我们是否应该因隐藏SSID而遭受连接问题?
在工作中,我们已经超越了“隐藏的SSID使我们的networking更加安全”的说法,但是为了用户的“方便”,为了减less与其他广播的SSID混淆,我们已经为我们的无线控制器添加了隐藏的SSID (主要用于networkingpipe理员)。 我们已经注意到了一些断开连接,并想知道这种设置是否存在一些已知的性能/可靠性问题,尤其是在我们网站上具有相同SSID的多个接入点时。
接入点上隐藏的SSID是否影响连接?
这是一个硬件问题(或某些硬件供应商的软件问题)。 我在无线networking上遇到了这个问题。 我也用“隐藏的SSID”来运行我的一个无线networking,并且遇到了一些问题。 我知道一个事实,即我们旧版的基于G4 / G5的Mac OS X机器不会保持连接到隐藏的SSIDnetworking。 我也遇到了不同版本的Windows上的一些旧的Linksys无线卡的问题。 其他卡和个人电脑没有问题。 我已经有几台机器完美地工作,没有呃逆。 其中大部分是来自戴尔的较新机器,或者有较新的无线网卡,包括较新的Linksys卡(这使我相信这可能是无线芯片组的问题,但我没有足够的certificate)。
当我将第一台Vista笔记本电脑带回家时,我遇到了一个D-Link路由器的问题,在那里我隐藏了SSID。 我每天必须添加networking,然后第二天就不会再find它,等等。 所以我GOOGLE了。 我发现的一个问题是,不仅“隐藏的SSID”不是一个小小的安全改进,实际上是一个很大的安全问题。
以下是来自http://technet.microsoft.com/的内容:
为什么非广播networking不是安全function
无线安全由两个主要元素组成:authentication和encryption。 身份validation控制对networking的访问,encryption确保恶意用户无法确定无线dataframe的内容。 尽pipe让用户手动configuration无线networking的SSID以连接到无线networking会产生提供附加安全层的错觉,但它并不能代替authentication或encryption。
非广播networking不可检测。 非广播networking在无线客户端发出的探测请求中以及对无线AP发送的探测请求的响应中公布。 与广播networking不同,运行带Service Pack 2的Windows XP或configurationService Pack 1的Windows Server(R)2003的无线客户端可以连接到非广播networking,这些客户端不断地公开这些networking的SSID,即使这些networking不在范围内。
因此,使用非广播networking会危及基于Windows XP或Windows Server 2003的无线客户端的无线networkingconfiguration的隐私,因为它定期公开其首选非广播无线networking。 当使用非广播networking来隐藏易受攻击的无线networking(例如使用开放式身份validation和有线等效保密的networking)时,基于Windows XP或Windows Server 2003的无线客户端可能会无意中帮助恶意用户,他们可以检测到无线networking的SSID从尝试连接的无线客户端。 可以从互联网免费下载的软件利用这些信息披露,并针对非广播networking。
由于定期通告非广播networking名称的无线客户端的数量,企业无线networking的这种行为更糟糕。 例如,一个企业无线networking由20个无线接入点和500个无线笔记本电脑组成。 如果将无线APconfiguration为广播,则每个无线AP将周期性地通告企业的无线networking名称,但是仅在无线AP的范围内。 如果将无线APconfiguration为非广播,则基于Windows XP或Windows Server 2003的500台笔记本电脑中的每一台都将周期性地发布企业无线networking名称,无论其位置如何(在办公室,无线热点或家中)。
由于这些原因,强烈build议您不要使用非广播无线networking。 相反,将无线networkingconfiguration为广播,并使用无线networking硬件和Windows的身份validation和encryption安全function来保护您的无线networking,而不是依赖非广播行为。
根据我的经验,针对隐藏SSID的连接问题最常见的问题是客户端连接configuration中的拼写错误。 大小写敏感通常是我的罪魁祸首。
它可能根本就不用SSID。 你可能想看看无线控制器本身。 在我工作的一个地方,我们使用同一个控制器运行两个无线networking,一个用于客人,另一个用于用户。 我们发现,会有随机的连接损失,有时,其中一个networking会消失。 最后,我们给每个networking自己的专用控制器,问题得到解决。 当然,这可能不是最佳解决scheme,但可能是你想要考虑的事情。
使SSID“隐藏”只是防止它在信标中广播; 所以我希望没有连接问题。
检查可能的干扰源,尝试更换频道等。
留下整个安全的晦涩的讲话到一边……如果你打破了SSID足够长的时间来使用它,但是通常需要为客户端连接问题通常需要多长时间呢? 如果在隐藏的情况下正常工作,但在隐藏时遇到问题,则有罪魁祸首。 如果您在隐藏时仍然存在连接问题,那么您的问题就出在其他地方。
“封闭networking”是指SSID不包含在信标帧中。 信标帧仍然是周期性地发送的,因为它们对于networking的操作是重要的,所以在802.11无线networking的操作的通信量或性能方面将看不到任何改变。
从安全angular度来看,SSID在探测请求和关联请求中仍然可见,所以它不是什么安全function。 但是因为您正在讨论将其用于networkingpipe理员,所以我认为这是一个不错的可用性select – 让您的普通用户在他们可能关联的无线networking列表中再看到一个选项。
正如其他人所说,一个缺点是人们必须记住如何打字。 使用较旧版本的Windows和某些驱动程序软件时,如果键入不存在的SSID的名称,则最终会创build一个临时networking,并input其他用户可能尝试join的错误名称,你回到有最终用户试图join错误的networking。
我猜想一些较老的驱动程序可能会遇到与隐藏的SSID相关联的networking问题,但802.11的“function”实在太旧了,所以如果实际上导致了连接问题,我会感到惊讶。
您添加的每个额外的BSSID(这是大多数现代AP和控制器创build新的SSID的方式)将会在信标和pipe理stream量中增加一些开销,无论SSID是否被公布。 如果您可以通过其他方式为pipe理员提供他们需要的额外访问权限(基于RADIUS的VLAN分配,基于angular色的策略在控制器上的执行等),而无需创build新的SSID,您可以考虑这一点。 但实践中可能没有太大的差别。
一些专用仪器和embedded式系统通过广播的SSID列表显示所有“可用networking”,但是它们现在越来越less。 我认为唯一需要考虑的是上面提到的关于检查干扰的方法,或者可能要扫描该地区的所有无线networking以查找可能的重叠。 有了隐藏的SSID,你可能永远不会有一个networking公司XBOX360,这是肯定的;)
我会质疑隐藏SSID信标会带来什么样的安全性好处,以代替由执行不力的客户端造成的头痛。
所有来自已authentication客户端的数据仍然通过空白传递,SSID以明文forms标记。 这些标识符很可能被第三方看到,而不是看看该地区的安全networking。