安全使用無線網絡

摘要:無線網絡已經普及的今天，無線網絡的安全使用技術也應該得到普及。我們只要了解黑客進入無線網絡的通道，就可以在通道中設置多道大門，通過隱藏無線網絡ID，設置密碼保護，過濾計算機等方法來阻止黑客入侵，增加無線網絡的安全性。

關鍵詞:AP;SSID;WEP/WPA;IP;MAC

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)11-2594-02

無線網絡帶來許多便利，甚至改變人們的生活習慣，很多咖啡店，餐廳，機場都提供免費無線上網，或者在學校、辦公大樓和居民小區也很容易搜索到無線網絡信號，不久的將來也許無線網絡將超越有線網絡主宰人類的生活。

有線網絡天生比無線網絡安全，因為有線網絡的物理結構對其有所保護，部分或全部網絡傳輸介質埋在建筑物里面就可以一定程度的防止未授權的訪問。經由無線電波的無線網絡沒有同樣的物理結構，因此更容易受到攻擊、干擾。用戶在使用無線網絡時更加應該注重安全意識并掌握一些基本的無線網絡安全技術，才能安心的暢游網絡。

通過了解黑客進入無線網絡執行黑客任務的過程，就可以學習使無線網絡更加安全的技術。黑客是如何進入無線網絡的，請見圖1所示的流程圖。

通過流程圖可以清楚的了解如果公開無線網絡名稱，不設置無線網絡密碼，無線網絡自動分配IP地址，不進行計算機過濾，就等于讓黑客長驅直入進入無線網絡，輕易獲得了執行黑客任務的環境。反過來，只要隱藏無線網絡名稱，設置網絡保護密碼，不要自動分配IP地址，進行MAC地址過濾，就為無線網絡設置了很多大門，為黑客設置了很多障礙，也就讓我們的無線網絡更加安全。

無線網絡中最重要的網絡設備有二種:無線AP和無線路由器。無線AP相當于一個無線交換機，接在有線交換機或路由器上，為跟它連接的無線網卡從路由器那里分得IP。無線路由器就是AP、路由功能和交換機的集合體，支持有線無線組成同一子網。無線AP在那些需要大量AP來進行大面積覆蓋的公司使用得比較多，所有AP通過以太網連接起來并連到獨立的無線局域網防火墻。無線路由器在SOHO的環境中使用得比較多。 下面詳細解讀無線AP和無線路由器的安全設置。因為幾乎所有的無線AP和無線路由器都支持WEB和圖形管理方式，簡化了網絡設備的管理難度，所以設置很容易實現。

1 合理放置無線AP

由于無線AP的覆蓋范圍是一個向外擴散的圓形區域，因此，應當盡量把無線AP放置在無線網絡的中心位置。盡量調整AP的覆蓋范圍在辦公區域內，減少外部人員接受信號的可能。

2 隱藏無線網絡名稱

SSID是Service Set Identifier的縮寫，意思是:服務集標識。SSID技術可以將一個無線局域網分為幾個需要不同身份驗證的子網絡，每一個子網絡都需要獨立的身份驗證，只有通過身份驗證的用戶才可以進入相應的子網絡，防止未被授權的用戶進入本網絡. 簡單說，SSID就是一個局域網的名稱，只有設置為名稱相同SSID的值的電腦才能互相通信。通俗地說，SSID便是你給自己的無線網絡所取的名字。

同一生產商推出的無線路由器或無線AP都使用了相同的SSID，一旦那些企圖非法連接的攻擊者利用通用的SSID來連接無線網絡，就極易建立起一條非法的連接，從而給我們的無線網絡帶來威脅。因此，建議將SSID命名為一些較有個性的相對繁雜的名字。

SSID通常由AP或無線路由器廣播出來，通過WindowsXP自帶的掃描功能可以查看當前區域內的SSID。出于安全考慮不應該廣播SSID，此時用戶只能手工設置SSID才能進入相應的網絡。無線路由器一般都會提供“允許SSID廣播”功能。如果不想讓自己的無線網絡被別人搜索到，那么最好“禁止SSID廣播”，此時你的無線網絡仍然可以使用，只是不會出現在其他人所搜索到的可用網絡列表中。一般的用戶在無法找到SSID的情況下是無法連接到網絡的。但是如果黑客利用其他手段獲取相應參數，仍可接入目標網絡，因此，隱藏SSID適用于一般環境當作簡單口令安全方式。我們還需要為無線網絡配置更多的安全設置。

3 設置無線網絡的密碼保護

目前，無線網絡中已經存在好幾種加密技術，在配置無線AP或者無線路由器時最常使用的是WEP和WPA兩種加密方式。

1) WEP加密方式

無線局域網的第一個安全協議—802.11 Wired Equivalent Privacy(WEP)，一直受到人們的質疑。WEP是Wired Equivalent Privacy的簡稱，所有經過WIFI認證的設備都支持該安全協定。有線等效保密(WEP)協議是對在兩臺設備間無線傳輸的數據進行加密的方式，使用了該技術的無線局域網，所有客戶端與無線接入點的數據都會以一個共享的密鑰進行加密，密鑰的長度64位或128位，密鑰越長，黑客就需要更多的時間去進行破解，因此能夠提供更好的安全保護，保證傳輸數據不會以明文方式被截獲。

該方法需要在無線AP或無線路由器上配置密碼;它雖然可以阻擋一般的數據截獲攻擊，但是人們還是有理由懷疑它的安全性，因為WEP加密方式一定可以破解，問題在于要花多少時間而已。所以如果對數據安全性有很高要求，那就必須選用WPA加密方式了。

2) WPA加密方式

WPA加密即Wi-Fi Protected Access，其加密特性決定了它比WEP更難以入侵。

WPA有WPA 和 WPA2兩個標準，使用802.11i中的加密技術-TKIP (Temporal Key Integrity Protocol)，這項技術可大幅解決802.11原先使用WEP所隱藏的安全問題。主要體現在身份認證、加密機制和數據包檢查等方面，而且它還提升了無線網絡的管理能力。

4 不啟用DHCP服務

動態主機設置協議(DHCP)是一種使網絡管理員能夠集中管理和自動分配 IP 網絡地址的通信協議。在 IP 網絡中，每個連接 Internet 的設備都需要分配唯一的 IP 地址。 DHCP 使網絡管理員能從中心結點監控和分配 IP 地址。無線AP或無線路由器內建DHCP服務器，它能自動配置局域網中各計算機的TCP/IP協議，當然也會為非法的用戶分配一個IP地址。

有些無線網絡并沒有使用密碼保護，或者是輸入破解的WEP或WPA加密密碼后，要與無線網絡連接卻一直無法獲取IP地址，當然也就不可能使用該無線網絡連接到Internet，這是因為該無線網絡不會自動分配IP地址，也就是未使用DHCP功能。此時非法用戶將不得不通過其它方式猜測和破譯IP地址，子網掩碼，默認網關等一切所需的TCP/IP參數才可以使用該無線網絡。增加了黑客侵入我們網絡的難度，無線網絡相對也就更加安全。

5 MAC地址過濾

每一塊網卡設備都擁有一個唯一的物理地址，通過該地址網絡就能實現準確傳輸數據信息的目的。因此，市場中推出的無線路由器設備幾乎都有“MAC地址過濾”功能，我們可以啟用該功能，來將陌生的網卡物理地址全部排除在本地無線網絡之外，這樣一來非法用戶就無法輕易闖入本地無線網絡了。

要將本地工作站的網卡設備綁定到無線AP或無線路由器上，需要配置AP或無線路由器，啟用MAC地址過濾功能，然后將過濾規則設置為“禁止列表中生效規則之外的MAC地址訪問本無線網絡”，將允許的MAC地址添加到規則列表中。

完成上面的設置操作后，只有列表中的網卡設備才能與本地的無線路由器建立網絡連接，而非法用戶的陌生網卡地址將會被無線路由器過濾掉，如此一來即使能夠搜索到本地的無線網絡，也不會輕易登錄進本地無線網絡。但是如果黑客盜取合法的MAC地址信息，仍可以通過各種方法用假冒的MAC地址登陸網絡。

6 開啟防火墻

市場上的無線路由器都已經內置了豐富的防火墻功能，如果無線網絡中采用的是無線路由器，那么我們所要做的，只是在配置無線網絡的時候開啟防火墻。

對于無線網絡安全來說，某一項安全設置都可以增加一份安全，所以不應該依賴某種特定的設置而讓網絡絕對安全，而是應該不斷學習，給予全面考慮，讓無線網絡更加安全。

參考文獻:

[1] 程秉輝.網絡安全講堂之全面防護[M].北京:清華大學出版社，2009.

[2] 楊哲.無線網絡安全攻防實戰[M].北京:電子工業出版社，2009.

[3] 劉輝.網絡安全管理實踐[M].北京:電子工業出版社，2007.

[4] 赫爾利.無線網絡安全[M].楊青，譯，北京:科學出版社，2009.