无线安全设置之入门浅析

piayong 2011-11-01

一、注意AP登陆密码

对于网络高手而言,进行一些无线安全设置并不困难,但对于绝大多数用户来说,其对这些设置并不是很了解,所以我们先从基础讲起。首先,要保证你的无线局域网安全就必需更改你的无线AP或无线宽带路由器的默认设置密码。

大家知道,很多无线AP或无线宽带路由器的登陆用户名和密码默认情况下都是“admin”或厂家英文名简称如“TP-LINK、SMC等等”,这样任何一个用户就可比较轻易的进入您的无线AP或无线宽带路由器进行设置和资料更改,更利害的是对宽带较了解的用户还可获得你宽带密码。所以,最好将默认的登陆密码改为你自己易记的密码,以访非法用户轻易对你的无线AP或无线宽带路由器进行控制

二、注意SSID设置

SSIDSSID全名ServiceSetIdentifier,译为服务设置识别码,是无线网络最基本的身份认证机制。其为一群无线区域网路装置所共享的域名,举凡无线网络各个节点皆需设定相同的SSID才能相互传输。所以无线工作站必需出示正确的SSID,与无线AP或无线宽带路由器的SSID相同,才能访问无线AP或无线宽带路由器;如果出示的SSID与无线AP或无线宽带路由器的SSID不同,那么无线AP或无线宽带路由器将拒绝他通过本服务区上网。

因此SSID可以提供简单的口令认证机制,从而实现一定的无线网络安全。此外,SSID可用来区分不同的网络,最多可以有32个字符。网卡设置了不同的SSID就可以进入不同网络,SSID通常由无线AP或无线宽带路由器广播出来,通过无线网卡或WindowsXP自带的扫描功能都可以自动找到当前无线区域内的SSID。

大家知道,要对无线网络进行安全控制,一般可从访问控制和数据加密两方面下手。其中访问控制保证敏感数据只能由授权用户进行访问,SSID就是这样。在实际设置时,多数无线AP或无线宽带路由器在出厂时都是默认“允许广播SSID”的,而要使无线局域网更安全,可进入无线AP或无线宽带路由器的配置页面,将SSID设为“不广播SSID”,这样其它用户要想自动进入你的这个无线局域网,就要手工输入正确的“SSID”才能进入网络,这在一定程度上可保证局域网的使用安全。

当然,SSID控制也不是万能的,对于多用户无线系统,特别是公用无线系统而言,其安全性同样难以完全保证,因为用户要自己配置客户端系统,就使得SSID可以被很多人知道,这也就容易共享给不怀好意的非法用户。有些无线网卡功能较强,具有查询无线网络上的SSID的功能,而且目前有些厂家的产品已支持ANY这种特殊的登陆方式,这样,只要其电脑上的无线网卡处在无线AP或无线宽带路由器的信号覆盖范围内,其都会自动连接到无线AP或无线宽带路由器,这对SSID的安全性是一种考验。

三、设置MAC过滤

什么是MAC呢?区别于IP地址,MAC(MediaAccessControl,介质访问控制)地址是网卡的物理地址,是识别局域网电脑的标识。其长度为48位二进制数,由12个00~0FFH的16进制数组成,每个16进制数之间用“-”隔开,无论是有线网卡还是无线网卡其在全世界的MAC地址是唯一的,所以利用MAC地址和预设网络ID来限制哪些网卡和接入点可以连入网络,完全可确保网络安全。对于那些非法的接收者来说,截听无线局域网的信号是非常困难的,从而可以有效防止黑客和入侵者的攻击。

利用MAC功能,大家可在无线局域网的每一个无线AP或无线宽带路由器下设置一个适用于无线网卡许可接入的用户的MAC地址清单,MAC地址不在清单中的用户,无线AP或无线宽带路由器将拒绝其接入请求。

当然,这个地址是需要你一一手工录入的。所以这种方式要求无线AP或无线宽带路由器中的MAC地址列表必需随时更新,扩展能力差,因此只适合小型网络规模。

另外,非法用户利用网络侦听手段有很容易窃取MAC地址。当然,如果无线网中的无线AP或无线宽带路由器数量太多,为了实现整个企业当中所有无线AP或无线宽带路由器统一的无线网卡MAC地址认证,现在的无线AP或无线宽带路由器也支持无线网卡MAC地址的集中Radius认证。

四、设置WEP加密

要实现无线网络安全光靠访问控制肯定不行,数据加密也必不可少,数据加密可保证发射的数据只能被所期望的用户所接收和理解,目前常见的数据加密方法有WEP等。

WEP(WiredEquivalentPrivacy)加密技术源自于名为RC4的RSA数据加密技术,可满足用户较高层次的网络安全需求。WEP使用了共享秘钥RC4加密算法,密钥长度最初为40位(5个字符),后来增加到128位(13个字符),有些新设备可以支持152位加密。使用静态WEP加密可以设置4个WEPKey,使用动态(Dynamic)WEP加密时,WEPKey会随时间变化而变化。

WEP加密采用静态的保密密钥,各WLAN终端使用相同的密钥访问无线网络。WEP也提供认证功能,当加密机制功能启用,客户端要尝试连接上AP时,AP会发出一个ChallengePacket给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,只有正确无误,才能获准存取网络的资源。

需要提醒的是,不是所有的无线网卡都支持128位或以上加密方式WEPKEY,有的老无线网卡可能只支持40位方式的加密或64位方式的加密,还有的根本就不支持。所以在设置无线AP或无线宽带路由器的WEP加密时还需要根据无线网卡的情况来设置加密位数。

总之,基于WEP的共享密钥认证的目的就是实现访问控制,然而其认证信息易于伪造。但用户的加密密钥必须与AP的密钥相同,并且一个服务区内的所有用户都共享同一把密钥,由于同时更换密钥的费时与困难,所以密钥通常很少更换,倘若一个用户丢失密钥,则会殃及到整个网络。

此外,因为共享密钥认证是通过加密认证质询文本来证明自己知晓共享密钥,RC4算法存在弱点,如果攻击者监听到认证应答,则可以确定用于加密应答的RC4密码流。因此,通过监听一次成功的认证,攻击者就可以伪造认证。而启动共享密钥认证实际上降低了网络的总体安全性,使猜中WEP密钥更为容易。

相关推荐