网络设备
    作者:郑伟

    防止网络被蹭 如何让你的无线更安全

         [ 中关村在线 原创 ] 暂无评论
    返回分页阅读

    本文导航:

    品牌:NETGEAR 无线路由器

    1建议用WPA2加密方式、复杂密码

      现在,随着“两类无线路由MAC‘裸奔’易被蹭网”的新闻在网上热传,无线网络的安全问题再次让我们绷紧了神经。经验证,前6位MAC地址是C83A35或00B00C的无线路由器,确实存在安全漏洞,只需使用一个特定软件就可以直接获得路由器的PIN(个人识别密码)密钥,这不得不引起广大无线路由器用户的重视。面对越来越多变的蹭网手段,无线路由器的PIN值正变得越来越脆弱,那么如何令我们的无线网络更加安全稳定呢?下面就同大家分享一些必要的无线路由器设定知识吧。

    防止网络被蹭 如何让你的无线更安全

      建议用WPA2加密方式、复杂密码

      一些网络新人可能还没有认识到无线加密的重要性,在不加密的无线网络中,不仅用户的网络资源会被侵占,无线体验被干扰,而且个人的网络信息也可能遭受泄露,因此一定要通过正确的无线加密才能保障网络安全,维护自己的网络权益。

      那么我们常用的无线加密都有何种方式呢?一般分为如下三种:

      首先是WEP加密,它是Wired Equivalent Privacy(有线等效保密)的英文缩写。不了解的朋友,可能会将WEP误以为是一个针对有线网络的安全加密协议,但事实上该协议早在无线网络的创建之初就已成型,它被定义为无线局域网必要的安全防护协议。目前常见的是64位WEP加密和128位WEP加密。

      其次是WPA加密,它是WiFi Protected Access(WiFi保护访问)的英文缩写。WPA协议是一种保护无线网络安全的系统,它包含两种方式:Pre-shared密钥和Radius密钥,其加密特性决定了它比WEP更难以入侵。其中Pre-shared密钥有两种密码方式:TKIP和AES,而RADIUS密钥利用RADIUS服务器认证并可以动态选择TKIP、AES、WEP方式。它产生于WEP加密,并解决了前任WEP的缺陷问题。它属于IEEE 802.11i标准中的过渡方案,但也是现在主流的无线加密方式。

      再有就是WPA2,即WPA加密的升级版。它是WiFi联盟验证过的IEEE 802.11i标准的认证形式,WPA2实现了802.11i的强制性元素,特别是Michael算法被公认彻底安全的CCMP(计数器模式密码块链消息完整码协议)讯息认证码所取代、而RC4加密算法也被AES所取代。

      对于目前的主流无线路由器,它们大都支持上述的多种加密方式,而其中,WPA2是目前被业界认为最安全的加密方式,建议个人用户使用(虽然在2010年国外黑客高手已完成了对WPA2加密的破解,但对一般想蹭网的不法分子还不能具有破解该加密的能力)。用户可选择“WPA2-PSK [AES]”或“WPA-PSK [TKIP] + WPA2-PSK [AES]”模式加密,密码越复杂越好。

    防止网络被蹭 如何让你的无线更安全
    建议用WPA2加密方式、复杂密码

      但还需考虑的是,想连入网络的无线网卡或其它设备是不是能够支持相同的加密方式,因为一些老款无线网卡可能不具有最新的加密方式,这时,建议用户更换一款较新的网卡。

    2WPS加密省事不安全

      WPS加密省事不安全

      对于现在多数的主流无线路由器来讲,都已经配备了WPS一键加密功能,加密方式是变得简单快捷,但随着去年年底美国计算机应急准备小组(US-CERT) 安全研究员Stefan Viehbock所发现的安全漏洞,将会使WPS变得较为容易被暴力穷举PIN的方法所破解。他称利用该漏洞可以轻易地在2小时内破解WPS使用的PIN码。随后其他安全公司也证实了该漏洞的存在。那么,我们首先了解下什么是WPS一键加密吧。

      WPS(Wi-Fi Protected Setup)是Wi-Fi保护设置的英文缩写。WPS是由Wi-Fi联盟组织实施的认证项目,主要致力于简化无线局域网安装及安全性能的配置工作。WPS并不是一项新增的安全性能,它只是使现有的安全技术更容易配置。

      对于一般用户,WPS提供了一个相当简便的加密方法。通过该功能,不仅可将都具有WPS功能的Wi-Fi设备和无线路由器进行快速互联,还会随机产生一个八位数字的字符串作为个人识别号码(PIN)进行加密操作。省去了客户端需要连入无线网络时,必须手动添加网络名称(SSID)及输入冗长的无线加密密码的繁琐过程。

    防止网络被蹭 如何让你的无线更安全
    无线路由PIN码连接

    防止网络被蹭 如何让你的无线更安全
    PIN码认证过程

      但现在发现的这个WPS安全漏洞,让加密变得虽然省事可是却不安全了。而且针对这个WPS漏洞,目前除了思科在官网上发出过警告外,尚未获得来自其他方面给出的更好的解决方案。同时现在极少有无线路由器具备限制密码出错次数的功能,这就令使用WPS加密的路由设备暴露在黑客的破解攻击下。

    防止网络被蹭 如何让你的无线更安全
    思科在官网上发出警告

      当然用户还是能够通过及时地禁用WPS这项功能,来避免遭到攻击或侵入,可是大多数人目前还没意识到该漏洞的严重性而将之关闭。

      在此,我们建议仍在使用WPS进行无线加密的朋友,在你的网络密码还没被“蹭网”者觊觎或尝试攻击破解之前,马上禁用WPS功能,并且使用较为安全的WPA2手动加密方式进行无线密码设置,同时禁用UPnP(通用即插即用)功能,启用MAC地址过滤功能,才能较为有效地保护你无线网络的安全使用。

    3禁用SSID广播 禁用DHCP功能

      禁用SSID广播 禁用DHCP功能

      如果是个人家庭的无线网络应用,我们建议在进行了无线加密的同时,还要禁用SSID广播和禁用DHCP功能。这是为什么呢?

      禁用SSID广播

      SSID是Service Set Identifier(网络名称ID)的英文缩写。当我们在搜索无线网络连接的时候,会看到一些无线网络源的名称,如下图,这些就是SSID了,它们是不同的用户给自己的无线网络所取的名字,来作为用户搜索无线网络信号时标明身份的标识符。

    防止网络被蹭 如何让你的无线更安全
    红框内都是搜索到的SSID

      而一般无线路由器会默认将使用品牌名加上型号来作为SSID,这就为“蹭网”者提供了可乘之机,因此建议大家最好能将SSID改成较有个性的名字并将它隐藏起来。那么如何隐藏SSID呢?

    防止网络被蹭 如何让你的无线更安全
    禁用SSID广播

      我们只需在无线路由器的Web配置界面中,找到SSID广播,并将其禁用,就能将自己的无线网络隐藏了,在他人的搜索名单中,你的无线网络名称便不会被发现了。

      禁用DHCP功能

      DHCP是Dynamic Host Configuration Protocol(动态主机分配协议)的英文缩写,是一个简化主机IP地址分配管理的TCP/IP 标准协议,该功能会让路由器自动给无线客户端分配IP地址。而没有IP地址的计算机即使将它连到网络接口,它也无法连接到网络上。

      因此,我们只需要禁用DHCP功能,就能让无线路由起不再自动给无线客户端分配IP地址了。同时,建议修改无线路由器的默认IP地址,例如默认IP地址为:10.0.0.1,可改为192.168.10.1,以防被轻易猜到。

    防止网络被蹭 如何让你的无线更安全
    禁用DHCP功能

      设置方法很简单,找到“局域网IP设置”菜单,然后修改默认IP地址,并取消勾选“将路由器用作DHCP服务器”,最后点击应用即可。

    4启用MAC地址过滤很重要

      启用MAC地址过滤很重要

      MAC是Media Access Control(介质访问控制)的英文缩写,MAC地址是底层网络来识别和寻找目标终端的标示,每个网卡路由器都有一个唯一的MAC地址。这样就可保证所有接入无线网络的终端都有唯一的不同的MAC地址,而MAC地址过滤技术就有了理论上的可行性。

      如何查看自己的MAC地址呢?我们只需在电脑菜单上依次单击“开始”→“运行”→输入“cmd”→回车,在出现的命令提示符界面中输“ipconfig /all”→回车,就可以得到电脑客户端的MAC地址了。

    防止网络被蹭 如何让你的无线更安全
    MAC地址

      在这里我们通过设置“防火墙 - MAC访问控制”,来启用MAC访问控制,然后键入上图的电脑的MAC地址,其他未经允许的设备就无法连入无线路由器了。

    防止网络被蹭 如何让你的无线更安全
    使用MAC访问控制,键入想接入MAC地址

      MAC地址过滤的缺点

      虽然MAC地址过滤可以阻止非信任的终端设备访问,但在终端设备试图连接路由之前,MAC地址过滤是不会识别出谁是可信任的或谁是非信任的,访问终端设备仍都可以连接到路由器,只是在做进一步的访问时,才会被禁止。而且它不能断开客户端与路由器的连接,这样入侵者就可以探到通信,并从帧中公开的位置获取合法的使用MAC地址。然后通过对无线信号进行监控,一旦授权信任的用户没有出现,入侵者就使用授权用户的MAC地址来进行访问。

      由此可见,仅仅依靠MAC地址过滤是不够的,我们必须启用尽可能多方面的安全防护手段来保护我们的无线网络。

      总结:多重防护齐上阵

      通过分析我们可以看到,单一的加密防护手段,能力都是有限的。建议如前面所说的禁用WPS功能,采用手动设置WPA2加密,禁用SSID广播、DHCP功能和启用MAC地址过滤等,从多角度全方位进行加密才是防止无线网络被蹭的好方法。如果你的路由器MAC地址前6位是C83A35或者00B00C,则可以进行MAC访问控制来绑定你的无线接入设备,最好再修改成新的MAC地址。还可以使用低功率无线路由器,因为无线覆盖有个范围,只有在范围内,无线设备才会找到信号接入网络。总的说,为了维护自身无线网络的安全,建议大家要尽量多重防护齐上阵,将防护做到完善。

    返回分页阅读

    本文导航:

    关注排行榜

    路由器交换机无线路由无线AP

    文章推荐

    互动沙龙

    相关内容 网友评论 返回首页
    专家咨询