非广播网络并非不可检测。非广播网络在无线客户端发出的探测请求和对无线 AP 发出的探测请求的响应中进行通告。与广播网络不同,运行带有 Service Pack 2 的 Windows XP 或带有 Service Pack 1 的 Windows Server® 2003 并配置为连接到非广播网络的无线客户端会不断地披露这些网络的 SSID,即使这些网络不在范围内也是如此。
因此,使用非广播网络会损害基于 Windows XP 或 Windows Server 2003 的无线客户端的无线网络配置的隐私,因为它会定期公开其首选非广播无线网络集。当使用非广播网络隐藏易受攻击的无线网络(例如使用开放式身份验证和有线等效保密的无线网络)时,基于 Windows XP 或 Windows Server 2003 的无线客户端可能会无意中帮助恶意用户,这些用户可以检测到无线网络 SSID从尝试连接的无线客户端。可以从 Internet 上免费下载的软件利用了这些信息披露并针对非广播网络。
这种行为对于企业无线网络来说更糟,因为有很多无线客户端会定期通告非广播网络名称。例如,一个企业无线网络由 20 个无线 AP 和 500 台无线笔记本电脑组成。如果无线 AP 配置为广播,则每个无线 AP 会定期通告企业的无线网络名称,但仅限于无线 AP 的范围内。如果无线 AP 配置为非广播,则 500 台基于 Windows XP 或 Windows Server 2003 的笔记本电脑中的每台都会定期公布企业的无线网络名称,而不管它们的位置(办公室、无线热点或家中) )。
由于这些原因,强烈建议您不要使用非广播无线网络。相反,请将您的无线网络配置为广播,并使用无线网络硬件和 Windows 的身份验证和加密安全功能来保护您的无线网络,而不是依赖非广播行为。
这是硬件问题(或某些硬件供应商的软件问题)。我在无线网络上遇到过这个问题。我也使用“隐藏的 SSID”运行我的一个无线网络,并且遇到了一些问题。我知道我们旧的基于 G4/G5 的 Mac OS X 机器不会保持连接到隐藏的 SSID 网络。在各种版本的 Windows 上,我也遇到了一些较旧的 Linksys 无线卡的问题。其他卡和PC都没有问题。我有几台机器可以完美地工作而没有打嗝。其中大多数是戴尔的较新机器或具有较新的无线网卡,包括较新的 Linksys 卡(这让我相信这可能是无线芯片组问题,但我没有足够的证据证明这一点)。
当我把我的第一台 Vista 笔记本电脑带回家时,我遇到了隐藏 SSID 的 D-Link 路由器问题。每天我都必须添加网络,然后第二天它就找不到它了,依此类推。所以我用谷歌搜索了它。我发现的一件事是,“隐藏的 SSID”不仅不是一个小的安全改进,它实际上是一个大的安全问题。
这是来自http://technet.microsoft.com/的内容:
根据我的经验,针对隐藏 SSID 的连接问题最常见的问题是客户端连接配置中的拼写错误。区分大小写通常是我的罪魁祸首。
这是硬件问题(或某些硬件供应商的软件问题)。我在无线网络上遇到过这个问题。我也使用“隐藏的 SSID”运行我的一个无线网络,并且遇到了一些问题。我知道我们旧的基于 G4/G5 的 Mac OS X 机器不会保持连接到隐藏的 SSID 网络。在各种版本的 Windows 上,我也遇到了一些较旧的 Linksys 无线卡的问题。其他卡和PC都没有问题。我有几台机器可以完美地工作而没有打嗝。其中大多数是戴尔的较新机器或具有较新的无线网卡,包括较新的 Linksys 卡(这让我相信这可能是无线芯片组问题,但我没有足够的证据证明这一点)。
它可能根本与 SSID 无关。您可能想看看无线控制器本身。在我工作的一个地方,我们从同一个控制器运行两个无线网络,一个用于访客,一个用于用户。我们发现,连接会随机丢失,或者有时其中一个网络会消失。最终,我们为每个网络提供了自己的专用控制器,问题得到了解决。当然,这可能不是最佳解决方案,但它可能是您想要研究的东西。
将 SSID 设置为“隐藏”只是防止它在信标中广播;所以我希望没有连接问题。
检查可能的干扰源,尝试更换频道等。
将整个 Security by Obscurity 演讲搁置一旁……如果您将 SSID 揭开足够长的时间以使用它,无论客户端通常需要多长时间才能遇到连接问题,会发生什么?如果它在未隐藏时工作正常,但在隐藏时出现问题,那么你就是罪魁祸首。如果您在未隐藏时仍然存在连接问题,那么您的问题出在其他地方。
“封闭网络”意味着 SSID 不包含在信标帧中。信标帧仍会定期发送,因为它们对网络的运行很重要,因此您不会看到流量或 802.11 无线网络运行的任何性能方面的任何变化。
从安全的角度来看,SSID 在探测请求和关联请求中仍然可见,因此它不是一个安全功能。但是因为您正在谈论将它用于您的网络管理员,所以我认为这是一个不错的可用性选择 - 您可以让您的普通用户在他们可以关联的无线网络列表中看到更多选项。
正如其他人所说,一个缺点是人们必须准确记住如何输入它。对于旧版本的 Windows 和某些驱动程序软件,如果您输入不存在的 SSID 的名称,您最终将创建一个使用错误名称的 ad-hoc 网络,其他用户可能会尝试加入,这得到您又回到了尝试加入错误网络的最终用户。
我想一些较旧的驱动程序可能无法关联到具有隐藏 SSID 的网络,但 802.11 的“功能”确实很旧,所以如果它真的导致连接问题,我会感到惊讶。
您添加的每个额外 BSSID(这是大多数现代 AP 和控制器创建新 SSID 的方式)都会在信标和管理流量中增加一定数量的开销,无论该 SSID 是否被通告。如果您可以通过其他方式为管理员提供所需的额外访问权限(基于 RADIUS 的 VLAN 分配、控制器上基于角色的策略实施等),而无需创建新的 SSID,您可能会考虑这样做。但在实践中可能不会有太大差异。
一些专用仪器和嵌入式系统通过广播的 SSID 列表显示所有“可用网络”,但是它们现在越来越少。我认为唯一要考虑的另一件事是上面提到的,关于检查干扰,并可能对该区域内的所有无线网络进行扫描以寻找可能的重叠。使用隐藏的 SSID,您可能永远不会拥有联网的公司 XBOX360,这是肯定的;)
我会质疑隐藏 SSID 信标会带来什么安全好处,而不是由实施不当的客户端带来的头痛。
来自经过身份验证的客户端的所有数据仍然通过无线方式传递,SSID 以明文形式标记。第三方可能会看到这些标识符,而不仅仅是浏览该地区的安全网络。