很多人对LAN(局域网)的监视和管理都比较熟,也都用过像Sniffer Ethereal这样的嗅探工具。WLAN(无线局域网)的底层通信基础是广播,它的安全隐患有着自己的特点,比如冒名AP(接入点)而导致的中间人攻击等。监视WLAN随着这种网络的普及而变得愈加重要,常见的做法是引入探针或传感器“嗅探”天空,然后交由专门的软件进行解码分析,发现无线网络中的问题。
前不久,美国《Network World》对一款WLAN分析仪—AirMagnet Distributed 4.0进行了测试。结合AP和安装于笔记本上的传感器,该软件能够帮助用户对802.11 a、b或g网络进行全面的分析。该产品具有出色的图形界面,广泛深入地涵盖了802.11 WLAN相关的问题。总体而言,它是一款非常好的产品。
AirMagnet Distributed包含四个组件:管理服务器,包含一个HTTP服务器;一个传感器,可以非线性地部署在整个网络中;分布式控制台,它基于Windows平台,用于组织来自AirMagnet服务器应用的各类信息以及一个报告系统。必须对每个传感器逐个进行初始化配置,因为这些传感器的出厂设置使用同一个IP地址。每个传感器都可覆盖802.11的三个模式(a、b和g)。选装的报告组件运行在Microsoft SQL Server 上,用于组织传感器生成的大量数据。
测试环境
测试使用了两种平台:一个是4000平方英尺的5层楼,另一个是相同面积的同层办公区。每次测试使用的传感器都为4个。
管理服务器安装在一台PC上(Windows XP操作系统),使用千兆以太网链路,并通过仿真VPN(两个Windows 2003企业版服务器)与另一个千兆以太网相连。每个网络都使用了自己的SSID(服务集识别码)。另外还使用了一台装有Linux的PC,用于LDAP(轻量级目录访问协议)验证和RADIUS服务。微软SQL Server 2000运行在本地局域网中的Windows 2003企业版服务器上。测试中还使用了许多不同品牌的客户端笔记本,所用的无线局域网卡也是多种多样。使用带外部触发器的Tektronics TDS6000B示波器,用于监视频率测量情况。
空中监听
传感器必须先找到分布式网络管理服务器。配置完成后,每个传感器都会在必要时从管理服务器获得软件更新。即使在一个充满了问题的无线网络中,发送到管理服务器的数据量也是非常低的,大约每分钟发送数千字节。监视机制可以生成两类数据:安全和性能。在缺省设置下,监视机制运行时的准则是“怀疑一切”。测试者分别在本地和VPN仿真环境中启动这些传感器,系统生成的警告可以通过电子邮件、短信、电话和Internet页面的方式发送。
缺省设置也会产生大量的信息和警告。比如发现了不支持802.11b至g平滑过渡的802.11g AP,一些较陈旧的AP是不支持这一功能的。用户可以在设置中去掉对这些内容的探测选项,这样就不会导致您的日志中塞满这些用处不大的信息。
使用这个系统的一项挑战是为被监视网络选择基线,并给出“常规”设置。幸运的是,管理控制台图形界面清晰明了,分为监视界面和策略/管理界面两部分,管理界面提供了各种可能的监视属性和条件的参考信息。要想理解这些设置,就必须对基于802.11网络的工作方式有很好的了解。
用户最好对AP离线的情况多加注意。这意味着某一个地区无法获得无线服务,因为AP已经断开或正在重启,或被恶意替换。AP离线的原因有很多,有的可能是因为电源问题,或者是因为人或物体干扰了传感器探测信号。鉴于此,传感器要放在不会被阻挡的地方,从而减少错报。为此,必须对传感器进行一些微调和定期调整。
