如何確保家庭無(wú)線網(wǎng)絡(luò)安全
本文主要針對(duì)家庭無(wú)線網(wǎng)絡(luò)用戶,給大家進(jìn)行了如何提高網(wǎng)絡(luò)安全性的詳細(xì)介紹,下面就給出了具體的操作步驟,相信看過(guò)此文會(huì)對(duì)你有所幫助。
如果你像我的朋友一樣,無(wú)線網(wǎng)絡(luò)保持大開(kāi)狀態(tài),那么,你的無(wú)線路由器范圍內(nèi)的任何人都可以通過(guò)你的網(wǎng)絡(luò)訪問(wèn)互聯(lián)網(wǎng)和你的家庭PC。如果你正處于這樣的境地,那么你需要做一些事情。你只要按照下面的五個(gè)步驟就可以為你的家庭無(wú)線網(wǎng)絡(luò)提供保護(hù)了。
步驟1:改變路由器的缺省管理員口令
基本上所有的路由器都提供一個(gè)缺省的用戶ID和口令。因?yàn)檫@個(gè)口令是眾所周知的,你必須更改這個(gè)缺省的口令。你可以通過(guò)運(yùn)行路由器安裝和配置向?qū)?lái)更改它,這個(gè)操作很簡(jiǎn)單。
如果你使用的路由器沒(méi)有提供這樣的向?qū)В憧梢酝ㄟ^(guò)使用瀏覽器連接到路由器來(lái)改變它。比如說(shuō),要連接到Linksys路由器,在路由器加電并且連接以太網(wǎng)網(wǎng)線之后,打開(kāi)一個(gè)Web瀏覽器,在地址欄中鍵入192.168.1.1,使用缺省的用戶ID和口令就可以登錄到路由器中,然后就可以更改缺省的口令。
步驟2:改變?nèi)笔〉腟SID,禁止SSID廣播
所有的路由器都綁定了一個(gè)由制造商提供的SSID,也就是服務(wù)設(shè)置識(shí)別碼。SSID是由32位字母或者數(shù)字組合成的,包含了一個(gè)無(wú)線局域網(wǎng)的ID或名字。例如,Linksys路由器的缺省SSID名字就是Linksys。缺省的SSID是眾所周知并且公開(kāi)發(fā)布的。因此,無(wú)線路由器的制造商建議你更改缺省的SSID以便它是唯一的。此外,他們還建議盡可能的經(jīng)常更改你的SSID,因?yàn)楹诳蛡冎溃瑸榱思尤胍粋€(gè)無(wú)線網(wǎng)絡(luò),無(wú)線網(wǎng)絡(luò)產(chǎn)品都首先監(jiān)聽(tīng)周期性廣播信標(biāo)消息(beacon messages),這些消息是不加密的,并且,這些消息包含了網(wǎng)絡(luò)的信息,比如網(wǎng)絡(luò)的SSID和訪問(wèn)網(wǎng)絡(luò)的IP地址等。
同樣的,一個(gè)路由器廣播它的路由器SSID。你需要禁止掉這個(gè)屬性。盡管這樣做并不能提供級(jí)別很高的保護(hù)(一些常用的工具,比如NetStumbler 就能夠探測(cè)隱藏的SSID),禁止掉SSID廣播能夠?yàn)槟阍黾右粚颖Wo(hù)措施。不過(guò),如果你禁止了SSID廣播,可能會(huì)引起一些設(shè)備的使用不便,比如HP Palmtops,可能就不能連接網(wǎng)絡(luò)或者經(jīng)常斷線。
步驟3:更改IP地址設(shè)置
路由器制造商為每一個(gè)路由器都設(shè)置了相同的IP地址。比方說(shuō)Linksys路由器的初始化IP地址為192.168.1.1。這些地址是公開(kāi)的,眾所周知的,這樣,不懷好意的用戶如果知道了你所使用的路由器的制造商和類(lèi)型,他們就可以輕易地獲取你的IP地址。因而,你應(yīng)該把更改IP地址作為配置過(guò)程的一部分。我們繼續(xù)以Linksys為例,你可以把缺省的IP地址192.168.1.1更改為192.168.10.1。盡管更改IP地址并不能保護(hù)路由器,但它能夠使偷聽(tīng)者不容易猜到IP地址。
DHCP在每一個(gè)路由器上缺省狀態(tài)也是激活的。DHCP提供客戶機(jī)器的IP地址信息。通常, DHCP服務(wù)器分發(fā)2-254范圍內(nèi)的IP地址。所以,有253個(gè)客戶機(jī)可以從你的路由器得到IP地址。你在家里可能沒(méi)有那么多的系統(tǒng),所以,最好縮減 DHCP的范圍為你所期望你的網(wǎng)絡(luò)中所包含機(jī)器的數(shù)量。根據(jù)我的經(jīng)驗(yàn),我設(shè)置我的路由器處理的地址數(shù)量為我網(wǎng)絡(luò)中機(jī)器的數(shù)量,在額外加上兩個(gè)為來(lái)訪的親朋好友準(zhǔn)備的地址。
步驟4:配置你的路由器啟用加密
路由器缺省的配置是不包含加密的。因?yàn)榧用苣軌蚪o你的無(wú)線通訊提供安全保護(hù),你必須激活它。不管怎樣,在配置加密之前,你必須了解一些關(guān)于無(wú)線加密的情況和不同類(lèi)型加密標(biāo)準(zhǔn)的保護(hù)程度,特別是WEP(有線等效加密)和WPA(WiFi保護(hù)訪問(wèn))。
WEP
WEP是802.11標(biāo)準(zhǔn)中的一個(gè)可選加密方式。大多數(shù)的NIC和AP廠商都支持WEP,也是家庭無(wú)線網(wǎng)絡(luò)安全中采用最普通的方式。然而,WEP有兩方面的局限性。第一,普通用戶很難記住它的長(zhǎng)密鑰。對(duì)這樣的用戶來(lái)講,配置網(wǎng)絡(luò)就是一個(gè)挑戰(zhàn)。第二,WEP最嚴(yán)重的問(wèn)題在于惡意用戶能夠使用一些免費(fèi)的工具(比如AirSnort、WEPCrack)輕易地破譯WEP加密的數(shù)據(jù)。通過(guò)在一個(gè)頻繁使用的無(wú)線網(wǎng)絡(luò)sniff大約5個(gè)小時(shí)(比如截取傳輸?shù)臄?shù)據(jù)包等),入侵者使用工具就可以確定WEP密鑰并且能夠訪問(wèn)網(wǎng)絡(luò)。
WEP的漏洞是眾所周知的。在2001年1月,UC Berkeley出版了關(guān)于WEP漏洞的白皮書(shū),在同年3月,馬里蘭州大學(xué)的計(jì)算機(jī)科學(xué)系三位教授發(fā)表了一篇叫做《Your 802.11 Wireless Network Has No Clothes》的論文,里面列出了WEP的漏洞。
盡管WEP不是可使用的最安全的方法,那它也比不使用加密要好。家庭網(wǎng)絡(luò)不像公司網(wǎng)絡(luò)那樣使用繁忙,所以入侵者要想破譯WEP密鑰,就不得不花費(fèi)比從公司網(wǎng)絡(luò)收集數(shù)據(jù)更多的時(shí)間來(lái)sniff家庭無(wú)線網(wǎng)絡(luò)。
WPA
WPA是繼承了WEP基本原理又解決了WEP缺點(diǎn)的一項(xiàng)新技術(shù),是即將推出的802.11i標(biāo)準(zhǔn)的附屬標(biāo)準(zhǔn),它將替代現(xiàn)行的WEP協(xié)議。WPA被設(shè)計(jì)用來(lái)使用802.1X認(rèn)證。
WPA比起WEP來(lái)一個(gè)最大的提升就是附加了TKIP(臨時(shí)密鑰完整性協(xié)議),它能夠使用加密的數(shù)據(jù)動(dòng)態(tài)(比如每10,000個(gè)數(shù)據(jù)包)改變密鑰。僅這一個(gè)改變就使WPA比WEP更安全。WPA的另一個(gè)優(yōu)勢(shì)就是它把pass phrase作為密鑰,這比WEP既長(zhǎng)又復(fù)雜的密碼更容易記憶和配置。圖1顯示了Linksys路由器的pass phrase密鑰配置界面。
WPA僅僅是從2004年2月份才變成一種標(biāo)準(zhǔn)的。從那時(shí)起,必須支持WPA的設(shè)備才能通過(guò)認(rèn)證,但是,舊的系統(tǒng)如果沒(méi)有經(jīng)過(guò)固件升級(jí)的話將不能支持WPA。如果你是在2004年2月以前購(gòu)買(mǎi)的設(shè)備,你就需要升級(jí)你的固件才能夠獲得WPA支持。
對(duì)于舊的路由器除了必要的升級(jí)外,客戶端的軟件升級(jí)也是必要的。比如,如果你沒(méi)有安裝過(guò)Windows XP SP2,那么你就不能下載安裝WPA的補(bǔ)丁。
步驟5:使用MAC地址過(guò)濾
每一個(gè)NIC都有一個(gè)惟一的MAC地址。你能夠配置大多數(shù)的無(wú)線路由器基于這些地址進(jìn)行過(guò)濾。要顯示XP下的包含MAC地址在內(nèi)的IP配置信息(如圖2 所示),需要鍵入C:>ipconfig /all命令。當(dāng)你知道了MAC地址后,你可以登錄到路由器,然后把MAC地址加入到過(guò)濾中。圖3顯示了如何將MAC地址加入到Linksys路由器中。
在增加MAC地址之前,你必須首先激活MAC過(guò)濾。大多數(shù)的路由器能夠讓你要么允許指定的特定PC訪問(wèn)網(wǎng)絡(luò),要么拒絕特定的PC訪問(wèn)網(wǎng)絡(luò)。圖4(圖4)展示了Linksys路由器允許列出的PC訪問(wèn)網(wǎng)絡(luò)的配置。一般情況下,你不需要知道誰(shuí)被拒絕訪問(wèn),因此,最好使用僅允許特定客戶訪問(wèn)選項(xiàng)。
過(guò)濾MAC地址也不是十分牢固的。入侵者能夠根據(jù)MAC地址過(guò)濾改變?cè)O(shè)備的MAC地址。但是不要忘了,黑客在行動(dòng)之前必須知道你的網(wǎng)絡(luò)中設(shè)備的MAC地址。
就像鎖住你的房間一樣
就像緊鎖你的房門(mén)和窗戶使你家得到安全保護(hù)一樣,你也必須緊鎖你的無(wú)線網(wǎng)絡(luò)以達(dá)到安全。通過(guò)改變你的路由器缺省管理員密碼、改變?nèi)笔〉腟SID和禁止 SSID廣播、改變你的IP地址配置、設(shè)置你的路由器使用加密,同時(shí)使用MAC地址過(guò)濾,你就能夠容易地保護(hù)你的家庭無(wú)線網(wǎng)絡(luò),就像我的朋友所做的那樣。盡管這樣并不能阻止瘋狂的就想侵入你的系統(tǒng)的人,但它還是能夠阻止大多數(shù)惡意用戶。
