會員 ![]() | 請問能防制無線網路Netcut的AP 大家好: 在有線環境要防制ARP spoofing已經沒有問題,想請教大家在無線網路環境下, 如何防制ARP spoofing之類的攻擊? 我比較想從換基地台方面下手,因為使用者太多太雜(盡量不碰user電腦)。 目前環境大約70個AP,在Layer 3的設備有綁IP/MAC,DHCP也會發給每組MAC固定的IP,Layer 3 上的IP/MAC(含無線網路vlan的gateway)都是static的,但是在AP底下的ARP spoofing就管不到。 有測試過Aruba的設備,的確可過濾NetCut的攻擊封包,不過要更換到Aruba的架構,經費不知道什麼時候才爭取得到..... 想在目前Fat AP架構下,擴充或汰換AP時,能購買內建防制ARP spoofing的設備。 想請教大家,有這種功能的AP嗎? AXIMCom的「靜態 ARP 位址(阻擋 NetCut)」不知道是用什麼原理,以及設定方式來阻擋NetCut? 懇請大家分享這方面的經驗,謝謝! ![]() |
回覆 |
www.ublink.org ![]() | 回覆: 請問能防制無線網路Netcut的AP 應該是有Wireless vLan跟iSolation的都OK |
回覆 |
會員 ![]() | AP Isolation, 不過這樣一來, 網芳可能就不通了, 小弟沒試過 |
回覆 |
會員 ![]() | 回覆: 請問能防制無線網路Netcut的AP |
回覆 |
會員 ![]() | 回覆: 請問能防制無線網路Netcut的AP 謝謝大家的回覆。 不過我所有的AP都屬同一個VLAN,且沒有開啟NAT(因為要管控到每個MAC/使用者所使用的流量),user也都會拿到同網段的IP。 假設開啟 iSolation,雖然AP底下的client不能互通,但會不會可以連到別台也有開啟iSolation 的AP底下的 client? 因為是透過兩台AP的有線網路? 麻煩指點一下囉,謝謝! ![]() |
回覆 |
會員 ![]() | |
回覆 |
會員 ![]() | 回覆: 請問能防制無線網路Netcut的AP 如果AP開啟isolation,連接AP的switch也開啟port isolation,來隔離各AP之間的通訊,應該就能徹底隔離所有無線的使用者囉? 看來我要先把連接AP的switch換成支援port isolation功能的,還有換掉早期不支援AP isolation的AP。 謝謝大家提供的資訊! |
回覆 |
會員 ![]() | 前一段小弟沒說清楚, 既然有VLAN, 那麼就只差無線的部份, 但由於你有70 個AP, 所以AP 也必須以VLAN 隔離, 而不是 "同一個" VLAN, 否則還是可以攻擊其他AP, 能否說明AP 的型號? 或許有機會更新韌體 不過話說回來, 小弟認為要癱瘓無線網路應該不會很困難吧! 是否只要攻擊AP 就可以辦到? 不一定得攻擊其他無線用戶, 所以小弟懷疑最後的成效會是如何? 是否先把AP 以VLAN 隔離, 把範圍控制住再說? 而且70 個AP 是個龐大的工程, 建議請業者幫你整體分析一下, 順便改進無線網路的效能 |
回覆 |
會員 ![]() | 回覆: 請問能防制無線網路Netcut的AP FYI兄: 有一半的AP是Orinoco的,有支援Vlan、isolation。 目前和廠商討論結果: 1.預算夠: 換成Thin AP架構。 2.預算不夠:換掉沒支援Vlan、isolation的AP,以及調整架構、換成有port isolation的switch,讓AP之間也不能互通。 謝謝! |
回覆 |
|
XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。