無線路由器的配置解析
“無線一族”的家族成員在日益壯大,無線網絡的安全關注度也在提高。可以說,無線比有線網絡保護難度更大,因為有線網絡的固定物理訪問點數量有限,而無線網絡中信號可以說無限。因此各大品牌廠商把精力花費在無線路由器的配置設計方面,如增加了密鑰、禁止SSID廣播等手段,但這些安全設置能否有效?今天就以支持 IEEE 802.11g標準的無線設備為例,通過實測的方式,帶領大家將疑問剖析。
設置網絡密鑰
無線加密協議(WEP)是對無線網絡中傳輸的數據進行加密的一種標準方法。現在大多數的無線設備只具備WEP加密,更為安全的WPA加密還未被廣泛使用。
目前,無線路由器或AP的密鑰類型一般有兩種。例如,所使用的無線路由器便有64位和128位的加密類型,分別輸入10個或26個字符串作為加密密碼。
在這里要提醒各位,許多無線路由器或AP在出廠時,數據傳輸加密功能是關閉的,如果你拿來就用而不作進一步設置的話,那么你的無線網絡就成為了一個“不設防”的擺設。因此,為你的無線網絡進行加密設置是極為重要的。
測試結果:選用了64位加密方式,實測中,通過Network Stumbler等軟件發現了無線網絡的存在,但由于無法獲取密碼,不能使用該無線網絡。
禁用SSID廣播
通俗地說,SSID便是你給自己的無線網絡所取的名字。需要注意的是,同一生產商推出的無線路由器或AP都使用了相同的SSID,一旦那些企圖非法連接的攻擊者利用通用的初始化字符串來連接無線網絡,就極易建立起一條非法的連接,從而給我們的無線網絡帶來威脅。因此,建議你最好能夠將SSID命名為一些較有個性的名字。
無線路由器一般都會提供“允許SSID廣播”功能。如果你不想讓自己的無線網絡被別人通過SSID名稱搜索到,那么最好“禁止SSID廣播”。你的無線網絡仍然可以使用,只是不會出現在其他人所搜索到的可用網絡列表中。
小提示:通過禁止SSID廣播設置后,無線網絡的效率會受到一定的影響,但以此換取安全性的提高,認為還是值得的。
測試結果:由于沒有進行SSID廣播,該無線網絡被無線網卡忽略了,尤其是在使用Windows XP管理無線網絡時,達到了“掩人耳目”的目的。
禁用DHCP
DHCP功能可在無線局域網內自動為每臺電腦分配IP地址,不需要用戶設置IP地址、子網掩碼以及其他所需要的TCP/IP參數。如果啟用了DHCP功能,那么別人就能很容易地使用你的無線網絡。因此,禁用DHCP功能對無線網絡而言很有必要。
在無線路由器的“DHCP服務器”設置項下將DHCP服務器設定為“不啟用”即可。
測試結果:由于無法獲得IP地址和DNB服務器信息,既使能找到該無線網絡信號,仍然不能使用網絡。
無論公司的政策是否允許使用無線802.11技術,長期保護無線網絡防止受到侵擾或非法接入都是非常必要的。
除了企業級的無線接入點,廉價的即插即用消費級設備的應用也越來越多。由于終端用戶將這些設備加入企業有線局域網中,安全性遭到了破壞,因此企業網絡越來越容易受到攻擊。
非法接入點通常不是由黑客或懷有惡意的員工設置的,通常情況下它是在IT部門不知情的情況下由員工無意之中安裝的一個接入點。一旦在網絡上建立了一個接入點,黑客就可以通過使用這一非法接入點輕松地訪問您的企業網絡。因此,無線網絡接入點的檢測就成為很多企業的一項重要工作。
雖然您可以經常使用一臺檢測設備繞著您所在的建筑進行檢測來識別非法接入點,但這非常乏味且耗時。從您的有線網絡搜索無線接入點將會更快速更簡便。
使用OptiView集成式網絡分析儀,簡單地將它連接至網絡中,從有線網絡進行高級的主動搜索就可以查找到連接在廣播域中的所有設備,如果用戶輸入了廣播域外的地址范圍,它還可以搜索到廣播域外的設備。搜索過程自動通過互相連接的路由器、交換機、服務器、打印機和主機將設備分類。
如果您部署了合法的無線網絡接入點且它們是SNMP使能的,OptiView將會搜索到它們,并可以讓您深入查看詳細信息。只需簡單地點擊您所感興趣的接入點,然后點 Host Detail(主機詳情)按鈕即可。
使用所選擇的接入點的SNMP分析功能,可以提供圖形化的接入點利用率和錯誤率視圖。
在查看用戶AP接入時,如果您的終端用戶在網絡上安裝了一個接入點,它不是SNMP使能的,我們如何從有線網絡來定位它呢?
通常情況下您可能會查看在網絡上不常見的MAC地址。例如,D-Link、Netgear、LinkSys、Belkin及其它所有廉價接入點提供商的 MAC 地址前綴的所有主機。
讓我們來看看主動搜索功能發現了什么。搜索的窗口可以根據DNS名稱、IP地址或 MAC 地址存儲。只需輕觸 MAC地址標題就可以自動對地址進行排序,我們還可以簡便地向下滾動窗口來發現您網絡上沒有使用的不常見的 MAC 地址前綴。在該示例中,我們可以看到一臺 LinkSys 設備。由于它不是 SNMP 使能的,盡管搜索將這臺設備視為主機,但還是很難確定它究竟是集線器還是無線網接入點。
現在我們需要知道這臺設備的物理位置。如何來發現它呢?使用OptiView,只需簡單地點一下感興趣的設備,然后選擇HostDetail(主機詳情)按鈕即可。此時分析儀將會轉到工具菜單,您可以從中發現一個被稱做“Trace SwitchRoute”(交換機路由追蹤)的獨特功能。
當我們選擇TraceSwitchRoute標簽時,OptiView 將在源設備和目標設備之間自動確定第二層交換路徑。在該示例中,它是從 OptiView 分析儀到受到懷疑的非法接入點。顯示的信息告訴我們存在問題的設備連接在名稱為TAC_C_Pod 交換機的端口2 上。選擇有問題的交換機,點擊 Host Detail(主機詳情)按鈕,OptiView 就可以自動訪問所選擇的交換機。
分析儀顯示交換機端口和所連接的設備。由于有多個設備連接在交換機端口上,因此可以合理地假設在交換機端口上連接了一個HUB或接入點。我們如何來確定是非法接入點還是HUB 呢?有兩種選擇:1)到交換機那里,斷掉端口2;2)簡單地點擊 OptiView 上的鏈路或加載菜單,加載交換機上的 WEB 或 TELNET 對話,遠程地關掉端口。現在,網絡是安全的了,節省了搜尋非法接入點的時間。
(注本文轉自暴發爺的家園博客 作者暴發爺)
【編輯推薦】
