无线安全一点通
数码时尚
从CDMA到GPRS的手机上网,再到公司家庭中逐渐普及起来的IEEE802.11,各种各样的无线网络越来越多地开始接近我们的生活。但是超过70%的使用者对最基本的无线网络安全设定无任何了解,更有30%的人完全采用最初的预设置,这些行为很大程度上把在空中传送的重要资料和数据完全暴露在黑客的视线之下,成为一个不设防的网络环境。
空中的铜墙铁壁
相信很多读者是第一次接触无线网络的安全,因此我们将安全的重点放在SSID、WEP及MAC地址锁定上,目前这3种防护机制在大部分无线基地台上都可以轻易设定,上手非常简单。
SSID及WEP
SSID是网卡与无线基地台之间沟通的密码,当两者都设定为相同的密码时,该网卡才能连上无线基地台。比如,无线基地台的SSID设定为PCHMEUP,网卡的SSID就得设定成PCHMEUP才能连无线基地台。不过SSID的防护力极弱,只要有适当的工具软件就可以轻易查出无线基地台所使用的SSID,但是有总比没有好,更改SSID仅仅只需几秒钟,第一层防护就架起来了。WEP的作用是在无线传输中对每份资料做加密,然后在另一端进行解密的操作,使用者只需要设定好加密的等级,并输入一串密码就可以了。目前一般无线基地都支持64或128位元加密。
第一步:进入AP的设置界面,首先点击“无线网络”,接下来设定SSID,例如CPCW。再将WEP安全模式设为“启动”,WEP加密设置为“128Bit”。然后输入WEP密码,在128Bit情况下为26个字符,点击“执行”,然后选择并执行“重新启动”。
第二步:启动完成后,在桌面的工作栏上点击并选择无线网卡的设定程序,然后就可以在程序中看出已经没有连上网络了。
等AP重新启动完成后,我们点击进入“Configuration”界面,然后在SSID中输入刚才的设定,待“Configuration”设定完成后,我们再进入“Encryption”,然后勾选第一个选项“Data Encryption”,再将第二项“Auth Mode”改选成“Auto”模式,接下来在“Default Key Network Key”的第一项中输入我们设定的WEP密码,然后点击Apply,最后再设置无线网卡。从程序界面中我们可以看到,我们已经重新连接到网络中了。
MAC地址锁定
下面我们介绍设定MAC地址的方法,首先我们要找出网卡的MAC地址。点击Windows中的“开始”,然后选择“所有程序→附件→命令提示符”,在命令提示符的窗口中输入“ipconfig /all”,此时窗口中会出现网卡的详细资料,找到“Physical Address”这一项,将后面的地址记录下来,例如“44-45-53-54-77-77”。如果你采用的是Windows 98,就需要点击“开始”菜单中的运行,然后在运行窗口中输入“Winipcfg”后回车,将“适配器地址”后面的那一串子母抄下来,这就是MAC地址。
在得到了MAC地址后,我们就需要在无线AP基站中添加这些地址,点击AP界面中的“进阶设定”,选择“过滤器”,然后点选中“只允许下述MAC地址之使用者存取网络”,再将我们刚才抄的一大段MAC地址复制到地址栏中,然后点击“执行”,重新启动即可!
以上的SSID、WEP或MAC地址锁定保护方式,对于防止一般的恶意使用者使用已经足够了。
目前最好的加密方法是802.11x。它同时适用于有线和无线网络,且不易被破解,但它需要专用的服务器作认证机制,通常只有企业用户才会架设。对于一般家庭使用者,则可等待今年将出现的802.11i,它将有更强的加密机制。至于现阶段,采用以上所介绍的设定就能架起基本的防护机制。
无线安全守则
合理保护无线访问点的目的在于,将无线网络与无权使用服务的外人隔离开为了最大限度地堵住这些安全漏洞,就需要网络人员采取以下保护措施。
规划天线的放置
要部署封闭的无线访问点,第一步就是合理放置访问点的天线,以便能够限制信号在覆盖区以外的传输距离。不要将天线放在窗户附近,因为玻璃无法阻挡信号。你最好将天线放在需要覆盖的区域的中心,尽量减少信号泄露到墙外。当然,完全控制信号泄露几乎是不可能的,所以还需要采取其他措施。
使用WEP
无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准方法。尽管存在重大缺陷,但WEP仍有助于阻挡的闯入。许多无线访问点厂商为了方便安装产品,交付设备时关闭了WEP功能。但一旦采用这种办法,黑客就能立即访问无线网络上的流量,因为利用无线嗅探器就可以直接读取数据。
变更SSID及禁止SSID广播
服务集标志符(SSID)是无线访问点使用的识别字符串,客户端利用它就能建立连接。该标志符由设备制造商设定,每种标识符使用默认短语,如101就是3COM设备的标志符。倘若黑客知道了这种口令短语,即使未经授权,也很容易使用你的无线服务。对于部署的每个无线访问点而言,你要选择独一无二并且很难猜中的SSID。如果可能的话,禁止通过天线向外广播该标志符。这样网络仍可使用,但不会出现在可用网络列表上。
禁用DHCP
对无线网络而言,这种方法很有意义。如果采取这项措施,黑客不得不耗费大量精力去破译你的IP地址、子网掩码及其他所需的TCP/IP参数。无论黑客怎样利用你的访问点,他仍需要弄清楚IP地址。
禁用或改动SNMP设置
如果你的访问点支持SNMP,要么禁用,要么改变公开及专用的共用字符串。如果不采取这项措施,黑客就能利用SNMP获得有关你方网络的重要信息。
使用访问列表
为了进一步保护无线网络,请使用访问列表,如果可能的话。不是所有的无线访问点都支持这项特性,但如果你的网络支持,你就可以具体地指定允许哪些机器连接到访问点。支持这项特性的访问点有时会使用普通文件传输协议(TFTP),定期下载更新的列表,以避免管理员必须在每台设备上使这些列表保持同步的棘手问题。