Должны ли мы страдать от проблем с подключением из-за наличия скрытого SSID?
На работе мы отказались от аргумента «Скрытые SSID делают нашу сеть более защищенной», но для «удобства» пользователя и для того, чтобы сделать его менее запутанным с другими нашими широковещательными SSID, мы добавили скрытый SSID к нашему беспроводному контроллеру. (для использования в основном сетевыми администраторами). Мы отметили пару отключений и хотели бы знать, есть ли какие-либо известные последствия для производительности / надежности для такого типа настройки, особенно с несколькими точками доступа с одним и тем же SSID на нашем сайте.
Влияет ли наличие скрытого SSID на точке доступа на подключение?
У меня были проблемы с маршрутизатором D-Link, где я спрятал SSID, когда я принес домой свой первый ноутбук с Vista. Каждый день мне приходилось добавлять сеть, а на следующий день она не находила ее снова и так далее и тому подобное. Так что я погуглил. Одна из вещей, которые я обнаружил, - это аргумент, что «скрытый SSID» - это не только даже незначительное улучшение безопасности, но и большая проблема безопасности.
Вот содержание из http://technet.microsoft.com/:
Почему нешироковещательные сети не являются функцией безопасности
Безопасность беспроводной сети состоит из двух основных элементов: аутентификации и шифрования. Аутентификация контролирует доступ к сети, а шифрование гарантирует, что злоумышленники не смогут определить содержимое беспроводных фреймов данных. Хотя необходимость вручную настраивать SSID беспроводной сети для подключения к ней создает иллюзию обеспечения дополнительного уровня безопасности, она не заменяет ни аутентификацию, ни шифрование.
Сеть без широковещательной передачи не может быть обнаружена. Нешироковещательные сети объявляются в пробных запросах, отправляемых беспроводными клиентами, и в ответах на пробные запросы, отправляемые беспроводными AP. В отличие от широковещательных сетей, беспроводные клиенты под управлением Windows XP с пакетом обновления 2 или Windows Server® 2003 с пакетом обновления 1, настроенные для подключения к нешироковещательным сетям, постоянно раскрывают SSID этих сетей, даже если эти сети находятся вне зоны действия.
Следовательно, использование нешироковещательных сетей ставит под угрозу конфиденциальность конфигурации беспроводной сети беспроводного клиента под управлением Windows XP или Windows Server 2003, поскольку он периодически раскрывает свой набор предпочтительных нешироковещательных беспроводных сетей. Когда нешироковещательные сети используются для сокрытия уязвимой беспроводной сети, например, в которой используется открытая проверка подлинности и конфиденциальность, эквивалентная проводному соединению, беспроводной клиент на базе Windows XP или Windows Server 2003 может непреднамеренно помочь злоумышленникам, которые могут обнаружить SSID беспроводной сети. от беспроводного клиента, который пытается подключиться. Программное обеспечение, которое можно бесплатно загрузить из Интернета, использует раскрытие этой информации и предназначено для сетей, не связанных с вещанием.
Такое поведение хуже для корпоративных беспроводных сетей из-за количества беспроводных клиентов, которые периодически объявляют нешироковещательное сетевое имя. Например, беспроводная сеть предприятия состоит из 20 беспроводных точек доступа и 500 беспроводных ноутбуков. Если беспроводные точки доступа настроены для широковещательной передачи, каждая точка доступа будет периодически анонсировать имя беспроводной сети предприятия, но только в пределах диапазона беспроводных точек доступа. Если беспроводные точки доступа настроены как не широковещательные, каждый из 500 ноутбуков на базе Windows XP или Windows Server 2003 будет периодически объявлять имя беспроводной сети предприятия, независимо от их местоположения (в офисе, в точке доступа беспроводной сети или дома. ).
По этим причинам настоятельно рекомендуется не использовать нешироковещательные беспроводные сети. Вместо этого настройте свои беспроводные сети как широковещательные и используйте функции безопасности аутентификации и шифрования оборудования беспроводной сети и Windows для защиты беспроводной сети, а не полагайтесь на поведение, не связанное с широковещательной передачей.
По моему опыту, наиболее частая проблема с подключением к скрытым SSID - это опечатки в конфигурации клиентского подключения. Обычно я виноват в учете регистра.
Это проблема с оборудованием (или проблема с программным обеспечением некоторых поставщиков оборудования). У меня возникла эта проблема в моих беспроводных сетях. Я тоже использую одну из моих беспроводных сетей со «скрытым SSID», и у меня возникли некоторые проблемы с этим. Я точно знаю, что наши старые машины Mac OS X на базе G4 / G5 не будут оставаться подключенными к скрытой сети SSID. Я также столкнулся с проблемой с некоторыми старыми беспроводными картами Linksys в различных версиях Windows. Другие карты и ПК не имеют с этим проблем. У меня есть несколько машин, которые безупречно работали на нем без сбоев. Большинство из них являются более новыми машинами от Dell или имеют новые беспроводные карты, в том числе новые карты Linksys (что наводит меня на мысль, что это, вероятно, проблема с беспроводным чипсетом, но у меня недостаточно доказательств).
Возможно, это вообще не связано с SSID. Вы можете взглянуть на сам беспроводной контроллер. В одном месте, где я работал, мы запускали две беспроводные сети с одного контроллера, одну для гостей, а другую для пользователей. Мы обнаружили, что будут случайные потери соединений или, время от времени, одна из сетей исчезнет. В конце концов, мы предоставили каждой сети отдельный контроллер, и проблемы были решены. Конечно, это может быть не оптимальное решение, но это может быть то, на что вам стоит обратить внимание.
Создание «скрытого» SSID просто предотвращает его широковещательную передачу в маяке; так что я не ожидал никаких проблем с подключением.
Проверьте возможные источники помех, попробуйте переключить каналы и т. Д.
Оставив всю речь Security by Obscurity в стороне ... что произойдет, если вы откроете SSID достаточно долго, чтобы использовать его, сколько времени обычно требуется для клиентов, чтобы иметь проблемы с подключением? Если он работает нормально, когда не скрыт, но есть проблемы, когда он скрыт, у вас есть виноват. Если у вас все еще есть проблемы с подключением, когда они не скрыты, ваша проблема в другом.
«Закрытая сеть» означает, что SSID не включен в кадры маяка. Кадры-маяки по-прежнему отправляются периодически, потому что они важны для работы сети, поэтому вы не увидите никаких изменений в объеме трафика или в каких-либо аспектах производительности работы беспроводной сети 802.11.
С точки зрения безопасности SSID по-прежнему будет виден в запросах на зондирование и запросы на сопоставление, так что это не большая функция безопасности. Но поскольку вы говорите об использовании его для своих сетевых администраторов, я думаю, что это достойный выбор для удобства использования - вы не позволяете обычным пользователям видеть еще один вариант в своем списке беспроводных сетей, с которым они могли бы подключиться.
Как говорили другие, одним из недостатков является то, что люди должны точно помнить, как это набирать. В более старой версии Windows и некоторых программных драйверов, если вы введете имя SSID, которого не существует, вы в конечном итоге создадите специальную сеть с ошибочным именем, к которому другие пользователи могут попытаться присоединиться, что получит вы снова получаете конечных пользователей, которые пытаются присоединиться не к той сети.
Я полагаю, что у некоторых старых драйверов могут возникнуть проблемы с подключением к сетям со скрытыми SSID, но эта «функция» 802.11 действительно устарела, поэтому я был бы удивлен, если бы она действительно вызывала проблемы с подключением.
Каждый дополнительный BSSID, который вы добавляете (именно так большинство современных точек доступа и контроллеров создают новые SSID), будет добавлять некоторые накладные расходы в маяках и трафике управления в вашу сеть, независимо от того, объявляется ли SSID или нет. Если вы можете реализовать какой-либо другой способ предоставить администраторам дополнительный доступ, который им нужен (назначение VLAN на основе RADIUS, применение политик на основе ролей на контроллере и т. Д.) Без создания нового SSID, вы можете подумать об этом. Но на практике, наверное, особой разницы не будет.
Некоторые специализированные инструменты и встроенные системы показывают все «доступные сети» через список транслируемых SSID, однако сейчас их становится все меньше и меньше. Я думаю, что единственное, что следует учитывать, - это то, что было упомянуто выше, о проверке помех и, возможно, сканировании всех беспроводных сетей в области на предмет возможного перекрытия. Со скрытыми SSID у вас может никогда не быть сетевой компании XBOX360, это точно;)
Я бы задал вопрос, какие преимущества безопасности дает скрытие маяков SSID вместо головной боли, создаваемой плохо реализованными клиентами.
Все данные от аутентифицированных клиентов по-прежнему передаются по воздуху с отметкой SSID в виде открытого текста. Эти идентификаторы, вероятно, будут обнаружены третьей стороной, которая не только взглянет на защищенные сети в этом районе.