更新,相對地也就宣告了以後沒有辦法升級的命運了。

12.非標準的功能強化有些廠商也意識到802.11b所定義的安全機制沒有辦法做到很好的保護,而在自己的產品裡提出一些非標準化的功能強化。比如說ORiNOCO這個晶片組的設計廠商Agere System,就提出一個強化SSID保護功能的方式,並在這系列的無線網路設備裡進行實作。ORiNOCO的這個方式稱為『Closed Network』,它讓Access Point不要主動廣播SSID,因此,像是NetStumbler之類的軟體就無法得知Access Point的SSID,也因為它不會廣播SSID,所以無線網卡上面就必須靠使用者以手動風式將正確的SSID輸入,然後才能和Access Point建立連線。

且不論您是否已經擁有或正在尋找無線網路的解決方案,像是這類廠商特殊的功能,也可以列為您考慮的因素之內。當然,前提是您必須注意會不會有和其他設備產生不相容的情形發生。

部分網路安全節自,洪紹雄應用與安全管理規劃
圖檔



_________________
版權所有,轉載請註明作者及出處.
http://www.apnec.com
因為專業,所以精彩!
離線
 個人資料 發送私人訊息  
 
顯示文章 :  排序  
 
 1 頁 (共 1 頁) [ 1 篇文章 ] 

所有顯示的時間為 UTC + 8 小時


 

誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 1 位訪客

 

不能 在這個版面發表主題
不能 在這個版面回覆主題
不能 在這個版面編輯您的文章
不能 在這個版面刪除您的文章
不能 在這個版面上傳附加檔案

前往 :  

cron
phpBB © & skin Powered by: Headquarters & phpBB Group