僅靠加密還不夠 整體防護讓蹭網者無計可施
避免無線安全威脅不能全靠無線加密
我們曾給大家介紹了目前主流無線加密方式的優劣對比,為用戶選擇加密方式提供了一些指導,但需要指出的是,僅靠無線加密是不能夠完全杜絕外界帶來的無線安全威脅,還應該注意無線網絡的整體防護,只有在可能出現威脅的地方都加以小心,才能夠更有效地保護我們的無線安全,總結一下,主要有以下幾個方面。
更改默認設置
每個無線網絡產品在剛開始使用時都會有一個默認的用戶名和密碼,用戶在初次使用時一定要記得更改默認的用戶名和密碼。因為大部分無線網絡設備的用戶名和密碼都是通用的,因此其他人可以輕而易舉地通過默認的用戶名和密碼進入到你的網絡,從而獲得整個網絡的管理權限,甚至有的人會更改你的用戶名、密碼,讓真正的用戶都無從登錄,雖然通過恢復工廠設置還是可重新獲得控制權,但這勢必會讓人覺得很郁悶。
更改你AP或無線路由器的默認SSID,當你操作的環境附近有其他鄰近的AP時,更改默認的SSID就尤其需要了,在同一區域內有相同制造商的多臺AP時,它們可能擁有相同的SSID,這樣客戶端就會有一個相當大的偶然機會去連接到不屬于它們的AP上。在SSID中尤其不要使用個人的敏感信息。
屏蔽SSID廣播
許多AP允許用戶屏蔽SSID廣播,這樣可防范netstumbler的掃描,不過這也將禁止Windows XP的用戶使用其內建的無線Zero配置應用程序和其他的客戶端應用程序。盡管不能帶來真正的安全,但至少可以減輕受到的威脅,因為很多初級的惡意攻擊都是采用掃描的方式尋找那些有漏洞的系統。隱藏了SSID廣播,這種可能性就大大降低了。
給WIFI加把鎖
關閉機器或無線發射
關閉無線AP,這可能是一般用戶來保護他們的無線網絡所采用的最簡單的方法了,在無需工作的整個晚上的時間內,可以使用一個簡單的定時器來關閉我們的AP。不過,如果你擁有的是無線路由器的話,那因特網連接也被切斷了,這倒也不失為一個好的辦法。
在不能夠或你不想周期性地關閉因特網連接的情況下,就不得不采用手動的方式來禁止無線路由器的無線發射了,不管怎樣,在網絡關閉的時間,安全性絕對是最高的,畢竟沒人能夠連接不存在的網絡。
MAC地址過濾
MAC地址過濾是通過預先在AP在寫入合法的MAC地址列表,只有當客戶機的MAC地址和合法MAC地址表中的地址匹配,AP才允許客戶機與之通信,實現物理地址過濾。這樣可防止一些不太熟練的入侵初學者連接到我們的WLAN上,不過對老練的攻擊者來說,是很容易被從開放的無線電波中截獲數據幀,分析出合法用戶的MAC地址的,然后通過本機的MAC地址來偽裝成合法的用戶,非法接入你的WLAN中。
降低發射功率
一些無線路由器和接入點準許用戶降低發射器的功率,從而減少設備的覆蓋范圍。這是一個限制非法用戶訪問的實用方法。同時,仔細地調整天線的位置也可有助于防止信號落入其他人的手中。
此外還有一些諸如安裝功能強大的防火墻,保證殺毒軟件、網絡瀏覽器以及無線網絡客戶機程序實時級等,都可以幫助用戶減少外來入侵所帶來的困擾。
手工指定IP
為了方便客戶端設置,一般來說無線路由都會帶有DHCP功能。其實,對于小規模的無線網絡,我們完全可以直接手工為客戶端分配IP地址,而不必使用DHCP。因為使用DHCP后,我們不太容易分辯出在線用戶中哪些是正常的用戶,哪些是非法用戶。如果關閉DHCP,那么我們只需要查看當前在線用戶,如果發現其IP地址不是分配的,那么則說明其是非法侵入的。
主動搜索無線網絡
無線網絡的安全更多的時候是來自臨近用戶的侵入。例如隔壁用戶同樣使用了無線網絡,那么他在連接的時候則可能因為信號的穿透發現周圍有一個無線AP,人都是好奇的,這樣他就可能會想辦法侵入。基于這樣的道理,我們可以先關閉自己的無線AP(路由器),然后搜索一下附近是否有發射點,如果確認沒有的話再開啟自己的無線路由;如果有的話,那么則必須更加注意安全方面的防范。
【編輯推薦】
