無線網絡的故障診斷及安全策略簡介
加入技術交流群
消除對網絡的猜測
通常主要的困難是用戶使用無線網絡的經驗不足,甚至也包括對有線網絡不了解.有報告顯示,去年22%的用戶故障集成在網絡產品,電纜和連接器問題,69%的故障歸因于服務器和應用。
無認如何,網管人員需要判斷是什么原因導致網絡故障,很多時候應用支持人員需要明確地知道是否網絡存在問題。
故障診斷步驟
當用戶遇到Wi-Fi無線網的連接故障,通常是尋求內部IT支持人員的幫助。通過電話說明可能不夠,還需要派人前往。
如果用戶存在登錄問題,網管員需要定位故障位置。使用手持式的儀表,即可以測試有線網絡,也可以測試無線網絡,這可以最快速地找到問題根源。
如果技術人員使用測試儀可以從客戶端位置成功登錄無線網絡,那么問題可能在客戶端設備的配置或權限。如果測試儀不能連接到服務器,問題可能在無線或有線網絡的物理層方面。另外,沒有足夠的帶寬、請求排隊超時、沖突干擾等也可能是故障的根源。
網管員使用無線測試儀從故障位置掃描無線網環境可以測量信號強度和AP的性能。測試儀可以使用被動的掃描方式,不需要登錄AP。在被動模式下,測試儀的無線網卡只接收信號,不發送數據。如果RF質量可以滿足要求,那么管理員可以用客戶端模式登錄無線網進行測試,例如登錄測試,PING和吞吐量測試。
通常,管理員必須驗證客戶端的配置是否與業務的安全模式一致。(例如EAP)。如果安全模式不一致,會影響登錄。
一個好的手持式儀表,應具備有線/無線綜合分析功能,能夠監測和故障診斷登錄網絡的每個一步是否成功,定位失敗的環節。如果服務器拒絕用戶登錄,那么問題會與認證服務器自身有關,或者與用戶的安全配置有關,或都與用戶的接入權限有關。加強對EAP的監管可以減少此類故障。
支持安全測試
前面提到,無線網是動態的,部署完成后,環境會改變。有時是人為的錯誤,有時因增加無線網接入覆蓋范圍而帶進一些未授權的設備。很多時候,因為無線網是在三維空間里提供接入服務,所以未授權的AP可能會連接進來。另外,也可能是由于設計錯誤導致這個結果。
尋找AP和Ad-Hoc網絡
不是所有的公司都部署了安全檢測設備(比如IDS)來查找惡意設備或AP。多數情況下,尋找惡意AP的工作是通過移動測試來完成的。在手持測試儀中可以將部署好的AP設定為“已授權”,這樣可以實進地快速確定哪些AP或ad-hoc網絡是示授權的。
圖2、無線網絡掃描
從安全的角度來看,根據預測,在2006年,70%的惡意攻擊會是通過AP或客戶端的錯誤配置造成的安全漏洞造成的。無線測試工具可以幫助企業定期地審查AP和客戶端的配置,查看這些配置是否符合公司安全策略。
研究機構推薦企業定期地檢查設備配置,確保嚴格遵守公司內部安全策略。如果企業選擇WPA網絡,那么PEAP是一種有效的授權方式,管理員需要確認所有的AP都配置為PEAP。
對無線網進行周期性地現場勘測是必要的,網管員可以使用手持工具分析RF信號質量,查看性能有沒有下降。他們也可以看到用戶使用趨勢,可以看在在哪里用戶比較集中,是否需要增加AP數量。
評論