驱除威胁—无线网络防黑完全攻略
由于无线局域网以无线电波作为数据传输媒介,因此在安全问题上总会带给家庭用户或多或少的威胁,接下来我们选用支持WPA协议的中怡数宽IP806LM无线路由器,作为例子,手把手地教你进行无线局域网的安全设置。
更改预设的无线网络名称
每个无线网络都有一个识别名称,称为无线网络名称(Network Name)或服务集标志符(Service Set IDentifier, SSID)。所有无线路由器或无线AP,都有自身的无线网络名称,而且所有无线网络的客户端,都必须提供与之对应的无线网络名称,方能成功建立连接。
不过,大部分生产无线产品的厂商,都会以自己的名称(或“default”),作为无线接入点的预设名称。而且,为了方便用户进行连接,大部分的无线路由器或无线AP都会启动无线网络名称广播模式(SSID broadcast),使在覆盖范围内的无线设备都能够侦测到无线信号。然而这些设置,都为无线网络黑客大开方便之门。
因此在购买无线产品后,首先需要更改预设的无线网络名称,并关闭无线网络名称广播模式。
1.和其他无线宽带路由器一样,中怡数宽IP806LM同样支持Web页面管理方式。在浏览器内输入“http:// 192.168.0.1”(192.168.0.1就是无线路由器的IP地址)。
2.打开Web页面后,登录管理界面,可以在主菜单上点击“无线”进入配置界面(图1)。
3.在配置页面中取消对“广播SSID”的勾选,保存数据。
提示:如果想连接到这台无线路由器,你需要在配置无线网卡的时候手动添加SSID。
建立访问控制清单
大部分的无线路由器或无线AP都会容许用户以无线网卡存取控制地址(MAC address)来建立一个访问控制清单(Access Control List),无线路由器或无线AP只接受许可清单上的无线网卡进行连接,并禁止列于拒绝清单内的无线网卡连接该无线网络,此方法也称作媒体存取控制地址过滤(MAC address filtering)。
所谓MAC存取控制地址,其实是一个由厂商分配给网卡的物理地址,由12个以十六进制表示的字符所组成,用于识别计算机在网络中的位置。使用Windows操作系统的用户,可以通过“ipconfig /all”命令查到网卡的MAC地址。
利用无线网卡的MAC存取控制地址建立的访问控制清单,可使家里的无线路由器只能允许访问控制清单上的客户端进行连接,避免了黑客潜入家里的无线网络。
1.在上文所提到的无线配置界面中你可以看到如图2所示的两栏。
2.在这里你可以选择合适的无线客户端访问你的局域网或Internet。
3.点击“选择客户端”按钮,在列表中选择允许访问的PC(图3)。你不用担心用户改变IP地址后对它有影响,因为这个限制是根据网卡的硬件地址(MAC地址)而设的。
采用WEP/ WPA保密技术
有线对等保密(Wired Equivalent Privacy,WEP)是一种数据加密算法,用于提供等同于有线局域网的保护能力。使用了该技术的无线局域网,所有客户端与无线接入点的数据都会以一个共享的密钥进行加密,密钥的长度有40位或128位两种,密钥越长,黑客就需要更多的时间去进行破解,因此能够提供更好的安全保护。
WPA作为IEEE 802.11通用的加密机制WEP的升级版,在安全的防护上比WEP更为周密,主要体现在身份认证、加密机制和数据包检查等方面,而且它还提升了无线网络的管理能力。
我们建议用户最好选择具备WEP 128位加密技术和WPA认证的无线产品来保障无线局域网内数据传输的安全。
还是在“无线”页面,点击“无线安全”后的“设置”按钮,进入“无线安全”页面(图4)。可以根据需要,在该页面的下拉菜单中选择加密方式。
WEP遵循802.11b标准,数据在传输之前被加密,但这种加密方式不够强大。
WPA-PSK(WPA-PSK是WPA的一个版本)与WEP相似,数据在传输之前被加密,但WPA比WEP更安全,一般使用WPA。
使用WEP:
通常设置成“自动”模式(图5),使用64位加密,需要输入密钥,密钥数值为0~9和A~F,共10位。使用128位加密,同样需要输入密钥,密钥数值为0~9和A~F,共26位。
使用WPA-PSK:
1.在浏览器中输入http://192.168.0.1(一般家用宽带路由器的默认IP都是这个值)。进入管理界面后,能够看到“无线”设置。
2.输入你要创建的无线网络的名称(SSID),请注意笔者框选出来的几项(图6),这几项设置非常重要。
3.点击“无线安全”后的“设置”按钮,进行数据加密设置。接着选择加密方式,在此选择“WPA-PSK”,这是IP806LM这款路由器所提供的最安全的加密方式,接着在输入密码后进行保存就可以了(图7)。然后在要连接到这台宽带路由器上的无线客户端稍做设置。
4.在装有无线网卡的客户端上,进入“无线网络连接 属性”窗口的“无线网络配置”页面。点击“添加”按钮,输入要连接的无线网络的SSID,选择“网络验证”方式为“WPA-PSK”,接着在“数据加密”栏选择“TKIP”并填上“网络密码”(图8)。
提示:以上所设置的数据要与路由器上的数据保持一致。
进行上述设置后,系统会自动连接目的网络。以后就不需要在每次连网的时候都进行设置了,除非路由器上的数据发生了变化。
信息安全一直是无线网络技术的一大难题,采用以上方法进行设置后基本上已经可以为你的无线局域网设下一道安全防线。但是需要提醒大家的是,由于不同设备的设置方法各不相同,在进行上述的设置操作的同时,还得仔细阅读一下所购买的无线产品的使用手册。
5.如果你已经启动了无线数据加密(如何设置数据加密同样在《无线网络防黑攻略》中会详细讲解),你需要打开无线网络连接的属性页面,输入你需要使用的“网络名(SSID)”,“网络验证”选择不同方式,你可以根据需要使用或关闭“数据加密”,选择和无线路由器相同的网络验证方式和数据加密方式,在默认情况下,下方的“自动为我提供此密钥”被勾选了,你最好取消对此选项的选择,手动输入在无线路由器上设置的密码(图4)。
6.点击“确定”按钮进行保存后,电脑便会连接上指定的无线网络。如果你更改了无线路由器上的相关设置,你就必须在电脑上进行相应的设置。
用上述方法组建无线局域网的前提是在无线路由器上必须选择DCHP自动分配IP方式。现在,无线局域网内的每台电脑都可按照上面所介绍的步骤进行设置,从而完成无线局域网的组建。