警惕扩大无线网络覆盖范围的安全风险
下面的四条建议,帮助你在扩大网络覆盖范围的同时,保障它的安全性。一个无线网络的覆盖范围指的是它能够有效覆盖的面积,是指能够有效访问它的物理区域。在绝大部分情况下,无线网络范围扩大是件好事情,哪怕仅仅用来吹牛。更大的范围意味着对于网络的访问更加灵活。从某种角度看,你希望你的无线网络范围越大越好。显然,更大的范围能够覆盖更多的面积,能够提供更好的可用性。
另一方面,覆盖范围的增加也会加大网络受到恶意攻击的风险。一个网络的覆盖范围或多或少受到接入点配置的影响。对于入侵者来说,进入WLAN的第一个入口,当然就是接入点(AP)。
这就是为什么管理网络覆盖范围需要经常对安全风险和覆盖面扩大两种因素进行平衡。简单地说,网络覆盖范围的扩大必然意味着增加了安全风险。所以你在扩大自己网络的同时,必须要记住对于安全问题要给予足够的关注。
随着你网络的扩展,有一些工作必须要用制度来进行规范:
减少非正式的网络扩充
当需要增加AP的时候,应该按照正常程序来添加它们:
增加覆盖范围的请求。
关于该AP将处理的用户负载的评估。
对于本地环境的泄露风险和潜在的信号干扰问题做一个评估。
授权某人负责。
关于AP安装和测试的详细记录。
通过AP扩展无线网络太简单了,因此这是个非常强大的易做图。但是问题在于,如果我们把我们的网络覆盖范围在办公大楼里扩大一个楼层,会给我们带来哪些问题和风险呢?
控制本地AP的覆盖范围
你的网络有覆盖范围,AP也是如此。下面是一些规则,帮助你在提供更好的信号覆盖的同时,防止信息泄露:
尽可能地让AP离窗户越远越好。
在房间里,尽可能地将AP安装在高处。
确保AP不要和另一个RF源距离太近。(计算机本身可能造成干扰,不要让两个AP紧挨着。)
慎重选择天线
不同的环境里适用不同类型的天线。原则是让信号保留在你的办公区域里,在这个区域里能够进行高质量的网络连接,而在外部,则尽可能地防止连接。下面是一些好的建议:
对于集中式分布的AP,采用全方向的天线。
让天线笔直向上。
在办公区域周边考虑使用指向性天线,以防止信号泄露。如果你不能改变某一个靠近办公区域周边的AP的天线,就把它指向办公区域中心的方向。
保持适当的用户/AP比例
另一个关于网络覆盖控制的问题就是单独AP的效用问题。保持适当的用户/AP比例是非常重要的。20:1是我认为的这一比例的上限。记住AP的有效范围,在一个物理的房间内,在150英尺之外就不太可能出现信号干扰。根据这个原则计算需要的AP数量,并设计它们的分布。
写在最后的话
当你加大AP信号强度,以提高无线网络效率的时候,要记得同时考虑安全问题。信号加强了,在办公区域内,当然可以提供更高质量的网络连接,但是同时,加强了的信号也有可能被泄露到外面的高速公路上。对于这些细节的留心可以帮助你阻止恶意用户的入侵。
要记住非法AP的覆盖范围本质上是不可计划,不可控制的。控制系统理论的一条公理是:你不能控制你所不能观察的东西。由于非法AP随时都有可能溜进一个哪怕设计得非常完美的无线网络,所以解决的办法就是要坚持不懈地进行监控。你可以使用很多免费的软件来查找非法的AP。