接入点(AP)布置的细节

日期: 2008-09-08 作者:Lisa Phifer翻译:李娜娜 来源:TechTarget中国 英文

许多安装人员会犯这样的错误:认为802.11无线局域网仅和以太网相同,将接入点(access points,AP)安置在方便外界访问企业网络的位置。但是,从安全的角度而言,无线局域网应当和因特网形同看待——由信任用户和不受信任用户组成。本文中,TechTarget中国的特约专家为更安全的AP配置提供了网络拓扑结构和物理布置建议。   位置问题   接入点带有出厂默认的全向天线,其覆盖范围大概是一个圆形,并且受到像围墙一样的射频障碍的影响。

因此,在中央区域布置接入点是很普遍的,或者把办公室分割成几个信号区,每个区都布置一个接入点。   这种方法虽然非常直接,但是可能无法使成本、性能和安全性最优。……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

许多安装人员会犯这样的错误:认为802.11无线局域网仅和以太网相同,将接入点(access points,AP)安置在方便外界访问企业网络的位置。但是,从安全的角度而言,无线局域网应当和因特网形同看待——由信任用户和不受信任用户组成。本文中,TechTarget中国的特约专家为更安全的AP配置提供了网络拓扑结构和物理布置建议。

  位置问题

  接入点带有出厂默认的全向天线,其覆盖范围大概是一个圆形,并且受到像围墙一样的射频障碍的影响。因此,在中央区域布置接入点是很普遍的,或者把办公室分割成几个信号区,每个区都布置一个接入点。

  这种方法虽然非常直接,但是可能无法使成本、性能和安全性最优。理想的覆盖范围很少是圆形的。为了填补这个造成的差距,你最后需要购买比实际需要更多的接入点;同时停止“泄露”大量的信号。网站模型和/或定向天线可以帮助你避免这个问题。

  • 建模工具把建筑材料性质、接入点性能和站点调查措施结合在一起,设法满足用户的位置、密度和吞吐量要求,进而预测接入点应该配置在什么位置,并验证结果。虽然前期的计划需要花费很多时间和精力,但是长期来看会有回报的,尤其对于那些大型的无线局域网。比如,可以考虑AirMagnet Surveyor、AirTight SpectraGuard Planner、Network Chemistry RFprotect Survey、以及Trapeze RingMaster。
  • 用定向天线替换接入点的“上等橡胶”全方位天线,可以更好地关注辐射信号的来源,提高内部覆盖面,并减少外部的信号泄露。

  物理定位、以及诸如传播功率调节之类的相关步骤,可以使入侵者很难与接入点保持连接。但是你绝不应该指望只是物理定位就可以阻止攻击者。

  物理或逻辑局域网的分割

  接下来,防止无线局域网信息流与“其它”局域网信息流混合。连接到你以太网无线局域网的工作站组成一个可信任的工作组。他们交换传播/多点传送信号,依赖共享资源:比如Layer 2网络集线器或交换器、DHCP服务器、DNS服务器和Layer 3交换器或路由器。在局域网上配置不受信任的设备,你就会把每个设备置于风险之中。不良代理人会导致广播风暴、破坏ARP高速缓冲存储器、毁坏IP地址等等。对你的接入点进行物理或者逻辑分割就可以减轻这一风险。

  • 举例来说,将所有的接入点连接到一个新的以太网交换器上,而不是把它们连接到附近有线设备使用的现有以太网上。或者你可以将“瘦”接入点连接到一个新的无线交换器上(比如,Aruba、Cisco、Trapeze),该交换器主要负责管理和监测这些接入点。将所有接入点集中到一个物理局域网上,这很容易理解,但是这并不成比例。
  • 较大的无线局域网应该使用虚拟局域网(VLAN)创建逻辑工作组。虚拟局域网使用用于控制信息流的标识符来标记数据包或者端口。比如,将接入点连接到现有的以太网交换器端口上,但是也需要在新的虚拟局域网上分配这些端口。你可能会希望有至少两个新的虚拟局域网——一个用于接入点管理,另一个供无线用户使用。若要了解用虚拟局域网分割无线信息流的更多情况,请阅读我们的相关技巧“使用VLAN分隔WLAN信息流”。

  需要注意的是,分割局域网既会影响到安全,也会影响到性能。比如,服务质量措施可以应用到物理局域网或者虚拟局域网中,这样的员工的信息流优先权在客户之上。

  创建网络屏障

  有时候,无线局域网会遇到网络层设备,这里它可能会发送到公共因特网或者其它内部子网中。就是在这里,许多员工安装的接入点遭到破坏。将不受信任的设备连接到受信任的子网中,就创建了不安全的“后门”。在信任子网的“前门”执行安全措施——防火墙规则、VPN信道、网络杀毒——将被连接到错误布置接入点的工作站规避。

  出于这个原因,应该总是使用网络层策略执行设备分离无线接入点与受信任的子网,这些种类的设备包括:

  • 路由器
  • 防火墙
  • VPN网关
  • 无线网关和Layer 3交换器
  • 网络访问控制器

  比如,你的接入点可以直接连接到访问路由器中,配置为将无线信息流发送到因特网上,而不是发送到公司网络。或者你的接入点可以连接到VPN网关,该网关可以验证VPN客户机并阻止所有其它信息流。或者你的接入点可以配置在防火墙的DMZ内部,允许无线访问一些受DMZ保护的服务器,但却阻止通过防火墙进入信任的网络。

  在创建网络屏障时,考虑该设备必须运行的功能。为了执行安全策略,你可能需要访问控制点(基于MAC、虚拟局域网、IP、端口或者应用层信息检查)、工作站或者用户认证、VPN信道(子网漫游范围以内或者外部)、对话核算、病毒扫描、内容过滤、入侵检测/防御、以及带宽限制。虽然一般用途的防火墙可以完成这些工作的大部分,但是无线网关或者Layer 3交换器可以满足这个角色,并且提供像接入点发现、供应和RF管理之类的802.11特定功能。不同的屏障可能适合不同的用户——比如,基于网络的访问控制器适用于客户,VPN网关适用于员工。

  最后,不论你选择哪个设备,都要制定输入和输出策略,以满足商业需要,并拒绝其它一切请求。比如,SNMP请求、路由信息、或者DNS区域更新都应当来源于你的无线局域网,这可能是毫无理由的。虽然精细的策略可能需要更多的精力来维持,但是它也可以减少无线传播攻击危及核心网络安全的风险。

作者

Lisa Phifer
Lisa Phifer

Lisa Phifer owns Core Competence Inc., a consultancy specializing in safe business use of emerging Internet technologies.

相关推荐