作為網(wǎng)絡(luò)管理員,安全問題是最不能忽視和回避的,有線網(wǎng)防火墻,IDS,IPS,無線網(wǎng)全都使用安全級(jí)別很高的802.1x認(rèn)證方式,但是如果公司內(nèi)部人員私自接入一個(gè)AP,用于實(shí)時(shí)的向外界泄露機(jī)密文件,或者別有用心的人在公司閑置的網(wǎng)絡(luò)接口安放非法AP竊取敏感信息,看似固若金湯的網(wǎng)絡(luò)安全很可能就會(huì)因這個(gè)“蟻穴”而全盤崩潰。
什么是SSID?SSID(Service Set Identifier),它是用來區(qū)分不同的網(wǎng)絡(luò)或自治域的,簡(jiǎn)單說,SSID就是一個(gè)局域網(wǎng)的ID,最多可以有32個(gè)字符。SSID只不過是一個(gè)標(biāo)識(shí),它能和“安全”產(chǎn)生什么關(guān)系呢?我們來回想一下我們連接公司AP的過程,點(diǎn)擊右下角的圖標(biāo),選擇要連接的SSID,如果需要認(rèn)證,填寫兩遍密碼,這樣就完成了無線網(wǎng)的連接。為什么我能看到SSID?那是因?yàn)锳P在設(shè)置的時(shí)候打開了Broadcast SSID選項(xiàng),目的是方便User的連接,如果黑客想通過安放非法的Rogue AP在網(wǎng)絡(luò)內(nèi)來竊取機(jī)密數(shù)據(jù),相信它不會(huì)傻到打開廣播,告訴管理員你的網(wǎng)絡(luò)內(nèi)有一個(gè)“信號(hào)質(zhì)量非常好”的AP存在吧?我們可以大膽的假設(shè),凡是我們見到的不認(rèn)識(shí)的SSID都可能是非法的,凡是我們看不到的隱藏的SSID肯定是非法的!也許現(xiàn)在您的網(wǎng)絡(luò)內(nèi)就存在這樣一顆罪惡的小AP!
雖然禁用了SSID廣播,但是我們?nèi)匀豢梢酝ㄟ^偵聽無線數(shù)據(jù)包“透視”無線網(wǎng)絡(luò)查找SSID,Airmagnet Laptop就是這樣一款專業(yè)的無線網(wǎng)測(cè)試軟件,禁用SSID廣播這種小伎倆根本瞞不過它的法眼,Annouced SSID(通告SSID):NO,SSID:test_lab。Airmagnet快速準(zhǔn)確的獲得了我們需要的信息,而且告訴我們它原本是不廣播SSID的,來看看此功能是如何實(shí)現(xiàn)的。
首先我們來看一下AP是如何將SSID廣播出去的。AP只要接通電源就會(huì)發(fā)送Beacon frame(信標(biāo)幀)廣播,BI(信標(biāo)幀的發(fā)送間隔)為100毫秒,也就是說每秒鐘發(fā)送10個(gè)信標(biāo),來看一下捕捉到的Beacon frame信標(biāo)幀, 看看它里面都有什么?最基本的信號(hào)強(qiáng)度,所在的Channel(信道),當(dāng)然還有SSID parameter set:”test_lab”等等。沒錯(cuò),如果AP廣播SSID,那么信標(biāo)幀中就會(huì)包含SSID的信息就會(huì)被添加到中廣播出去,這樣在PC“查看無線網(wǎng)絡(luò)”的時(shí)候就能看到有這么一個(gè)SSID的存在。不廣播SSID的Beacon幀是什么樣呢?(圖三),SSID parameter set:”