接入点 AP 布置的细节

接入点 AP 布置的细节 许多安装人员会犯这样的错误:认为802.11无线局域网仅和以太网相同，将接入点(access points，AP)安置在方便外界访问企业网络的位置。但是，从安全的角度而言，无线局域网应当和因特网形同看待——由信任用户和不受信任用户组成。本文中，TechTarget中国的特约专家为更安全的AP配置提供了网络拓扑结构和物理布置建议。 位置问题 接入点带有出厂默认的全向天线，其覆盖范围大概是一个圆形，并且受到像围墙一样的射频障碍的影响。因此，在中央区域布置接入点是很普遍的，或者把办公室分割成几个信号区，每个区都布置一个接入点。 这种虽然非常直接，但是可能无法使成本、性能和安全性最优。理想的覆盖范围很少是圆形的。为了填补这个造成的差距，你最后需要购买比实际需要更多的接入点;同时停止“泄露”大量的信号。网站模型和/或定向天线可以帮助你避免这个问题。 , 建模工具把建筑材料性质、接入点性能和站点调查措施结合在一起，设法满足用户的位置、密度和吞吐量要求，进而预测接入点应该配置在什么位置，并验证结果。虽然前期的需要花费很多时间和精力，但是长期来看会有回报的，尤其对于那些大型的无线局域网。比如，可以考虑AirMagnet Surveyor、AirTight SpectraGuard Planner、Network Chemistry RFprotect Survey、以及Trapeze RingMaster。 , 用定向天线替换接入点的“上等橡胶”全方位天线，可以更好地关注辐射信号的来源，提高内部覆盖面，并减少外部的信号泄露。 物理定位、以及诸如传播功率调节之类的相关步骤，可以使入侵者很难与接入点保持连接。但是你绝不应该指望只是物理定位就可以阻止攻击者。 物理或逻辑局域网的分割 接下来，防止无线局域网信息流与“其它”局域网信息流混合。连接到你以太网无线局域网的工作站组成一个可信任的工作组。他们交换传播/多点传送信号，依赖共享资源:比如Layer 2网络集线器或交换器、DHCP服务器、DNS服务器和Layer 3交换器或路由器。在局域网上配置不受信任的设备，你就会把每个设备置于风险之中。不良代理人会导致广播风暴、破坏ARP高速缓冲存储器、毁坏IP地址等等。对你的接入点进行物理或者逻辑分割就可以减轻这一风险。 , 举例来说，将所有的接入点连接到一个新的以太网交换器上，而不是把它们连接到附近有线设备使用的现有以太网上。或者你可以将“瘦”接入点连接到一个新的无线交换器上(比如，Aruba、Cisco、Trapeze)，该交换器主要负责管理和监测这些接入点。将所有接入点集中到一个物理局域网上，这很容易理解，但是这并不成比例。 , 较大的无线局域网应该使用虚拟局域网(VLAN)创建逻辑工作组。虚拟局域网使用用于控制信息流的标识符来标记数据包或者端口。比如，将接入点连接到现有的以太网交换器端口上，但是也需要在新的虚拟局域网上分配这些端口。你可能会希望有至少两个新的虚拟局域网——一个用于接入点管理，另一个供无线用户使用。若要了解用虚拟局域网分割无线信息流的更多情况，请阅读我们的相关技巧“使用VLAN分隔WLAN信息流”。 需要注意的是，分割局域网既会影响到安全，也会影响到性能。比如，服务质量措施可以应用到物理局域网或者虚拟局域网中，这样的员工的信息流优先权在客户之上。 创建网络屏障 有时候，无线局域网会遇到网络层设备，这里它可能会发送到公共因特网或者其它内部子网中。就是在这里，许多员工安装的接入点遭到破坏。将不受信任的设备连接到受信任的子网中，就创建了不安全的“后门”。在信任子网的“前门”执行安全措施——防火墙规则、VPN信道、网络杀毒——将被连接到错误布置接入点的工作站规避。 出于这个原因，应该总是使用网络层策略执行设备分离无线接入点与受信任的子网，这些种类的设备包括: , 路由器 , 防火墙 , VPN网关 , 无线网关和Layer 3交换器 , 网络访问控制器 比如，你的接入点可以直接连接到访问路由器中，配置为将无线信息流发送到因特网上，而不是发送到公司网络。或者你的接入点可以连接到VPN网关，该网关可以验证VPN客户机并阻止所有其它信息流。或者你的接入点可以配置在防火墙的DMZ内部，允许无线访问一些受DMZ保护的服务器，但却阻止通过防火墙进入信任的网络。 在创建网络屏障时，考虑该设备必须运行的功能。为了执行安全策略，你可能需要访问控制点(基于MAC、虚拟局域网、IP、端口或者应用层信息检查)、工作站或者用户认证、VPN信道(子网漫游范围以内或者外部)、对话核算、病毒扫描、内容过滤、入侵检测/防御、以及带宽限制。虽然一般用途的防火墙可以完成这些工作的大部分，但是无线网关或者Layer 3交换器可以满足这个角色，并且提供像接入点发现、供应和RF管理之类的802.11特定功能。不同的屏障可能适合不同的用户——比如，基于网络的访问控制器适用于客户，VPN网关适用于员工。 最后，不论你选择哪个设备，都要制定输入和输出策略，以满足商业需要，并拒绝其它一切请求。比如，SNMP请求、路由信息、或者DNS区域更新都应当来源于你的无线局域网，这可能是毫无理由的。虽然精细的策略可能需要更多的精力来维持，但是它也可以减少无线传播攻击危及核心网络安全的风险。