無線安全設(shè)置之入門淺析
一、注意AP登陸密碼
對于網(wǎng)絡(luò)高手而言,進(jìn)行一些無線安全設(shè)置并不困難,但對于絕大多數(shù)用戶來說,其對這些設(shè)置并不是很了解,所以我們先從基礎(chǔ)講起。首先,要保證你的無線局域網(wǎng)安全就必需更改你的無線AP或無線寬帶路由器的默認(rèn)設(shè)置密碼。
大家知道,很多無線AP或無線寬帶路由器的登陸用戶名和密碼默認(rèn)情況下都是“admin”或廠家英文名簡稱如“TP-LINK、SMC等等”,這樣任何一個用戶就可比較輕易的進(jìn)入您的無線AP或無線寬帶路由器進(jìn)行設(shè)置和資料更改,更利害的是對寬帶較了解的用戶還可獲得你寬帶密碼。所以,最好將默認(rèn)的登陸密碼改為你自己易記的密碼,以訪非法用戶輕易對你的無線AP或無線寬帶路由器進(jìn)行控制
二、注意SSID設(shè)置
SSIDSSID全名ServiceSetIdentifier,譯為服務(wù)設(shè)置識別碼,是無線網(wǎng)絡(luò)最基本的身份認(rèn)證機(jī)制。其為一群無線區(qū)域網(wǎng)路裝置所共享的域名,舉凡無線網(wǎng)絡(luò)各個節(jié)點(diǎn)皆需設(shè)定相同的SSID才能相互傳輸。所以無線工作站必需出示正確的SSID,與無線AP或無線寬帶路由器的SSID相同,才能訪問無線AP或無線寬帶路由器;如果出示的SSID與無線AP或無線寬帶路由器的SSID不同,那么無線AP或無線寬帶路由器將拒絕他通過本服務(wù)區(qū)上網(wǎng)。
因此SSID可以提供簡單的口令認(rèn)證機(jī)制,從而實現(xiàn)一定的無線網(wǎng)絡(luò)安全。此外,SSID可用來區(qū)分不同的網(wǎng)絡(luò),最多可以有32個字符。網(wǎng)卡設(shè)置了不同的SSID就可以進(jìn)入不同網(wǎng)絡(luò),SSID通常由無線AP或無線寬帶路由器廣播出來,通過無線網(wǎng)卡或WindowsXP自帶的掃描功能都可以自動找到當(dāng)前無線區(qū)域內(nèi)的SSID。
大家知道,要對無線網(wǎng)絡(luò)進(jìn)行安全控制,一般可從訪問控制和數(shù)據(jù)加密兩方面下手。其中訪問控制保證敏感數(shù)據(jù)只能由授權(quán)用戶進(jìn)行訪問,SSID就是這樣。在實際設(shè)置時,多數(shù)無線AP或無線寬帶路由器在出廠時都是默認(rèn)“允許廣播SSID”的,而要使無線局域網(wǎng)更安全,可進(jìn)入無線AP或無線寬帶路由器的配置頁面,將SSID設(shè)為“不廣播SSID”,這樣其它用戶要想自動進(jìn)入你的這個無線局域網(wǎng),就要手工輸入正確的“SSID”才能進(jìn)入網(wǎng)絡(luò),這在一定程度上可保證局域網(wǎng)的使用安全。
當(dāng)然,SSID控制也不是萬能的,對于多用戶無線系統(tǒng),特別是公用無線系統(tǒng)而言,其安全性同樣難以完全保證,因為用戶要自己配置客戶端系統(tǒng),就使得SSID可以被很多人知道,這也就容易共享給不懷好意的非法用戶。有些無線網(wǎng)卡功能較強(qiáng),具有查詢無線網(wǎng)絡(luò)上的SSID的功能,而且目前有些廠家的產(chǎn)品已支持ANY這種特殊的登陸方式,這樣,只要其電腦上的無線網(wǎng)卡處在無線AP或無線寬帶路由器的信號覆蓋范圍內(nèi),其都會自動連接到無線AP或無線寬帶路由器,這對SSID的安全性是一種考驗。
三、設(shè)置MAC過濾
什么是MAC呢?區(qū)別于IP地址,MAC(MediaAccessControl,介質(zhì)訪問控制)地址是網(wǎng)卡的物理地址,是識別局域網(wǎng)電腦的標(biāo)識。其長度為48位二進(jìn)制數(shù),由12個00~0FFH的16進(jìn)制數(shù)組成,每個16進(jìn)制數(shù)之間用“-”隔開,無論是有線網(wǎng)卡還是無線網(wǎng)卡其在全世界的MAC地址是唯一的,所以利用MAC地址和預(yù)設(shè)網(wǎng)絡(luò)ID來限制哪些網(wǎng)卡和接入點(diǎn)可以連入網(wǎng)絡(luò),完全可確保網(wǎng)絡(luò)安全。對于那些非法的接收者來說,截聽無線局域網(wǎng)的信號是非常困難的,從而可以有效防止黑客和入侵者的攻擊。
利用MAC功能,大家可在無線局域網(wǎng)的每一個無線AP或無線寬帶路由器下設(shè)置一個適用于無線網(wǎng)卡許可接入的用戶的MAC地址清單,MAC地址不在清單中的用戶,無線AP或無線寬帶路由器將拒絕其接入請求。
當(dāng)然,這個地址是需要你一一手工錄入的。所以這種方式要求無線AP或無線寬帶路由器中的MAC地址列表必需隨時更新,擴(kuò)展能力差,因此只適合小型網(wǎng)絡(luò)規(guī)模。
另外,非法用戶利用網(wǎng)絡(luò)偵聽手段有很容易竊取MAC地址。當(dāng)然,如果無線網(wǎng)中的無線AP或無線寬帶路由器數(shù)量太多,為了實現(xiàn)整個企業(yè)當(dāng)中所有無線AP或無線寬帶路由器統(tǒng)一的無線網(wǎng)卡MAC地址認(rèn)證,現(xiàn)在的無線AP或無線寬帶路由器也支持無線網(wǎng)卡MAC地址的集中Radius認(rèn)證。
四、設(shè)置WEP加密
要實現(xiàn)無線網(wǎng)絡(luò)安全光靠訪問控制肯定不行,數(shù)據(jù)加密也必不可少,數(shù)據(jù)加密可保證發(fā)射的數(shù)據(jù)只能被所期望的用戶所接收和理解,目前常見的數(shù)據(jù)加密方法有WEP等。
WEP(WiredEquivalentPrivacy)加密技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù),可滿足用戶較高層次的網(wǎng)絡(luò)安全需求。WEP使用了共享秘鑰RC4加密算法,密鑰長度最初為40位(5個字符),后來增加到128位(13個字符),有些新設(shè)備可以支持152位加密。使用靜態(tài)WEP加密可以設(shè)置4個WEPKey,使用動態(tài)(Dynamic)WEP加密時,WEPKey會隨時間變化而變化。
WEP加密采用靜態(tài)的保密密鑰,各WLAN終端使用相同的密鑰訪問無線網(wǎng)絡(luò)。WEP也提供認(rèn)證功能,當(dāng)加密機(jī)制功能啟用,客戶端要嘗試連接上AP時,AP會發(fā)出一個ChallengePacket給客戶端,客戶端再利用共享密鑰將此值加密后送回存取點(diǎn)以進(jìn)行認(rèn)證比對,只有正確無誤,才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源。
需要提醒的是,不是所有的無線網(wǎng)卡都支持128位或以上加密方式WEPKEY,有的老無線網(wǎng)卡可能只支持40位方式的加密或64位方式的加密,還有的根本就不支持。所以在設(shè)置無線AP或無線寬帶路由器的WEP加密時還需要根據(jù)無線網(wǎng)卡的情況來設(shè)置加密位數(shù)。
總之,基于WEP的共享密鑰認(rèn)證的目的就是實現(xiàn)訪問控制,然而其認(rèn)證信息易于偽造。但用戶的加密密鑰必須與AP的密鑰相同,并且一個服務(wù)區(qū)內(nèi)的所有用戶都共享同一把密鑰,由于同時更換密鑰的費(fèi)時與困難,所以密鑰通常很少更換,倘若一個用戶丟失密鑰,則會殃及到整個網(wǎng)絡(luò)。
此外,因為共享密鑰認(rèn)證是通過加密認(rèn)證質(zhì)詢文本來證明自己知曉共享密鑰,RC4算法存在弱點(diǎn),如果攻擊者監(jiān)聽到認(rèn)證應(yīng)答,則可以確定用于加密應(yīng)答的RC4密碼流。因此,通過監(jiān)聽一次成功的認(rèn)證,攻擊者就可以偽造認(rèn)證。而啟動共享密鑰認(rèn)證實際上降低了網(wǎng)絡(luò)的總體安全性,使猜中WEP密鑰更為容易。
總之,對于一般用戶而言,雖然SSID、MAC、WEP三種安全設(shè)置都有其固有的缺點(diǎn),但對于一般的家用或商用無線網(wǎng)絡(luò)用戶而言,通過上述三項無線安全的設(shè)置,已能基本確保無線網(wǎng)絡(luò)的數(shù)據(jù)安全,所以,其實用性還是很大的。
【編輯推薦】
