-
請問能防制無線網路Netcut的AP
大家好:
在有線環境要防制ARP spoofing已經沒有問題,想請教大家在無線網路環境下,
如何防制ARP spoofing之類的攻擊?
我比較想從換基地台方面下手,因為使用者太多太雜(盡量不碰user電腦)。
目前環境大約70個AP,在Layer 3的設備有綁IP/MAC,DHCP也會發給每組MAC固定的IP,Layer 3 上的IP/MAC(含無線網路vlan的gateway)都是static的,但是在AP底下的ARP spoofing就管不到。
有測試過Aruba的設備,的確可過濾NetCut的攻擊封包,不過要更換到Aruba的架構,經費不知道什麼時候才爭取得到.....
想在目前Fat AP架構下,擴充或汰換AP時,能購買內建防制ARP spoofing的設備。
想請教大家,有這種功能的AP嗎?
AXIMCom的「靜態 ARP 位址(阻擋 NetCut)」不知道是用什麼原理,以及設定方式來阻擋NetCut?
懇請大家分享這方面的經驗,謝謝!:)
-
回覆: 請問能防制無線網路Netcut的AP
應該是有Wireless vLan跟iSolation的都OK
-
AP Isolation, 不過這樣一來, 網芳可能就不通了, 小弟沒試過
-
回覆: 請問能防制無線網路Netcut的AP
要看何謂IP&MAC 嗎,有多少種類嗎?
[url]http://www.pczone.com.tw/post/1054000/198/[/url]
可以試看看,如果不行就如上面兩位講的吧!
-
回覆: 請問能防制無線網路Netcut的AP
謝謝大家的回覆。
不過我所有的AP都屬同一個VLAN,且沒有開啟NAT(因為要管控到每個MAC/使用者所使用的流量),user也都會拿到同網段的IP。
假設開啟 iSolation,雖然AP底下的client不能互通,但會不會可以連到別台也有開啟iSolation 的AP底下的 client? 因為是透過兩台AP的有線網路?
麻煩指點一下囉,謝謝!;)
-
[QUOTE=yuntian;1054521]假設開啟 iSolation,雖然AP底下的client不能互通,但會不會可以連到別台也有開啟iSolation 的AP底下的 client? 因為是透過兩台AP的有線網路?[/QUOTE]
就小弟對於 "AP Isolation" 的瞭解, 應該只有禁止同一AP 之下的無線客戶端互通, 但任一無線客戶端可以和所有有線客戶端互通, 包含您所說的透過有線連接的另一台AP
-
回覆: 請問能防制無線網路Netcut的AP
如果AP開啟isolation,連接AP的switch也開啟port isolation,來隔離各AP之間的通訊,應該就能徹底隔離所有無線的使用者囉?
看來我要先把連接AP的switch換成支援port isolation功能的,還有換掉早期不支援AP isolation的AP。
謝謝大家提供的資訊!
-
[QUOTE=yuntian;1054521]不過我所有的AP都屬同一個VLAN,且沒有開啟NAT(因為要管控到每個MAC/使用者所使用的流量),user也都會拿到同網段的IP。[/QUOTE]
前一段小弟沒說清楚, 既然有VLAN, 那麼就只差無線的部份, 但由於你有70 個AP, 所以AP 也必須以VLAN 隔離, 而不是 "同一個" VLAN, 否則還是可以攻擊其他AP, 能否說明AP 的型號? 或許有機會更新韌體
不過話說回來, 小弟認為要癱瘓無線網路應該不會很困難吧! 是否只要攻擊AP 就可以辦到? 不一定得攻擊其他無線用戶, 所以小弟懷疑最後的成效會是如何? 是否先把AP 以VLAN 隔離, 把範圍控制住再說? 而且70 個AP 是個龐大的工程, 建議請業者幫你整體分析一下, 順便改進無線網路的效能
-
回覆: 請問能防制無線網路Netcut的AP
FYI兄:
有一半的AP是Orinoco的,有支援Vlan、isolation。
目前和廠商討論結果:
1.預算夠: 換成Thin AP架構。
2.預算不夠:換掉沒支援Vlan、isolation的AP,以及調整架構、換成有port isolation的switch,讓AP之間也不能互通。
謝謝!
-
另一半是否名列[URL="http://www.dd-wrt.com/wiki/index.php/Supported_Devices"]DD-WRT[/URL] & [URL="http://www.polarcloud.com/tomato"]Tomato[/URL] 支援名單之中?