對于網(wǎng)管員來說，正確配置無線網(wǎng)絡(luò)的重要性不言而喻。當(dāng)然，要正確配置一個網(wǎng)絡(luò)，我們有很多方法。筆者在這里介紹的這些方法并非“捷徑”，但起 碼屬于最佳方法。在此，我們將依照重要性列示這三個建議：

　　一、SSID過多

　　運(yùn)行多個SSID有哪些壞處呢?因?yàn)槊總€無線射頻設(shè)備對每個SSID每秒鐘就要發(fā)送大約十次信號。因而，如果用戶的環(huán)境中擁有五個SSID，那 么每秒鐘用戶將進(jìn)行50次無線發(fā)送。所有的這些無線信號發(fā)送都占用可用的無線媒體，因而會減少可用的帶寬數(shù)量。有人也許會說自己的單位需要幾個不同的 SSID 用于不同的用戶組，目的是為了從邏輯上將用戶的通信發(fā)送到不同的VLAN，或者是利用不同的身份驗(yàn)證或加密機(jī)制(例如，內(nèi)部的雇員可能使用支持 WPA2/AES的802.1X，臨時客戶的數(shù)據(jù)可能被發(fā)送到?jīng)]有加密的強(qiáng)制網(wǎng)絡(luò)入口。)

　　但是，筆者經(jīng)常看到多個用戶組使用相同的身份驗(yàn)證和加密方法，但卻是關(guān)于不同的SSID的(不妨考慮一下一所大學(xué)的情形，大學(xué)學(xué)生和教職員工對 無線網(wǎng)絡(luò)的身份驗(yàn)證是以同樣的的方式進(jìn)行的，但卻是關(guān)于不同的SSID的)。在這種情形中，整合SSID是可能的，還可以充分利用“用戶組” 的概念。例如，學(xué)生和教工可位于活動目錄中的不同的組織單元中。學(xué)生和教工以同樣的SSID登錄進(jìn)入無線網(wǎng)絡(luò)。但是，在RADIUS服務(wù)器對無線網(wǎng)作出響 應(yīng)時，它會將組織單元作為一種RADIUS屬性而傳送。無線網(wǎng)絡(luò)會查看這種信息，并將終端用戶放置到恰當(dāng)?shù)挠脩艚M(學(xué)生或教工)中。無線網(wǎng)絡(luò)可以為每一個 用戶組創(chuàng)建特定的策略，根據(jù)多種選項(xiàng)(包括端口、服務(wù)、時間、IP地址、IP范圍等)來準(zhǔn)許或拒絕訪問。例如，僅準(zhǔn)許教工可以訪問包含學(xué)生等級信息的服務(wù) 器的IP地址。

　　利用用戶組可以減少無關(guān)緊要的SSID的數(shù)量，并減少無線媒體的使用。如此一來，無線信號的發(fā)送便會減少，因而會降低網(wǎng)絡(luò)的管理成本并增加可用 的網(wǎng)絡(luò)帶寬。

　　二、“隱藏”SSID廣播

　　SSID代表著服務(wù)集標(biāo)志，即用戶掃描無線網(wǎng)絡(luò)時在計算機(jī)上看到的網(wǎng)絡(luò)名稱。在多數(shù)接入點(diǎn)上都有一個選項(xiàng)讓用戶“隱藏”SSID，因而網(wǎng)絡(luò)名稱 在無線傳輸?shù)臄?shù)據(jù)幀上不再出現(xiàn)。在Windows操作系統(tǒng)中內(nèi)置的無線檢測軟件中，這些網(wǎng)絡(luò)并不作為可用的網(wǎng)絡(luò)連接選項(xiàng)而出現(xiàn)。但現(xiàn)在有太多的文章和專業(yè) 人士認(rèn)為應(yīng)當(dāng)禁用SSID的廣播，目的是可以保護(hù)無線網(wǎng)絡(luò)免受攻擊，因?yàn)檫@樣做會增加一層保護(hù)。這些人認(rèn)為，攻擊者會不斷地監(jiān)視自己的網(wǎng)絡(luò)、攻克網(wǎng)絡(luò)加密 和身份驗(yàn)證之前，必須花費(fèi)時間知道SSID，隱藏SSID會增加其攻擊的難度。

　　但是，不知這些人士是否知道，如今有不少商業(yè)及免費(fèi)的軟件可以快速地破解所謂的“隱藏”的SSID，如Kismet。還有 Netstumbler，它也許無法完全解析SSID，但是它會顯示一個空SSID的接入點(diǎn)的存在。Netstumbler會發(fā)送活動的探測請求，即使 SSID被隱藏了，根據(jù) IEEE的標(biāo)準(zhǔn)，仍要求接入點(diǎn)響應(yīng)這種請求。雖然這種響應(yīng)并不包含真實(shí)的SSID，但它會包含其它的有用信息，如MAC地址、信道號、信號強(qiáng)度等。攻擊者 可以使用這種信息作為攻擊的跳板，這正如在攻擊者發(fā)現(xiàn)了真實(shí)的SSID之后所做的一樣。