為網絡管理員,安全問題是最不能忽視和回避的,有線網防火墻、IDS、IPS,無線網全都使用安全級別很高的802.1x認證方式,但是如果公司內部人員私自接入一個AP,用于實時的向外界泄露機密文件,或者別有用心的人在公司閑置的網絡接口安放非法AP竊取敏感信息,看似固若金湯的網絡安全很可能就會因這個“蟻穴”而全盤崩潰。
我們在使用無線網前,都會需要知道當前無線網絡的SSID,才可以關聯到AP上,SSID是尋找wifi服務的一個重要步驟。
那么什么是SSID?SSID(Service Set Identifier),它是用來區分不同的網絡,簡單說,SSID就是一個局域網的ID,SSID只不過是一個標識,它能和“安全”扯上什么關系呢?讓我先看一下連接AP的過程,點擊右下角的圖標,選擇要連接的SSID,如果需要認證,填寫兩遍密碼,這樣就完成了無線網的連接。
為什么我能看到SSID?那是因為AP在設置的時候打開了廣播SSID(Broadcast SSID)選項,目的是方便User的連接,如果黑客們想通過安放非法的Rogue AP在網絡內來竊取機密數據,相信它不會傻到打開廣播,告訴管理員你的網絡內有一個“信號質量非常好”的AP存在吧?我們可以大膽的假設,凡是我們見到的不認識的SSID都可能是非法的,凡是我們看不到的隱藏的SSID肯定是非法的!也許現在您的網絡內就存在這樣一顆罪惡的小AP!
使用艾爾麥WiFi Analyzer 這款專業的無線網測試軟件,能夠快速準確的獲得我們需要的信息,而且告訴我們它原本是不廣播SSID的,禁用SSID廣播這種小伎倆根本隱瞞不過它的法眼,只需查看搜索設備的詳細信息,找到“Annouced SSID(通告SSID):NO和SSID:test_lab”內容,即可看到當前設備SSID廣播狀態(如右圖示)。此外,我們可以借助定向天線,定位這樣的非法設備,將這些隱藏AP找到。
我們來看一下AP是如何將SSID廣播出去的。AP只要接通電源就會發送Beacon frame(信標幀)廣播,BI(信標幀的發送間隔)為100毫秒,也就是說每秒鐘發送10個信標,信標中包括最基本的信號強度,所在的Channel(信道),當然還有SSID等等。如果AP廣播SSID,那么信標幀中會包含SSID的信息就會被添加到中廣播出去,這樣在PC“查看無線網絡”的時候就能看到有這么一個SSID的存在。如不廣播SSID的Beacon幀里不再包含SSID信息。“隱身術”就是這么實現的。艾爾麥WiFi Analyzer可以捕捉這一過程,只需要查看AP設備的詳細信息,即可看到隱藏的AP(如右圖所示)。
另一方面,很多企業出于安全考慮,都關閉了AP的SSID廣播。但是禁用了SSID廣播,仍然可以通過偵聽無線數據包“透視”無線網絡查找SSID。黑客們可以通過其他手段捕獲PC關聯過程,獲取隱藏的SSID信息,從而進一步滲透你的網絡。
一個龐大復雜的網絡對于網絡管理員來說,需要快速準確的獲得網絡內的信息,通過借助高效專業的測試工具,幫助其解決面臨的各類無線網絡安全問題。
艾爾麥WiFi Analyzer無疑是首選的無線網絡管理軟件,它可以快速的實現對當前無線網絡的完全透視,查找當前無線網內存在性能與安全問題,通過強大的內置專家分析引擎,為用戶提供分析、判斷、定位、解決所面臨的所有無線網絡問題。
綜上所述,我們不要被XP系統顯示的“區域中找不到無線網絡”所迷惑,認為網絡內根本不存在無線網絡設備,俗話說眼見為實,使用專業的無線網測試軟件進行周期性測試,才能確保萬無一失。安恒公司的無線網測試工程師在現場測試的過程中發現了大量隱藏的非發AP,使用WiFi Analyzer不但可以查找存在的非法AP更能定位非法設備的物理位置。