請問能防制無線網路Netcut的AP

顯示結果從第 1 筆 到 10 筆,共計 10 筆
  1. #1
    會員
    註冊日期
    2009-04-13
    討論區文章
    4

    請問能防制無線網路Netcut的AP

    大家好:

    在有線環境要防制ARP spoofing已經沒有問題,想請教大家在無線網路環境下,
    如何防制ARP spoofing之類的攻擊?

    我比較想從換基地台方面下手,因為使用者太多太雜(盡量不碰user電腦)。

    目前環境大約70個AP,在Layer 3的設備有綁IP/MAC,DHCP也會發給每組MAC固定的IP,Layer 3 上的IP/MAC(含無線網路vlan的gateway)都是static的,但是在AP底下的ARP spoofing就管不到。

    有測試過Aruba的設備,的確可過濾NetCut的攻擊封包,不過要更換到Aruba的架構,經費不知道什麼時候才爭取得到.....

    想在目前Fat AP架構下,擴充或汰換AP時,能購買內建防制ARP spoofing的設備。

    想請教大家,有這種功能的AP嗎?

    AXIMCom的「靜態 ARP 位址(阻擋 NetCut)」不知道是用什麼原理,以及設定方式來阻擋NetCut?

    懇請大家分享這方面的經驗,謝謝!



  2. #2
    會員 門神 的大頭照
    註冊日期
    2001-06-04
    所在地區
    100M/40M,16M/8M,3.5G
    討論區文章
    1,993

    回覆: 請問能防制無線網路Netcut的AP

    應該是有Wireless vLan跟iSolation的都OK

  3. #3
    FYI
    FYI 目前未上線
    會員
    註冊日期
    2001-06-22
    討論區文章
    7,295
    AP Isolation, 不過這樣一來, 網芳可能就不通了, 小弟沒試過

  4. #4
    會員
    註冊日期
    2005-04-18
    所在地區
    專線,ADSL,FTTB,FTTH
    討論區文章
    125

    回覆: 請問能防制無線網路Netcut的AP

    要看何謂IP&MAC 嗎,有多少種類嗎?
    http://www.pczone.com.tw/post/1054000/198/

    可以試看看,如果不行就如上面兩位講的吧!

  5. #5
    會員
    註冊日期
    2009-04-13
    討論區文章
    4

    回覆: 請問能防制無線網路Netcut的AP

    謝謝大家的回覆。

    不過我所有的AP都屬同一個VLAN,且沒有開啟NAT(因為要管控到每個MAC/使用者所使用的流量),user也都會拿到同網段的IP。

    假設開啟 iSolation,雖然AP底下的client不能互通,但會不會可以連到別台也有開啟iSolation 的AP底下的 client? 因為是透過兩台AP的有線網路?

    麻煩指點一下囉,謝謝!



  6. #6
    FYI
    FYI 目前未上線
    會員
    註冊日期
    2001-06-22
    討論區文章
    7,295
    引用 作者:yuntian 瀏覽文章
    假設開啟 iSolation,雖然AP底下的client不能互通,但會不會可以連到別台也有開啟iSolation 的AP底下的 client? 因為是透過兩台AP的有線網路?
    就小弟對於 "AP Isolation" 的瞭解, 應該只有禁止同一AP 之下的無線客戶端互通, 但任一無線客戶端可以和所有有線客戶端互通, 包含您所說的透過有線連接的另一台AP

  7. #7
    會員
    註冊日期
    2009-04-13
    討論區文章
    4

    回覆: 請問能防制無線網路Netcut的AP

    如果AP開啟isolation,連接AP的switch也開啟port isolation,來隔離各AP之間的通訊,應該就能徹底隔離所有無線的使用者囉?

    看來我要先把連接AP的switch換成支援port isolation功能的,還有換掉早期不支援AP isolation的AP。

    謝謝大家提供的資訊!

  8. #8
    FYI
    FYI 目前未上線
    會員
    註冊日期
    2001-06-22
    討論區文章
    7,295
    引用 作者:yuntian 瀏覽文章
    不過我所有的AP都屬同一個VLAN,且沒有開啟NAT(因為要管控到每個MAC/使用者所使用的流量),user也都會拿到同網段的IP。
    前一段小弟沒說清楚, 既然有VLAN, 那麼就只差無線的部份, 但由於你有70 個AP, 所以AP 也必須以VLAN 隔離, 而不是 "同一個" VLAN, 否則還是可以攻擊其他AP, 能否說明AP 的型號? 或許有機會更新韌體

    不過話說回來, 小弟認為要癱瘓無線網路應該不會很困難吧! 是否只要攻擊AP 就可以辦到? 不一定得攻擊其他無線用戶, 所以小弟懷疑最後的成效會是如何? 是否先把AP 以VLAN 隔離, 把範圍控制住再說? 而且70 個AP 是個龐大的工程, 建議請業者幫你整體分析一下, 順便改進無線網路的效能

  9. #9
    會員
    註冊日期
    2009-04-13
    討論區文章
    4

    回覆: 請問能防制無線網路Netcut的AP

    FYI兄:

    有一半的AP是Orinoco的,有支援Vlan、isolation。

    目前和廠商討論結果:
    1.預算夠: 換成Thin AP架構。
    2.預算不夠:換掉沒支援Vlan、isolation的AP,以及調整架構、換成有port isolation的switch,讓AP之間也不能互通。

    謝謝!

  10. #10
    FYI
    FYI 目前未上線
    會員
    註冊日期
    2001-06-22
    討論區文章
    7,295
    另一半是否名列DD-WRT & Tomato 支援名單之中?



類似的主題

  1. 想請各位教我如何挑選無線網路AP
    作者:t470470 所在討論版:-- 網 路 硬 體 版
    回覆: 57
    最後發表: 2011-04-04, 04:28 PM
  2. 【問題】使用windows來控制無線網路
    作者:tingzerro 所在討論版:-- 無 線 網 路 版
    回覆: 1
    最後發表: 2009-02-20, 09:44 AM
  3. 【硬體】請問誰可以幫我做無線網路AP延長發射範圍?
    作者:qwe0125 所在討論版:-- 無 線 網 路 版
    回覆: 11
    最後發表: 2006-01-17, 11:09 AM
  4. 請問我要購買Vigor無線網路AP,2500,2900,2600差別在哪?
    作者:cpthk 所在討論版:-- 網 路 硬 體 版
    回覆: 13
    最後發表: 2004-12-01, 10:13 AM
  5. 【求助】有線網路ip分享器後如何連接無線ap??
    作者:kk789 所在討論版:-- 無 線 網 路 版
    回覆: 2
    最後發表: 2004-08-13, 02:43 AM

 

aruba source nat fttb

發表文章規則

  • 不可以發表新主題
  • 不可以回覆文章
  • 不可以上傳附加檔案
  • 不可以編輯自己的文章
  •