【标题】
【译者姓名】J.P
【校对人】
【翻译完成时间】Cisco无线网络中针对客户端的排错
【原文英文标题】Troubleshooting Client Issues in the Cisco Unified Wireless Network 【原文链接】
https://www.doczj.com/doc/7d4716125.html,/en/US/products/ps6366/products_tech_note09186a00809d45a2.sht ml
【翻译内容】
【译者注】
Good good study, and day day up.
【翻译内容】
目录
介绍 (3)
前提 (3)
需求 (3)
设备要求 (3)
背景资料 (3)
配置错误 (3)
SSID 不匹配 (4)
安全不匹配 (4)
WLAN未启动 (4)
数据速率不支持 (4)
关闭客户端 (5)
Radio Preambles (5)
Cisco私用特性造成第三方客户端连接故障 (5)
IP 地址故障 (5)
客户端故障 (6)
射频故障 (8)
使用WCS排错客户端故障 (8)
WEP排错 (10)
WPA-PSK 排错 (11)
802.1X 排错 (13)
Web-Auth 排错 (15)
DHCP and IP Addressing 排错 (16)
介绍
好的无线网络需要考虑很多因素,本文档介绍客户端在接入Cisco无线网络环境时会遇到的问题,并对这些问题提供相应的解决方案。
前提
需求
Cisco建议您具有以下知识点:
?Cisco无线方案的基本概念
?熟悉通过WLC图形界面的基本配置
设备要求
本文档使用所有要加入Cisco无线网络的客户端,没有硬件及软件版本的特定要求。
背景资料
WLC是Cisco无线环境的核心部分,用于管理整个无线网络,并响应瘦ap的注册,并将完整的配置文件下载到瘦AP上。首先要确保AP成功注册到WLC上,可以通过在WLC图形界面下wireless菜单察看是否有AP在列表下。
配置错误
以下为WLC上一些常见的错误配置:
SSID 不匹配
客户端使用SSID关联无线网络,所以要确保WLC和客户端SSID一致,通过在WLC 图形界面下进入WLAN页面去验证。
Note: SSID 大小写敏感,更改或者重新创建SSID,可使客户端重新建立连接。
安全设置不匹配
WLC和客户端的安全配置要匹配。例如,如果使用封装类型Static WEP、802.1x 或者WPA,要确保客户端和WLC设置一致。关于WLC和客户端安全配置的更多信息,请参考 Authentication on Wireless LAN Controllers Configuration Examples.
Note: 二层安全方案(例如WPA或者802.1X)不能用于三层安全方案(例如web 认证或Passthrough)。更多信息请参考Wireless LAN Controller Layer 2 and Layer 3 Security Compatibility Matrix.
WLAN未启动
WLC的无线功能默认为禁用,当配置无线网络时,需要将其启用,通过在图形界面下,点击WLAN菜单,选择客户要连接SSID的WLAN,选择WLAN 〉Edit启用。
数据速率不支持
WLC配置中,需要将802.11a/b/g某些速率设置为mandatory,而将其他速率关掉或者设置为supported,客户端为了能够关联WLC,必须能够支持WLC上设置的强制速率。通过WLC图形配置界面菜单Wireless进行配置,进入802.11b/g/n > Network or 802.11a/n > Network选项。
Note: 为了更好的连接性,将最低速率设置为mandatory ,而将其他速率设置为supported.
客户端被屏蔽
WLC配置中,可以屏蔽可疑行为的客户端,该特性用来禁止非法客户端访问网络,检查WLC关联的客户端MAC是否出现在WLC的客户端屏蔽列表中,在Security菜单下点击Disabled Clients选项查看。
Note:更多信息请参考Configuring Client Exclusion Policies
Radio 前导(Preamble)
Radio 前导 (或称作header) 是数据报头的一部分数据,包括无线设备何时收发数据等信息。
有些客户端不支持短前导(short preamble), 以至于无法连接短前导设置的网络。由于短前导可以改善数据吞吐量的特性,从而在WLC上被设置为默认打开。
在WLC图形界面中通过Wireless菜单下,802.11b/g > network将该特性关闭。
Cisco专有特性造成第三方客户端连接故障
如果第三方客户端无法连接,需要将一些Cisco私有特性关闭。以下为Cisco私有特性:
?Aironet IE: 该特性包括AP的名字、负载、关联客户端的数量等信息。
CCX客户端使用这些信息选择最佳AP进行关联。
?MFP: 管理帧保护(Management Frame Protection)用来确保管理帧的完整性,避免在传输过程中被篡改、破坏。
WLC中,该特性默认情况下打开。在WLC图形界面下选择 WLANs 菜单,进
入相应的WLAN中,点击Advanced Tab of WLANs > Edit page, 取消选项
Aironet IE and MFP,从而关闭该特性。
IP 地址故障
无线客户端需要IP地址与网络通信,如果客户端无法从WLC获取地址,请执行以下操作:
1.如果使用例如80
2.1x或WPA的2层验证方式,必须正确配置客户端认证以获
取有效的IP。
Note: 如果客户端配置3层认证方式,例如 web authentication, 或者
web passthrough ,客户端将在认证前获取IP地址。
2.WLC上定义的无线网络要与一个动态接口映射,并被配置为相应的VLAN及
对立的网络。关联到该无线网络的客户端通过该VLAN的子网获取相应的IP
地址。该网段可用地址、网关等信息通过DHCP服务器获取。
Note: 清确保DHCP可达,并运行正常。
3.确保为WLC接口VLAN配置的DHCP服务器IP地址正确。通过以下方式检
测,进入Controller 菜单,点击 Interfaces 菜单, DHCP server选
项,确保相关的物理接口正常运行. 通过命令debug dhcp packet enable
和debug dhcp message enable查看WLC关于DHCP的相关信息。
Note: WLC可以配置作为DHCP服务器,可以参考如下文档 Cisco
Wireless LAN Controller Configuration Guide, Release 5.0.
4.WLC通常使用交换机连接网络,检查连接WLC的交换机端口是否配置为
Trunk,是否允许相应的VLAN通过。更多信息请参考Configure the Layer
2 Switch Port that Connects to the WLC as Trunk Port section of
the document Guest WLAN and Internal WLAN using WLCs Configuration Example.
5.如果WLC启用了DHCP Addr. Assignment field,客户端只能通过DHCP服
务器连接网络而不能通过静态设置IP地址连入无线网络。通过进入WLAN菜单,选中相应的无线网络,进入Advanced 菜单,察看DHCP Address
Assignment的状态.
6.有些DHCP服务器,例如Cisco PIX防火墙不支持DHCP Relay,即只支持基
于广播的DHCP数据包,而不支持基于单播的DHCP数据包。请确保客户端连接的端口上启动了DHCP server功能。
Note: DHCP Relay的支持特性请参考相关产品手册。
客户端故障
客户端一侧的操作检查同样重要!客户端执行以下步骤:
1.有时,无线网卡无法被识别,请尝试更换插槽或者计算机测试。更新信息请
参考Troubleshooting section of the document Cisco Aironet 340,
350, and CB20A Wireless LAN Client Adapters Installation and
Configuration Guide for Windows.
Note: 确保操作系统能够支持无线网卡
2.通过设备管理器确保驱动正确安装。如果显示“该设备工作正常”则表明驱
动安装正确,否则请尝试卸载并重新安装。更多信息请参考Installing
the Client Adapter section of the document Cisco Aironet 340, 350, and CB20A Wireless LAN Client Adapters Installation and
Configuration Guide for Windows.
Note:如果使用ACU配置无线网卡,请确保射频功能打开,另外在网络连接
中检查无线网络是否被启用。
3.确保客户端SSID、安全等配置与WLC的配置相匹配,如果使用Cisco客户
端软件,请参考 Using the Profile Manager section of the document
Cisco Aironet 340, 350, and CB20A Wireless LAN Client Adapters
Installation and Configuration Guide for Windows.
4.如果可以连接到无线网络,但是无法传输数据,请尝试关闭其他连接,包括
VPN、有线连接等。如果有多个无线网卡,请将其关闭,以免冲突.
5.如果某个客户端有问题,请尝试更新其驱动;如果有大量客户端出现问题,
请升级WLC。
6.确保使用WIFI认证的无线设备,以避免兼容性问题
7.如果使用微软系统和软件,请确保安装最新的补丁
8.有些客户端反映EAP验证速度过慢,导致关联WLC超时,WLC上收到以下提
示:
Tue Jul 26 16:46:21 2005: 802.1x 'timeoutEvt' Timer expired for station
WLC上使用以下命令增加EAP的验证时间,防止超时
config advanced eap identity-request-timeout <1-120 secs> config advanced eap identity-request-retries <1-20>
config advanced eap request-timeout <1-120>
config advanced eap request-retries <1-20>
config advanced eap eapol-key-timeout <1-5>
config advanced eap eapol-key-retries <0-4>
射频故障
射频干扰会降低连接性能。射频干扰主要来自附近的802.11设备,或者其他的干
扰源如微波、无绳电话。来自附近的802.11设备的干扰有两种类型: ?共信道干扰Co-channel interference: 多个AP的覆盖范围重叠,使用相
同的信道或者频谱重叠造成共信道干扰。确保使用非重叠的信道,例如
802.11使用信道1/6/11
?邻近信道干扰Adjacent Channel interference: AP之间距离太近,即使他们工作在非重叠的信道,如果使用较强的功率也会造成干扰。可以通过降
低AP的发射功率解决。
使用频谱分析仪定位使用2.4G频段的微波、无绳电话、或者5G频段的干扰源。另一个影响无线通信的因素是信号强度,障碍物例如墙、金属可以吸收无线信号而从降低信号的强度。可以通过增加功率或者使用高增益天线来解决该故障。
Note: 信噪比不同于信号强度和噪音,是影响链路质量和通信速度的主要因素。
低的信噪比会降低通信的性能以及造成连接中断。现场分析工具可以显示某个位置的信噪比以及吞吐性能。
射频资源管理(RRM)是WLC中集成的软件特性,可以适时的提供射频信号管理,
更多信息请参考Configuring Radio Resource Management section of the document Cisco Wireless LAN Controller Configuration Guide, Release 5.0.
使用WCS排错客户端故障
WCS的排错软件可以使用如下步骤排错与客户端有关的故障:
1.点击 Monitor 菜单,选择Clients.
2.弹出客户端信息页面,如 Figure 1, Figure 1
3.选中其中一个客户端可以看到SSID等信息,如 Figure 2 。Figure 1 右下
角Troubleshoot中可以输入需要排错的MAC地址. 弹出的新页面如
Figure 3.
Figure 2
WEP排错
传统的无线客户端使用的WEP安全机制排错较难。在客户端和AP上检查以下选项:
?WEP密钥长度(密钥不匹配)
?WEP密钥索引(配置不匹配)
?验证方式(open versus shared key)
验证方式不匹配
WCS 客户端排错工具可以方便快捷的帮助找出问题的存在。Figure 2所示为 WCS 排错工具.
Figure 3
WEP 密钥索引不匹配
通常,客户端和AP上可以配置多大4个WEP密钥。其中1个作为传输密钥,该密钥在客户端和AP上必须匹配。例如,如果AP使用密钥2作为传输密钥,客户端也必须使用密钥2。另一个需要注意的是,有些厂商将的密钥索引为0到3,而有些为1-4,这会导致索引双方不匹配,而造成连接失败,所以,需要观察报文中“Key ID”字段。
WPA-PSK 排错
WPA-PSK的排错在很多情况下类似WEP,很多错误是由于密钥不匹配。通过WCS客户端排错工具,管理员可以收集WPA传输的日志信息。以下log粗体部分显示可能存在的问题(客户端错误的配置了pre-shared key)。无线网络使用WPA-PSK作为2层加密策略,而客户端错误的配置了PSK。如下所示:
Controller association request message received.
Received reassociation request from client.
The wlan to which client is connecting requires 802 1x authentication.
Client moved to associated state successfully.
802.1x authentication message received, static dynamic wep supported.
Expecting EAPOL key from client but not received yet.
EAPOL-key is retransmitted.
Expecting EAPOL key from client but not received yet.
EAPOL-key is retransmitted.
Expecting EAPOL key from client but not received yet.
Excluding client as max EAPOL-key re-transmissions reached.
Excluding client as max EAPOL-key re-transmissions reached.
Client 802.1x authentication failure exceeded the limit.
EAPOL-key has possible incorrect psk configuration.
802.1X 排错
随着WLAN的普及,传统的客户端逐步被淘汰; 部署802.1x 是一个新的趋势。 但会造成一些列不匹配的故障(client <> AP <> WLC <> L2/L3 network <> AAA server). 客户端和AAA服务器之间的不匹配有以下几种:
?错误的EAP 类型
?错误的证书或证书过期
?错误的EAP内部方法
例如在客户端错误的输入了密码,通过WCS排错工具可以清晰的指出问题的所在:
点击Log Analysis 可以看到认证没有成功的信息
Received EAP Response from the client.
EAP response from client to AP received.
Radius packet received
Received Access-Challenge from the RADIUS server for the client
Sending EAP request to client from radius server.
EAP response from client to AP received.
Radius packet received
Received Access-Reject from the RADIUS server for the client.
Received eap failurefrom the client.
Web-Auth 排错
一个好的排错过程需要包括客户端的“Policy Manager State”,如以下所示,出现问题的客户端停留在WEBAUTH_REQD状态。这意味着802.11过程成功的完成了,可能发生了以下错误:
?错误的用户名/密码
?错误的访问控制列表 (访问外部Web验证服务器)
?DNS没有正确配置等
Note: 更多关于web认证的排错,请参考 Controller Web
Authentication Configuration Example.
日志信息显示web认证没有成功。在实验环境中,可以通过以下方式模拟,如使web认证安全特性,但是输入错误的用户登陆信息。通过WCS客户端排错工具可以看到如下信息
Controller association request message received
Received reassociation request from client
The wlan to which client is connecting does not require 802 1x authentication
Client web authentication is required
Client moved to associated state successfully
Controller association request message received DHCP and IP Addressing 排错
通常,客户端使用多个无线网络,比如员工在家使用静态地址,但是在公司也错误的使用了静态地址,便导致了连接错误。这可以通过WCS客户端排错工具(如下所示)找到问题的原因。该工具同样可以找出一些隐性问题,如地址空间不足、错误的地址范围等。
无线局域网安全隐患分析及对策 摘要:随着无线网络的不断发展,其安全性正面临着严峻挑战,无线网络的安全已成为十分重要的研究课题.介绍无线局域网的特点,分析其安全隐患,并给出安全对策.经过实践验证,效果较为理想. 关键词:无线局域网;网络安全;对策 近年来,随着我国网络技术的发展与普及,无线网络也呈现出突飞猛进的态势.目前,虽然无线局域网还要依靠有线网络,但无线网产品也逐渐走向成熟,在实际网络应用中发挥其特有的灵活性和便捷性. 1 无线局域网特点 无线局域网是计算机网络技术和无线通信技术相结合的产物,是在有线局域网的基础之上,通过添加无线访问点、无线网桥等硬件设备实现对有线网络扩充.与传统的有线网相比,无线网最大的优势在于不受地理位置的限制,能到特定区域内随时随地上网.具体表现为:(1)移动性 在无线局域网中,无线网卡体积小且携带方便,利用它就可以很方便地组建网络.另外只要在天线信号覆盖区域内,可以使用户随时随地地接人Intemet.而对于有线网络,其限定了用户的使用范围,用户只能在固定的位置接人Intemet. (2)易节约、易扩展 缺乏灵活性是有线网络的不足点.在建设有线网络的规划中,考虑到以后网络扩展,往往在主干线路实施方面投入了大量的建设投资.而WLAN能够根据需要灵活选择配置方式,能够根据实际需要灵活选择网络覆盖的范围及相关容量. (3)组建简单 无线网是以空气为介质进行数据传输,因此就省去了有线网烦琐的网络布线与施工等工作.一艘隋况下,组建一个区域的无线网络,只需安装一个或多个无线接人点设备. 2 无线局域网安全隐患 安全一直是网络通信的重要问题,由于无线局域网自身的特点,安全问题就显得更为重要.与有线网络不同,无线网是在开放的环境下以空气为介质进行数据的传输,非法用户可以通过相关网络软件在接入点覆盖范围内轻易获取传输数据,因而信息容易被窃取.由于WLAN开放的传输介质使其很易遭到攻击,其安全隐患表现在以下几个方面: (1)信息易受窃听 WLAN采用2.4 GHz范围的无线电波进行通信,而且信道是开放的,窃听者只要有带无线网卡的客户机或无线扫描器,就可获取数据或对数据进行分析,获取有用信息,不能有效阻止窃听者的窃听.或者通过软件对无线网卡的标准NIC信息进行修改,也能获得相关有用信息.(2)篡改信息 在WLAN应用过程中,发射功率大的网络节点可以覆盖发射功率小网络节点,这样,窃听者在节点间传送的数据时进行篡改数据,进而产生错误信息.因此,窃听者可以通过增加天线发射功率,使较强的非法节点覆盖较弱的授权节点,在节点间传送的数据时进行篡改数据,使得
在过去十年里,802.11技术取得了长足的进步----更快、更强、更具扩展性。但是有一个问题依在困扰着wi-fi:可靠性。 对于网络管理员来说,最让他们沮丧的莫过于用户抱怨wi-fi性能不佳,覆盖范围不稳定,经常掉线。应对一个你无法看到并且经常发生变化的wi-fi 环境是一个棘手的难题。这一问题的元凶就是无线电频率干扰。 几乎所有发射电磁信号的设备都会产生无线电频率干扰。这些设备包括无绳电话、蓝牙设备、微波炉,甚至还有智能电表。大多数公司并没有意识到wi-fi干扰的一个最大干扰源是他们自己的wi-fi网络。 与经授权的无线电频谱不同,wi-fi是一个共享的媒介,其在2.4GHz和 5GHz之间,无需无线电频率授权。 当一部802.11客户端设备听到了其它的信号,无论这一信号是否是wi-fi 信号,它都会递延传输,直到该信号消失。传输中发生了干扰还会导致数据包丢失,迫使wi-fi重新传输。这些重新传输将使得吞吐速度放缓,导致共享同一个接入点(AP)的用户出现大幅延迟。 尽管一些AP已经整合了频谱分析工具,以帮助IT人员看到和识别wi-fi 干扰,但是如果不真正解决干扰问题,那么这些举措根本没有什么用处。 新的802.11n标准使得无线电干扰问题进一步恶化。为了能够向不同方向同时传输多个wi-fi流以取得更快的连接性,802.11n通常在一个AP上使用多个发射设备。 同样,错误也翻了两倍。如果这些信号中只有一个出现了干扰,802.11n 的两个基础技术--空间多路传输或是绑定信道的性能都会出现下降。 解决干扰的常用办法目前有三个解决无线电干扰的常用办法,其中包括降低物理数据传输率,减少受干扰AP的传输功率和调整AP的信道分配。在特定情况下,上述三种方法每一种都很管用,但是这三种方法没有一种能够从根本上解决无线电干扰这一问题。 如今市场上销售的AP绝大部分使用的是的全向偶极天线。这些天线在所有方向上的发射和接收速率相当。由于在任何情况下这些天线的传输和接收速度相同,因此当出现了干扰,这些设备唯一的选择就是与干扰进行对抗。它们必须要降低物理数据传输速率,直到数据包丢失率达到一个可接受的水平。
无线网络的安全问题与对策 摘要本文分析了无线网络中存在的安全问题,诸如盗用无线网络、窃听网络通信和遭受钓鱼攻击等,并从接入限制的策略、隐藏 SSID广播的策略和修改路由器密码的策略等方面,对无线网络的安全问题措施进行了分析和探究,以保障无线网络的安全运行。 【关键词】无线网络安全问题应对措施 无线网络和有线网络不同,不需要受到网线接头的位置限制,操作起来更为方便快捷,已经成为未来网络发展的趋势。但是随着无线网络应用范围的扩展,其所存在的安全问题也日益突出,这已经威胁到无线网络的正常运行。因此,分析无线网络中存在的安全问题对于保障无线网络的正常运行有着重要的意义。 1无线网络中存在的主要安全问题 无线网络中存在着多种安全问题,给无线网络正常运行带来的影响也不同。总结起来,不法分子主要通过四种方式威胁无线网络安全:盗用无线网络、窃听网络通信、钓鱼攻击无线网络和控制无线AP,这也是无线网络中存在的主要安全问题。 1.1 盗用无线网络
不法分子为了通过将非授权计算机接入正常用户的网 络,从而给正常用户的网络安全带来不利影响。不仅会影响 正常用户浏览网页的速度,造成用户不必要的经济损失,而 且会使正常用户网络受到攻击与入侵的可能性大大提高,从 而为正常用户的网络安全埋下隐患。 1.2 窃听网络通信 不法分子利用监听和分析正常用户通信信息的数据流 及其模式,从而窃听正常用户已加密的通信信息。例如不法 分子可以利用监视软件捕获正常用户输入的网址和聊天信 息,将其在捕获软件中显示,这样就可以获取正常用户的私 密信息,谋取不当得利。 1.3 钓鱼攻击无线网络 不法分子利用用户登录其事先建立的无线网络,从而对 用户的系统进行扫描和攻击,进而控制用户计算机,窃取用 户计算机中的机密文件,并使用户计算机遭受木马攻击的可 能性大大增加。 1.4 控制用户的无线AP 家庭中的无线路由器大多都为无线AP,而不法分子未经授权就非法获取正常用户的管理权限,当其入侵正常用户的 无线网络后,就可以访问正常用户的管理界面,如果用户的 验证密码容易破解,则不法分子就可以登陆管理界面而任意 设置用户的无线AP,这样就可盗取用户的个人信息,如上网
无线网络安全分析 作者简介:屈建明(1973-),男,江西南昌人,江西省计算技术研究所工程师,研究方向:计算机应用。 当前无线网络得到了长足的发展,对新的网络应用产生了很大影响,除了提供更便捷的服务,还在语音通信及高速网络互联上提供了高效的可靠的数据传输,但无线网络安全无时不让我们为之担忧。从分析无线网络的安全现状出发,阐述了无线网络采用的安全机制,最后对使用无线网络安全方面给了一些防范措施。 标签:无线网络;智能移动设备;网络安全 1 引言 随着计算机网络发展的逐步完善,传统的桌面应用系统与网络相结合给人们生活带了巨大变革,不但有力促进了国家经济发展,而且提高了人们的工作生活办公效率,丰富了人们的生活,实现了全球范围内的信息资源的共享。无线网络的应用属于后起之秀,逐步取代有线网络,成为目前最具活力的研究领域之一,各种基于无线网络的应用得到开发,各种便捷式的基于智能移动设备的软件得以应用,均离不开无线网络的推广。但随之而来的便是网络安全问题,密码输入的安全性、数据的访问、网上进行交易等等,种种无线接入Internet安全问题,让我们不得不重新重视网络的安全。 2 无线网络的优势 (1)从无线WiFi覆盖范围看:覆盖范围可达到100米。 (2)从传输速率上看:网速最高可达到54Mbps。 (3)从网络组建上看:无线网络的主要设备是无线网卡和接入点(AP),可以通过使用当前的有线网络来分离网络资源,其组建费用远低于传统有线网络。 3 无线网络安全现状分析 互联网时代最具代表性的便是信息资源共享,在网络迅速发展的同时,越来越多的安全问题暴露出来,个人隐私信息、企业商业机密面临着巨大危机,据有关数据显示,在过去的一年中仅上半年各种钓鱼网站、彩票类钓鱼网站对移动互联网的攻击造成极大的威胁。各种“劫持”式杀毒软件的出现将直接威胁着手机等智能移动设备的上网安全,对于广大用户而言,黑客攻击、信息泄密等网络安全问题已经引起了足够的重视。
警惕针对WiFi的五大无线攻击 2014-2-22 18:41|查看: 3646|评论: 3|来自: OFweek通信网 随着城市信息化进程的加速,3G、4G和无线网络已经越来越普及,用户可以在公司、商场、咖啡厅享受速度越来越快、使用越来越方便的WiFi网络。然而,大家是否知道,使用这些WiFi是否存在某些安全风险,而这些风险又会导 ... 随着城市信息化进程的加速,3G、4G和无线网络已经越来越普及,用户可以在公司、商场、咖啡厅享受速度越 来越快、使用越来越方便的WiFi网络。然而,大家是否知道,使用这些WiFi是否存在某些安全风险,而这些风 险又会导致我们的信息或者财产损失呢?由于WiFi主要是工作在OSI协议栈的第二层,大部分的攻击发生在第 二层。但无线攻击,如干扰,也可以发生在第一层。目前,有五种类型的无线攻击需要警惕。 有线侧漏 网络攻击通常开始于某种形式的侦察。在无线网络中,侦察涉及使用无线嗅探器混听无线数据包,以使攻击 者可以开发无线网络的信号覆盖区。如果攻击者与一个接入点相关联,则他或她能够嗅探第三层及以上。 许多管理者不知道的是,如果没有适当的分段和防火墙,当他们将无线网络连接到有线网络时,这种广播和 多播通信会泄漏到无线空间。多数接入点和无线开关允许流量无堵塞地泄漏到空间。通过有线网络连接到AP, 并将内部协议通信泄漏到无线电波的网络设备证实了这种可能。不幸的是,这个传输可能揭示网络的拓扑结构、 设备类型、用户名甚至是密码。 当部署无线时,在无线交换机和接入点的输出流量应适当过滤掉广播流量,来防止这个敏感的有线流量泄漏 到本地空域。 流氓接入点 流氓接入点最常见的类型包括将像Linksys路由器等的消费级接入点带入办公室的用户。许多组织试图通过 无线评估检测流氓AP。流氓AP的定义是一个未经授权的无线接入点连接到网络。任何其他可见的AP就是一个 简单的相邻接入点。 审查潜在的流氓AP需要一些关于合法无线环境和认可的接入点的先验知识。该种用于检测流氓AP的方法涉 及环境中的异常访问点的确定,因此是一个最省力的方法。出于这个原因,无线IPS在检测流氓AP上更有效。 一个无线IPS将其通过无线传感器缩减到的与其在有线一侧看到的关联起来。通过各种算法,它决定一个接入点 是否是一个真正的流氓接入点。甚至是季度性的流氓接入点抽查仍然给恶意黑客巨大的机会,为一些人留出不是 几天就是几个月的时间插入流氓接入点、执行攻击、然后删除而不被发现。 错误配置接入点 企业无线局域网的部署可能出现配置错误。例如,一个未保存的配置变化可能容许一个设备在停电重启时恢 复到出厂默认设置,并且许多其他的配置错误会导致过多的漏洞。因此,这些设备必须进行符合政策的配置监测。 一些这样的监测可以在布线侧与WLAN管理产品一起实施。现代系统有不同的考虑——基于控制器的方法在很大 程度上避免了这个问题,但一些组织特别是一些较小的组织,仍将面临这样的问题。在控制器方面,人为的错误 带来更大的风险——所有接入点都会有问题或有配置漏洞。 无线钓鱼 当涉及人类行为时,执行安全WiFi使用是困难的。普通的无线用户根本不熟悉在当地的咖啡店或机场连接 到开放的WiFi网络时的威胁。此外,用户可以在不知情的情况下连接到他们认为是合法接入点的无线网络,但
无线网络中的安全问题及对策
内容摘要:无线网络是通过无线电波在空中传输数据,只要在覆盖范围内都可以传输和接收数据。因此,无线网络存在着访问控制和保密的安全性问题。主要在介绍无线网络存在的有线等价保密性、搜索攻击、信息泄露攻击、无线身份验证欺骗攻击、网络接管与篡改、拒绝服务攻击以及用户设备等安全威胁的基础上,提出无线网络应该采用的六项安全技术和八项应对安全措施。 关键词:无线网络;安全威胁;安全技术;安全措施
1.绪论 1.1课题背景及其研究意义 随着信息化技术的飞速发展,很多网络都开始实现无线网络的覆盖以此来实现信息电子化交换和资源共享。无线网路和无线局域网的出现大大的提升了信息交换的速度跟质量,为很多用户提供了便捷和子偶的网络服务,单同时也由于无线网络的本身的特点造成了安全上的隐患。具体的说来,就是无线介质信号由于其传播的开放性设计,使得其在传输的过程中很难对传输介质实施有效的保护从而造成传输信号可能被他人解惑。因此如何在组网和网络设计的时候为无线网络信号和无线局域网实施有效的安全保护机制就成为了当前无线网络面临的重大课题。无线网络一般受到的攻击可分为两类:一类是关于网络访问控制、数据机密性保护和数据完整性保护而进行的攻击;另一类是基于无线通信网络设计、部署和维护的独特方式而进行的攻击。对于第一类攻击在有线网络的环境下也会发生。可见,无线网络的安全性是在传统有线网络的基础上增加了新的安全性威胁。
2.无线网络存在的安全威胁 2.1有线等价保密机制的弱点 IEEE(InstituteofElectricalandElectronicsEngineers,电气与电子工程师学会)制定的802.11标准中,引入WEP(WiredEquivalentPrivac y,有线保密)机制,目的是提供与有线网络中功能等效的安全措施,防止 出现无线网络用户偶然窃听的情况出现。然而,WEP最终还是被发现了存 在许多的弱点。 (1)加密算法过于简单。WEP中的IV(InitializationVector,初始化向 量)由于位数太短和初始化复位设计,常常出现重复使用现象,易于被他人 破解密钥。而对用于进行流加密的RC4算法,在其头256个字节数据中的密 钥存在弱点,容易被黑客攻破。此外,用于对明文进行完整性校验的CRC(C yclicRedundancyCheck,循环冗余校验)只能确保数据正确传输,并不能保 证其是否被修改,因而也不是安全的校验码。 (2)密钥管理复杂。802.11标准指出,WEP使用的密钥需要接受一个外 部密钥管理系统的控制。网络的部署者可以通过外部管理系统控制方式减少 IV的冲突数量,使无线网络难以被攻破。但由于这种方式的过程非常复杂,且需要手工进行操作,所以很多网络的部署者为了方便,使用缺省的WEP密 钥,从而使黑客对破解密钥的难度大大减少。 (3)用户安全意识不强。许多用户安全意识淡薄,没有改变缺省的配 置选项,而缺省的加密设置都是比较简单或脆弱的,经不起黑客的攻击。 2.2进行搜索攻击 进行搜索也是攻击无线网络的一种方法,现在有很多针对无线网络识别与攻击的技术和软件。NetStumbler软件是第一个被广泛用来发现无线网络 的软件。很多无线网络是不使用加密功能的,或即使加密功能是处于活动状 态,如果没有关闭AP(wirelessAccessPoint,无线基站)广播信息功能,AP 广播信息中仍然包括许多可以用来推断出WEP密钥的明文信息,如网络名 称、SSID(SecureSetIdentifier,安全集标识符)等可给黑客提供入侵的条 件。 2.3信息泄露威胁
通信网络中的射频干扰成因与对策 中心议题: ?讨论射频干扰的各种可能成因 ?认识干扰源类型和测量方法 解决方案: ?对于互调干扰要增加窄带滤波器以衰减外面的信号 ?在接收器天线电缆上安装滤波器将超载信号衰减 ?基站连接的音频部分周围进行良好屏蔽 如今可能造成射频干扰的原因正不断增多,有些显而易见容易跟踪,有些则非常细微,很难识别发现。虽然仔细设计基站可以提供一定的保护,但多数情况下对干扰信号只能在源头处进行控制。本文讨论射频干扰的各种可能成因,了解其根源后将有助于工程师对其进行测量跟踪和排除。 射频干扰信号会给无线通信基站覆盖区域内的移动通信带来许多问题,如电话掉线、连接出现噪声、信道丢失以及接收语音质量很差等,而造成干扰的各种可能原因则正以惊人的速度在增长。 如今最新最先进的复杂电信技术还必须与旧移动通信系统(如专用无线通信或寻呼等)共存于一个复杂环境中,其中多数旧系统在以后若干年里还将一直用下去;与此同时,其它无线RF设备如数字视频广播和无线局域网等又会产生新的可能使通信服务中断的信号。 由于环境限制越来越大,众多新业务竞相挤占有限的蜂窝站点,使得蜂窝信号发射塔上竖满了各种天线。而随着我们越来越多地通过移动电话联系、在互联网上观看多媒体表演和进行商业贸易,甚至不久我们的汽车、冰箱和电烤箱也将使用RF信号互相交流,通信的天空将变得更加拥挤。 引起RF干扰的原因 大多数干扰都是无意造成的,只是其它正常运营活动的副产品。干扰信号只影响接收器,即使它们在物理上接近发射器,发射也不会受其影响。下面列出一些最常见的干扰源,可以让你知道在实际情况下应该从何处着手,要注意的是大多数干扰源来自于基站的外部,也即在你直接控制范围之外。 1.发射器配置不正确 另一个服务商也在你的频率上发射信号。多数情况下这是因为故障或设置不正确造成的,产生冲突的发射器服务商会更急于纠正这个问题,以便恢复其服务。 2.未经许可的发射器 在这种情况下,其它服务商是故意在与你同一个频段上发射,通常是因为他根本
浅谈无线网络存在的安全问题及应对措施 摘要:无线网络相对于有线网络系统更容易遭遇非法攻击和入侵。无线网络遭遇盗用、无线用户信息被窃听、遭遇无线钓鱼攻击是最为常见的安全问题。无线网络存在的安全问题是由多种原因造成的,无线网络工作方式的特点、破解无线带来的直接经济价值、用户的安全意识淡薄是其中最重要的原因。采取一定的策略能够增强无线网络的安全性。 关键词:无线网络;安全;措施 相对于有线网络,无线网络的客户端接入网络不受网线接头的物理位置限制,更加方便快捷。随着笔记本电脑、3G手持设备等客户端的发展,无线网络的应用越来越广泛。但是,无线网络中存在的安全问题一直没有得到有效解决,这些安全问题导致了许多安全隐患并成为威胁网络安全的一大源头。 一、无线网络存在的安全问题 无线网络存在的安全问题突出表现在四个方面,即无线网络被盗用、网络通信被窃听、遭遇无线钓鱼攻击和无线AP遭遇控制。 1.1 无线网络被盗用 无线网络被盗用是指用户的无线网络被非授权的计算机接入,这种行为被人们形象地称为“蹭网”。无线网络被盗用会对正常用户造成很恶劣的影响。一是会影响到正常用户的网络访问速度;二是对于按照网络流量缴纳上网服务费用的用户会造成直接经济损失;三是无线网络被盗用会增加正常用户遭遇攻击和入侵的几率;四是如果黑客利用盗用的无线网络进行黑客行为造成安全事件,正常用户可能受到牵连。 1.2 网络通信被窃听 网络通信被窃听是指用户在使用网络过程中产生的通信信息为局域网中的其他计算机所捕获。由于大部分网络通信都是以明文(非加密)的方式在网络上进行传输的,因此通过观察、监听、分析数据流和数据流模式,就能够得到用户的网络通信信息。例如,A计算机用户输入百度的网址就可能为处于同一局域网的B计算机使用监视网络数据包的软件所捕获,并且在捕获软件中能够显示出来,同样可以捕获的还有MSN聊天记录等。 1.4遭遇无线钓鱼攻击 遭遇无线钓鱼攻击是指用户接入到“钓鱼”无线网络接入点而遭到攻击的安全问题。无线钓鱼攻击者首先会建立一个无线网络接入点,“欢迎”用户接入其无线接入点。但是,
无线网络安全问题研究的论文 一: 有线网络的发展和普及为人类社会带来了巨大变革,为了更好的方便日常生活和工作,人们对于实现随时随地上网越来越渴求,由此,无线网络应运而生,一经出现便迅速普及,极大的满足了人们的日常上网需求。但如何安全有效的应用无线网络又称为人们新一轮关 注的焦点。针对无线网络安全问题采取应对措施,是当前急需解决的重要问题。 一、无线网络安全问题 在无线网络系统中,由于配置较为简单,更多通入的虚拟网络,由此也就导致其容易 出现信息安全问题,而这必然会对无线网络应用造成巨大影响。为了满足无线网络发展需求,首先要找出网络运行中的安全问题。 一防火墙问题 在计算机网络运行中,防火墙设置是必要的,而在无线网络中设置防火墙也同样重要,但是,在设置防火墙的过程中,由于粗心或者其他因素导致无线系统的接入点连在防火墙 外面,由此导致防火墙等同虚设,不安全因素不断入侵,严重影响到无线网络使用。 二非授权用户接入问题 相对于有线网络来说,无线网络的使用具有更大的危险性,这主要是由无线网络的虚 拟性决定的。在无线网络的应用过程中,如果对于无线网络系统设置的安全防护较低,或 者是未设置安全防护措施,那这些用户就属于非授权用户,要是利用攻击工具对无线网络 进行攻击,就会对无线局域网内的所有用户造成入侵,从而造成严重后果。在此过程中, 带宽是一定的,其他用户的非法入侵会导致无线局域网内部的流量被占用,降低此局域网 内用户的网络流量,大大降低网络速度,影响到这部分用户对无线网络的正常使用,严重 的还会导致局域网内的合法用户无法正常登陆,造成极大损失。 三数据安全问题 网线网络表现出的最大一个优点就是使用方便,这也是有线网络无法比拟的,但也正 是由于无线网络使用中具有的配置简单特点,使得无线网络信号传输只能够通过开放的形 式进行传送,如果非法用户或者是恶意攻击者破解无线网络的传输密钥,则会导致网络信 息传输出现失误,接收方接收到错误的信息,从而给其带来巨大的损失。在这个过程中, 数据信息已经遭到严重破坏,而接收方和发送方却并不知道信息遭到破坏,这样不仅会导 致信息接收失误,同时还会导致传送方于接收方出现矛盾,制约其之间的联系。 四工作环境问题
本栏目责任编辑:冯蕾无线传感器网络攻击与防范 刘勇,侯荣旭 (沈阳工程学院计算中心,辽宁沈阳110136) 摘要:无线传感器网络安全机制的研究一直是传感器网络的研究热点,该文主要介绍了无线传感器网络各层的攻击方式以及各个攻击方式的防范措施。 关键词:无线传感器网络;安全;攻击;防范 中图分类号:TP393文献标识码:A 文章编号:1009-3044(2013)35-7927-02 Wireless Sensor Network Attack and Prevention LIU Yong,HOU Rong-xu (Computer Center,Shenyang Institute of Engineering,Shenyang 110136,China) Abstract:The security mechanism research of wireless sensor network has been a hot research topic of sensor networks,this pa?per mainly introduces the wireless sensor network attack means of each layer and the preventive measures against various attacks. Key words:Wireless Sensor Networks;security;attack;prevention 无线传感器网络(wireless sensor networks)是结合传感器技术、计算和通信的产物,并作为一种全新的信息获取和处理技术在国际上备受关注。由于现代科学的通讯技术和微型制造技术的不断提高,致使传感器不但具有感应外界环境的能力,而且还有独立处理信息和无线通讯的能力,外观上也变得越来越小。无线传感器网络属于自组织多跳式的网络,它可以在一定范围内自行组建网络,一个终端节点可以通过多条路径把信息传送到另一个节点。无线传感器网络通常适用于通讯距离较短和功率较低的通信技术上,但由于传感器网络自身的一些特性,致使其更容易遭受到各种形式的攻击。因此,无线传感器网络的安全面临着巨大挑战。 1无线传感器网络攻击与防范 无线传感器网络要想进入实际应用,安全因素是必须要考虑的,这样就需要可行的安全机制。作为一种特殊的Ad-hoc 网络,无线传感器网络又具有自组网络的多跳性、无中心性和自组织性等独特的特征,所以现有的网络安全机制没有办法用到本领域上。鉴于无线传感器网络面临的诸多威胁,并针对网络安全性能要求,下面我们将对无线传感器网络进行分层分析。 1.1物理层的攻击与防范 物理层的攻击包括物理破坏、信息泄露和拥塞攻击。由于无线传感器网络所处的环境比较恶劣,通常使用者没有办法进行现场监控,所以攻击者就可以利用这一特点轻易对该节点进行破坏或者进一步对节点进行内存重写以甚至替代该节点的攻击。又由于攻击者可以轻易监听暴露在物理空间上的无线信号,这样就造成信息的泄露。再者,攻击者还可以通过在无线传感器网络工作的频段上不断发射无用信号,致使该节点不能正常工作,如果这种攻击节点的密度达到一定程度时,就可以使得整个网络处于拥塞状态而无法进行正常工作。 物理层防范的关键之处在于建立有效的数据加密机制,因为传感器节点在计算能力和存储空间上有一定的局限性限,所以,轻量级的对称加密算法可以有效地被采用,同时非对称密钥加密系统也在探索之中,例如基于椭圆曲线的密钥系统。再者,扩频或者跳频技术也可以有效抵抗电波干扰。 1.2链路层的攻击和防范 数据链路层的攻击包括耗尽攻击、碰撞攻击和链路层DOS 攻击:攻击者可以利用无线传感器网络协议存在的漏洞,持续向一个节点发送数据包,最后使其忙于处理这些无意义的数据包而耗尽资源,从而令合法用户无法访问,这种攻击叫做耗尽攻击。而防止耗尽攻击的方法有限制节点的发送次数和在协议上设置重发次数的上限值等等。攻击者还可以利用数据链路层的媒体接入机制的漏洞进行传输数据包,从而进行碰撞攻击,这会使正常的数据无法传输,最终耗尽节点的能量资源,而防止碰撞攻击可以采用纠错编码、信道监听等手段来完善链路层的协议,具体为,先采用信道监听和重传机制来防止恶意节点数据包的碰撞攻击,再进行控制MAC 层的接入,使网络自动把过多的请求进行忽略,这样就可以不必对每个请求都应答,节省了通信的开销。攻击者还可以利用恶意节点或者被俘节点来不断在网络上发送高优先级的数据包来占据信道,导致其他节点无法传送正常的数据,这种DOS 攻击不但可以存在于数据链路层,还可以存在于物理层、网络层和传输层,对于DOS 攻击,可以采用短包策略或者弱化优先级之间的差异的方法来防止恶意节点发送的高优先级的数据包。 1.3网络层的攻击和防范 在无线传感器网络中,传感器节点大都密集分布在一个区域中,信息需要若干节点的传送才能到达目的地,又因为传感器网收稿日期:2013-09-20 作者简介:刘勇(1973-),男,辽宁沈阳人,高级实验师,硕士,主要研究方向为网络研究。 7927
Wi-Fi上网速度慢的原因和10大提速方法 虽然802.11n可能还会存茬很多年,第1套801.11ac芯片即将来到,不管是企业还是家庭使用.然而,n标准承诺滴300Mbps(兆比特每秒)很少实现,并且它被证明给50/100Mbps宽带连接、1080p视频流、这些大规模备份等带来巨大瓶颈问题.茬企业方面,1些琐碎滴工作(例如远程桌面或实时协作)都受到糟糕滴Wi-Fi连接滴影响. 茬我们滴测试中,我们经常会看到这样滴结果:通过802.11n连接,只相隔几米(中间只有1面墙)滴设备速度会下降到只有2-15Mbps,这里就是你会遇到滴问题: 1. 0.5-2 Mbps:对于这个速度,足够你应付所有基本滴聊天和邮件服务,不过加载1些内容丰富滴網站时会比较慢. 2. 4-5 Mbps:足够处理所有網站和基本视频流 3. 20+ Mbps:这是HD流需要滴最低速度.1个典型码率滴720p iTunes电视节目是2-6Mbps,你滴路由器需要补偿给其他连接滴客户端和预缓冲. 4. 50+ Mbps:可以支持1080p电影和空中备份. 如果你很憎恨如此慢滴Wi-Fi速度,但又不想回到以太網,我们为你提供了1些技巧来提高速度. 1.检查你滴路由器滴生态设置 有些路由器茬默认情况下被设置为“省电”模式,其目标:节约几毫瓦电.但是,这种值得称道滴方法会相应地减少带宽.虽然我信任滴Linksys WRT610N路由器并没有设置为这种不必要滴省电模式,不过我其调为省电模式来看这样做对带宽滴影响. 如果比起节省几毫瓦电,你更重视带宽,那么请检查路由器滴设置,找到被称为“发射功率”或者各种Eco模式滴选项,并将它们关闭.此外,检查你滴路由器是否开启了某些“自动”传输设置,你应该将其关闭.
( 安全管理 ) 单位:_________________________ 姓名:_________________________ 日期:_________________________ 精品文档 / Word文档 / 文字可改 浅谈无线网络安全防范措施(新 编版) Safety management is an important part of production management. Safety and production are in the implementation process
浅谈无线网络安全防范措施(新编版) 无线局域网的基本原理就是在企业或者组织内部通过无线通讯技术来连接单个的计算机终端,以此来组成町以相互连接和通讯的资源共享系统。无线局域网区别于有线局域网的特点就是通过李间电磁波来取代传统的有限电缆来实施信息传输和联系。对比传统的有线局域网,无线网络的构建增强r电脑终端的移动能力,同时它安装简单,不受地理位置和空间的限制大大提高了信息传输的效率。同时,也正是由于无线局域网的特性,使得其很难采取和有线局域网一样的网络安全机制来保护信息传输的安全,换句话无线网络的安全保护措施难度原因大于有线网络。 IT技术人员在规划和建设无线网络中面临两大问题:首先,市面上的标与安全解决方案太多,到底选什么好,无所适从;第二,如何避免网络遭到入侵攻击?在有线网络阶段,技术人员可以通过部署防火墙硬件安全设备来构建一个防范外部攻击的防线,但是,“兼
顾的防线往往从内部被攻破”。由于无线网络具有接人方便的特点,使得我们原先耗资部署的有线网络防范设备轻易地就被绕过,成为形同虚设的“马奇诺防线”。无线网络作为一种新型的便捷性网络资源,正在日益普及,尤其是在现代办公的应用更是大势所需,对我技侦而言,尤其是在近些年办案过程中,无线网络传输的应用尤为重要, 无线网络的安全性成为应用中的一大难题。下面就无线网络的安全隐患,提出了相应的防范措施。 1、常见的无线网络安全措施 无线网络受到安全威胁,主要是因为“接入关”这个环节没有处理好,因此以下从两方面着手来直接保障无线网络的安全性。 1.1MAC地址过滤 MAC地址过滤作为一种常见的有线网络安全防范措施,凭借其操作手法和有线网络操作交换机一致的特性,经过无线控制器将指定的无线网卡MAC地址下发至每个AP中,或者在AP交换机端实行设置,或者直接存储于无线控制器中。
高校思科无线网络解决方案 成都某科技大学校A区数字化校园是一个全新的系统,网络用户总数超过8万,它需要与该校其他校区实现网络互联和资源共享,并且开展远程教学、视频会议、资源共享和远程办公。A校区通过有线和无线手段覆盖整个校区。网络设计上要求高带宽、高可靠性、高可扩展性,以及较高的安全保护能力和便于集中管理。 无线局域网作为有线局域网的延伸,依据局域网通信协议格式进行数据传输。在A校区网络无线局域网建设中,部署了遍布整个校区范围的无线网络,既有室内部分,也有室外两部分。 网络拓扑图如下: 在整个项目中,无线覆盖采用了以下几种类型: 单AP室内覆盖、室外覆盖,多AP覆盖。 单AP室内覆盖: 主要应用于教室、会议室、办公室,信号在此空间内覆盖,无需考虑室外信息的覆盖,室内部分都采用吸顶天线的方式进行操作。无线覆盖示意图示意图如下:
普通教室无线覆盖示意图 室外覆盖 室外空间主要部署在校区的公共场所、会议室、主干道及一些休闲空间。 多AP覆盖: 多AP覆盖包含两个方面的内容:一个是主要应用于图书馆、办公楼、会议室、开敞区域等位置的有规划多AP无线信号覆盖,二个是多个无线覆盖区域间,由于无线信号的无边界性造成的无意识多AP覆盖。不管是哪种情况,都需要合理的分配多个AP的无线信号信道、功率、负载等参数,在不产生冲突的情况下合理利用多个AP的连接资源,尤其是在该校A校区这种大规模无线覆盖的环境中,多AP无线信号的自动规划、自动调节、自动愈合更是成功部署的关键。在该项目中使用了思科统一无线网络解决方案来实现,AP的自动调节,自动愈合,和用户自动漫游等功能。
多AP覆盖-集中的无线资源管理 在该项目中,我们利用思科集中统一的无线解决方案,在核心交换机6509上插入WISM无线控制模块并配置了无线网络管理软件,为该校实现了:无线网络技术进一步扩展校园网的覆盖范围,使全校师生能够随时随地、方便高效地使用校园网络;促进教学和科研发展,进一步拓展研究空间,为大型科研活动和无线网络技术研究提供无线网络实验环境;提升校园网络环境,提高管理水平和效率,推动该校信息化建设;同时进一步加强了自身网络的管理和控制。
无线通信网络中的射频干扰成因与对策 射频干扰信号会给无线通信基站覆盖区域内的移动通信带来许多问题,如电话掉线、连接出现噪声、信道丢失以及接收语音质量很差等,而造成干扰的各种可能原因则正以惊人的速度在增长。 如今最新最先进的复杂电信技术还必须与旧移动通信系统(如专用无线通信或寻呼等)共存于一个复杂环境中,其中多数旧系统在以后若干年里还将一直用下去;与此同时,其它无线RF设备如数字视频广播和无线局域网等又会产生新的可能使通信服务中断的信号。由于环境限制越来越大,众多新业务竞相挤占有限的蜂窝站点,使得蜂窝信号发射塔上竖满了各种天线。而随着我们越来越多地通过移动电话联系、在互联网上观看多媒体表演和进行商业贸易,甚至不久我们的汽车、冰箱和电烤箱也将使用RF信号互相交流,通信的天空将变得更加拥挤。 引起RF干扰的原因 大多数干扰都是无意造成的,只是其它正常运营活动的副产品。干扰信号只影响接收器,即使它们在物理上接近发射器,发射也不会受其影响。下面列出一些最常见的干扰源,可以让你知道在实际情况下应该从何处着手,要注意的是大多数干扰源来自于基站的外部,也即在你直接控制范围之外。 ◆发射器配置不正确 另一个服务商也在你的频率上发射信号。多数情况下这是因为故障或设置不正确造成的,产生冲突的发射器服务商会更急于纠正这个问题,以便恢复其服务。 ◆未经许可的发射器 在这种情况下,其它服务商是故意在与你同一个频段上发射,通常是因为他根本没有拿到许可。他可能在一个频段上没有发现信号,于是假定没有人在使用
该频段,于是擅自加以利用。发放许可的政府机构通常有助于赶走这类无照经营者。 ◆覆盖区域重叠 你的网络或其它网络的覆盖区域在一个或多个信道上超过规定范围。天线倾斜不正确、发射功率过大或环境变化等都会引起覆盖区域重叠,如某人砍掉了一片树林或推倒一个建筑物,而这些原本可以阻挡另一位置上所发出的信号。 ◆自身信号互调 两个或两个以上信号混在一起后会形成新调制信号,但却不是任何所希望的信号。最常见互调是三次信号,例如两个间隔为1MHz的信号会在原高频信号之上1MHz和低频信号之下1MHz各产生一个新信号,如果原来两个信号分别处于800和801MHz频段,则将在799和802MHz出现三次信号。 ◆与另一发射器信号互调 互调干扰也可能由于一个或多个外部无线信号通过天线馈送同轴电缆,然后进入造成冲突的发射器非线性终端放大器造成,外来信号相互混杂并与发射器自己的信号混在一起,形成一个看上去像是通信频段中的“新”频率互调信号(经常都是不希望的)。 也可能由两个外部信号产生干扰信号,而造成冲突的发射器本身的信号没有参加,外部信号只是正好用到发射器的非线性级而混在了一起。在这种情况下,混在一起的两个信号没有一个有问题,肇事者是发射器。 解决这个问题有点难度,因为它要求对看上去工作正常的发射器进行改动。需要增加一个窄带滤波器以尽可能衰减外面的信号,再加一个铁氧体绝缘子使RF从发射器传送到天线并衰减馈线上返回的信号。在同时使用多个不同频率的发射塔上,业主经常要求所有发射器都安装这类滤波器和绝缘子。 ◆生锈的围墙/房顶等造成的互调
无线网络安全 随着计算机科技的日新月异,传统的有线网络已经慢慢的转向了无线网络,人们所拥有的设备也慢慢的从固定设备到移动设备的转换,所以,在现在这样的时代里,无线网络作为对有线网络的一种补充,给大家带来了许多便利,但同样也使我们面临着无处不在的安全威胁,尤其是当前的无线网络安全性设计还不够完善的情况下,这个问题就显得更加突出了。 一、无线网络所面临的安全威胁问题 安全威胁是非授权用户对资源的保密性、完整性、可用性或合法使用所造成的危险。无线网络与有线网络相比只是在传输方式上有所不同,所有常规有线网络存在的安全威胁在无线网络中也存在,因此要继续加强常规的网络安全措施,但无线网络与有线网络相比还存在一些特有的安全威胁,因为无线网络是采用射频技术进行网络连接及传输的开放式物理系统。下表所示的是无线网络在各个层会受到的攻击: 无线网络一般受到的攻击可分为两类:一类是关于网络访问控制、数据机密性保护和数据完整性保护而进行的攻击;另一类是基于无线通信网络设计、部署和维护的独特方式而进行的攻击。对于第一类攻击在有线网络的环境下也会发生。可见,无线网络的安全性是在传统有线网络的基础上增加了新的安全性威胁。总体来说,无线网络所面临的威胁主要表现下在以下几个方面。 1.1DHCP导致易侵入 由于服务集标识符SSID易泄露,黑客可轻易窃取SSID,并成功与接入点建立连接。当然如果要访问网络资源,还需要配置可用的IP地址,但多数的WLAN
采用的是动态主机配置协议DHCP,自动为用户分配IP,这样黑客就轻而易举的进入了网络。 1.2无线网络身份验证欺骗 欺骗这种攻击手段是通过骗过网络设备,使得它们错误地认为来自它们的连接是网络中一个合法的和经过同意的机器发出的。达到欺骗的目的,最简单的方法是重新定义无线网络或网卡的MAC地址。 由于TCP/IP(TransmissionControlProtocol/InternetProtocol,传输控制协议/网际协议)的设计原因,几乎无法防止MAC/IP地址欺骗。只有通过静态定义MAC 地址表才能防止这种类型的攻击。但是,因为巨大的管理负担,这种方案很少被采用。只有通过智能事件记录和监控日志才可以对付已经出现过的欺骗。当试图连接到网络上的时候,简单地通过让另外一个节点重新向AP提交身份验证请求就可以很容易地欺骗无线网身份验证。 1.3网络接管与篡改 同样因为TCP/IP设计的原因,某些欺骗技术可供攻击者接管为无线网上其他资源建立的网络连接。如果攻击者接管了某个AP,那么所有来自无线网的通信量都会传到攻击者的机器上,包括其他用户试图访问合法网络主机时需要使用的密码和其他信息。欺诈AP可以让攻击者从有线网或无线网进行远程访问,而且这种攻击通常不会引起用户的怀疑,用户通常是在毫无防范的情况下输人自己的身份验证信息,甚至在接到许多SSL错误或其他密钥错误的通知之后,仍像是看待自己机器上的错误一样看待它们,这让攻击者可以继续接管连接,而不容易被别人发现。 1.4窃听 一些黑客借助802.11分析器,如果AP不是连接到交换设备而是Hub上,由于Hub的工作模式是广播方式,那么所有流经Hub的会话数据都会被捕捉到。如果黑客手段更高明一点,就可以伪装成合法用户,修改网络数据,如目的IP 等。
思科一体化无线网络(Cisco Unified Wireless Network)技术优势详述 Cisco 通过引入基于LWAPP协议(轻型AP协议,IETF的最新草案)的全新无线局域网架构――思科一体化无线网络,将无线局域网技术带到了一个新的发展阶段。这种对无线AP进行集中控制的整体架构具有多种优点,在无线局域网的便利接入、安全无线连接、灵活部署、轻松运营、可视化维护方面,都提供了实用的工具和有效的手段。 思科一体化无线网络整体解决方案是由下列单元构成的有机整体: ?运行轻型接入点协议(LWAPP)的接入点:负责射频信号收发和射频扫描(定位和恶意AP扫描,收集信号,分析在控制器)。插上网线是对其唯一的手工操作。 ?无线局域网控制器:控制所有的无线的运转过程,有线/无线之间的数据处理等。 ?网络管理:图形界面管理,输入地理图和障碍信息,可以图示定位、射频信息,记录和审计,图示恶意AP,操作控制控制器的无线操作。一般和控 制器一起部署,客户的网管人员可以在WCS上监控和操作整个无线局域网络系统,所有操作以WEB方式完成。 ?定位服务器:提供定位计算分析,被跟踪定位的设备包括——具备Wi-Fi 接口的电脑/手持终端/VoWLAN话机,或是专门的有源RFID标签。 ?终端:兼容绝大多数厂商的终端设备,没有限制;但是满足CCX(思科兼容扩展计划,目前90%的802.11设备都支持不同版本的CCX)的客户端可以在安全、QoS、无线管理等方面获得更多的好处。 ?AAA服务器:提供集中认证,可以利用客户原有的RADIUS服务器。?Windows AD服务器:可以连接AAA服务器,当控制器到AAA进行认证时,AAA查询AD得到认证结果并返回,达到利用AD集中认证的结果。可以实现在终端上仅仅登陆域就可以实现无线同时认证集成的目的。 下面,我们会对思科一体化无线网络所具备的技术特点进行详细分析。
GSM无线网络干扰成因、测试及解决方案 在网络规模不断扩大的情况下,由于频率资源的限制,频率复用度必然增加;由于规划或地理位置的原因,在多小区的情况下多会产生同频、邻频干扰,使通信质量下降,网络服务性能变差。干扰是影响通话质量及掉话率、接通率等网络系统指标的重要因素。由于无线电波传播的特性,决定其在通信过程中必然受到外界多种因素的影响。但是由于网络内部原因,它还在一定程度上受到网络内部其它因素的影响,如同频干扰、邻道干扰,以及其它因网络某些参数设定不当而造成的干扰。这些干扰的存在给我们网络的正常运行带来了一定的不良影响。作为网络优化问题的核心问题,解决无线干扰问题显得越来越重要。本文拟对产生无线干扰的原因进行分析,介绍干扰日常测试方法,并介绍干扰的解决方法与经验。 l.干扰产生的原因分析 网络干扰的原因主要可以分为两大类:外界频率干扰和设备交调干扰。外界频率干扰又可以分为同频干扰和邻频干扰。同频干扰是指由其他信号源发来信号与有用信号的频率相同,并以同样的方式进入中频通带的干扰。邻频干扰是指 K十 l、 K—1频道,对工作在 K 频道的基站引起的邻频干扰。邻频干扰的大小取决于接收机中频滤波器的筛选能力以及发信机在相邻频道通带内的边带噪声。外界频率干扰主要由于小区规划不合理,而引起的同频与邻频干扰;交调干扰主要表现为设备本身通信指标下降或故障而引起的干扰。通过对网络运行情况及各种测试结果的分析,产生干扰的原因主要有以下一些因素: 1.1外界频率干扰 外界频率干扰的主要表现为小区规划不合理、天线参数选择以及小区参数调整不当等原因造成,致使用户在同一地点而收到相同或相连的频点且载干比小于 9dB,在通信过程中产生严重的背景噪音甚至掉话。在实际网络运行中频率干扰是干扰产生的最主要原因且在高密度网络中大量存在。 (l)频率规划或频点设定不正确,造成同频、邻频现象在短距离范围内存在,从而造成干扰。这种现象主要出现在地区边界和省际边界的地方,在网络扩容工程结束初期该现象也出现。 (2)频率复用不当或频率复用的两小区之间的距离不够,造成同频干扰。 (3) MS—TXPRW—MAX—CCH、 BS—TXPWR—CCH、 BS—TXPWR—MAX、 BS—TXPWR—MIN等小区功率参数设置不合理。如 MS— TXPWR— MAX— CCH参数设置过高,则在基站附近的移动台会对本小区造成较大的邻信道干扰,影响小区中其它移动台的接通和通话质量;过小则在小区边缘的手机将很难占上信道,且受外界干扰更大。 BS—TX-PWR—MAX—CCH