本帖最后由 lonelyarrow 于 2012-10-15 21:50 编辑
现在,多数家庭通过组建无线网络来访问因特网已经成为一个趋势。但其实在无线上网的背后有可能隐藏着许多的网络安全问题。原则上,无线网络比有线网络更容易受到入侵,因为被攻击端的电脑与攻击端的电脑并不需要网线设备上的连接,他只要在你无线路由器或中继器的有效范围内,就可以进入你的内部网络,访问的的资源,如果你在内部网络传输的数据并未加密的话,更有可能被人家窥探你的数据隐私。
无线使用者对其安全性问题都十分的关注,如果用户建立的无线网络中数据包没有经过任何加密就直接传输的,所以很容易被网络中不法分子或者sniffer监视出数据的本来面目。虽然大多家庭用户都明白这点,但很多用户对无线网络的安全设置感觉比较害怕,认为那是一件非常复杂的事情。其实无线网络安全设置并没大家想象中那么难,下面来一项项的告诉大家如何通过一些安全措施来让你的无线网络变的更安全、更可靠。
确认你的无线网络是否被黑
如果你担心你的无线网络已经在未经你许可的情况下被使用,你可以使用数据包嗅探软件监听你的无线网络。一个比较被广泛使用的嗅探器如见是Ethereal。他可以捕捉网络的通信情况并给你浏览网络活的选项。
确定你的所有本地机器的IP地址和路由器的IP地址(一般是192.168.1.1到192.168.255.255)打开一个DOS窗口,输入“ipconfig”如果你不确定你的电脑的IP地址。如果你发现一个IP地址在这个区段中,但是你又不认识这个IP,那么你可能就有一个不速之客。不用担心超出这个范围的地址。因为这可能是你正常的网络活动的结果。这个地址是来自Internet。一个合理和正确设置的防火墙可以让心怀恶意者无机可乘。
1.修改用户名和密码(不使用默认的用户名和密码)
一般的家庭无线网络都是通过通过一个无线路由器或中继器来访问外部网络。通常这些路由器或中继器设备制造商为了便于用户设置这些设备建立起无线网络,都提供了一个管理页面工具。这个页面工具可以用来设置该设备的网络地址以及帐号等信息。为了保证只有设备拥有者才能使用这个管理页面工具,该设备通常也设有登陆界面,只有输入正确的用户名和密码的用户才能进入管理页面。然而在设备出售时,制造商给每一个型号的设备提供的默认用户名和密码都是一样,不幸的是,很多家庭用户购买这些设备回来之后,都不会去修改设备的默认的用户名和密码。这就使得黑客们有机可乘。他们只要通过简单的扫描工具很容易就能找出这些设备的地址并尝试用默认的用户名和密码去登陆管理页面,如果成功则立即取得该路由器/交换机的控制权。
2.使用加密
所有的无线网络都提供某些形式的加密。攻击端电脑只要在无线路由器/中继器的有效范围内的话,那么它很大机会访问到该无线网络,一旦它能访问该内部网络时,该网络中所有是传输的数据对他来说都是透明的。如果这些数据都没经过加密的话,黑客就可以通过一些数据包嗅探工具来抓包、分析并窥探到其中的隐私。开启你的无线网络加密,这样即使你在无线网络上传输的数据被截取了也没办法(或者是说没那么容易)被解读。目前,无线网络中已经存在好几种加密技术。通常我们选用能力最强的那种加密技术。此外要注意的是,如果你的网络中同时存在多个无线网络设备的话,这些设备的加密技术应该选取同一个。WEP、WPA安全加密
在无线设置界面里的安全设置进入设置页面,安全设置选项分为禁用、WEP、WPA-PSK。可以根据需要,在该页面中选择加密方式。WPA与WEP不同,WEP使用一个静态的密钥来加密所有的通信。WPA不断的转换密钥。在家庭无线网络上使用的WPA版本是WPA-PSK。它使用一个种子字符串或者短语。这很像WEP。你必须注意要使用一个很难被猜到的短语或者字符串。但是,有些设备不能支持WPA。那么它就不能在WAP加密的无线网络上使用。(比如无线音乐设备)。所以你只能在你确定在你所有的客户端设备都支持的情况下启动这个级别的加密。
在无线路由的Web配置界面中,我们可以在“无线设置”菜单中找到“无线网络加密”选项;而如果用户的无线路由拥有“快速设置向导”等功能,也可以在“向导”中完成无线网络加密的设置。
常见的无线加密方式有三种:64/128位WEP加密、WPA加密和WPA2加密。需要特别说明的是,三种无线加密方式对无线网络传输速率的影响也不尽相同。由于IEEE 802.11n标准不支持以WEP加密(或TKIP加密算法)单播密码的高吞吐率,所以如果用户选择了WEP加密方式或WPA-PSK/WPA2-PSK加密方式的TKIP算法,无线传输速率将会自动降至11g水平(理论值54Mbps,实际测试成绩20Mbps左右)。 也就是说,如果用户使用的是11n无线产品(150M或300M),那么无线加密方式只能选择WPA-PSK/WPA2-PSK的AES算法加密,否则无线传输速率将会自动降低。而如果用户使用的是11g产品,那么三种加密方式都可以很好的兼容,不过仍然不建议大家选择WEP这种较老且更容易破解的加密方式。
3.修改默认的服务区标识符(SSID)
通常每个无线网络都有一个服务区标识符(SSID),无线客户端需要加入该网络的时候需要有一个相同的SSID,否则将被“拒之门外”。通常路由器/中继器设备制造商都在他们的产品中设了一个默认的相同的SSID。例如LINKSYS设备的SSID通常是“linksys”。如果一个网络,不为其指定一个SSID或者只使用默认SSID的话,那么任何无线客户端都可以进入该网络。无疑这为黑客的入侵网络打开了方便之门。
4.禁止SSID广播 在无线网络中,各路由设备有个很重要的功能,那就是服务区标识符广播,即SSID广播。最初,这个功能主要是为那些无线网络客户端流动量特别大的商业无线网络而设计的。开启了SSID广播的无线网络,其路由设备会自动向其有效范围内的无线网络客户端广播自己的SSID号,无线网络客户端接收到这个SSID号后,利用这个SSID号才可以使用这个网络。但是,这个功能却存在极大的安全隐患,就好象它自动地为想进入该网络的黑客打开了门户。在商业网络里,由于为了满足经常变动的无线网络接入端,必定要牺牲安全性来开启这项功能,但是作为家庭无线网络来讲,网络成员相对固定,所以没必要开启这项功能。关闭了SSID广播后,用户自己怎么知道该连接哪个无线网络呢?此外,又该如何连接呢?很简单,用户只需重新刷新无线网络列表,之后会看到一个没有名字(空白)的无线连接,双击它,在弹出的窗口中输入只有你自己知道的个性SSID名称和无线密钥即可连接。(如下图)
5.设置MAC地址过滤
众所周知,基本上每一个网络接点设备都有一个独一无二的标识称之为物理地址或MAC地址,当然无线网络设备也不例外。所有路由器/中继器等路由设备都会跟踪所有经过他们的数据包源MAC地址。通常,许多这类设备都提供对MAC地址的操作,这样我们可以通过建立我们自己的准通过MAC地址列表,来防止非法设备(主机等)接入网络。但是值得一提的是,该方法并不是绝对的有效的,因为我们很容易修改自己电脑网卡的MAC地址。
用户还可以点击任务栏的“开始”->运行->在弹出的“运行”窗口文本框内输入“cmd”,然后单击“确定”按钮;在命令窗口中输入“ipconfig /all”后回车,此时在显示的结果中同样可以找到MAC地址。
6.为你的网络设备分配静态IP
什么是DHCP?简单来说就是自动为连入无线网络的用户分配IP地址的一项功能,省去了用户手动设置IP地址的麻烦。那么关闭DHCP有什么作用呢?
由于DHCP服务越来越容易建立,很多家庭无线网络都使用DHCP服务来为网络中的客户端动态分配IP。这导致了另外一个安全隐患,那就是接入网络的攻击端很容易就通过DHCP服务来得到一个合法的IP。然而在成员很固定的家庭网络中,我们可以通过为网络成员设备分配固定的IP地址,然后再再路由器上设定允许接入设备IP地址列表,从而可以有效地防止非法入侵,保护你的网络。
7.确定位置,隐藏好你的路由器或中继器 大家都知道,无线网络路由器或中继器等设备,都是通过无线电波的形式传播数据,而且数据传播都有一个有效的范围。当你的设备覆盖范围,远远超出你家的范围之外的话,那么你就需要考虑一下你的网络安全性了,因为这样的话,黑客可能很容易再你家外登陆到你的家庭无线网络。此外,如果你的邻居也使用了无线网络,那么你还需要考虑一下你的路由器或中继器的覆盖范围是否会与邻居的相重叠,如果重叠的话就会引起冲突,影响你的网络传输,一旦发生这种情况,你就需要为你的路由器或中继器设置一个不同于邻居网络的频段(也称Channel)。根据你自己的家庭,选择好合适有效范围的路由器或中继器,并选择好其安放的位置,一般来讲,安置再家庭最中间的位置是最合适。
8.关闭无线网络 设置上网时间
其实保护无线网络安全最有效的方法就是关闭无线网络功能,这样非法入侵者即使再有能力也无法进入你的网络。当然,这里的“关闭”是指用户在不使用无线网络的时候。
而如果用户经常忘记关闭无线网络,那么通过设置“上网限制时间”同样可以提高无线网络的安全性,尤其是在用户日常上班或睡觉的时间,把这些时间段设置为禁止上网,从而减小被非法用户入侵的几率。目前很多新的无线路由均具有此功能,上班族们不妨一试哦。
总 结: 对普通家庭无线网络来说,经过以上的设置后无线网就可以放心的使用了。就像紧锁你的房门和窗户使你家得到安全保护一样,你也必须紧锁你的无线网络以达到安全。通过改变你的路由器缺省管理员密码、改变缺省的SSID和禁止SSID广播、改变你的IP地址配置、设置你的路由器使用加密,同时使用MAC地址过滤,你就能够安全地保护你的家庭无线网络。
| 
[复制链接]
发表于 2012-10-15 21:47:59
发表于 2012-10-16 11:28:11
楼主
貌似一样被很多工具完爆啊
