無線網(wǎng)絡(luò)安全防護(hù)探索

當(dāng)今計算機(jī)網(wǎng)絡(luò)覆蓋全球，在有線網(wǎng)絡(luò)廣泛應(yīng)用的同時，組網(wǎng)靈活、方便快捷的無線網(wǎng)絡(luò)技術(shù)也在逐漸普及，現(xiàn)在不少單位、家庭也能自己組建小型的無線局域網(wǎng)。無線局域網(wǎng)(Wireless Local Area Networks；WLAN)是比較方便的數(shù)據(jù)傳輸系統(tǒng)，不需要傳統(tǒng)網(wǎng)線，用無線電波和紅外線技術(shù)進(jìn)行信號傳輸，大大提升了信息交換的效率，為用戶帶來了更加方便快捷的網(wǎng)絡(luò)服務(wù)，但也存在著許多網(wǎng)絡(luò)安全的問題，并制約了無線網(wǎng)絡(luò)的發(fā)展。

一、無線網(wǎng)絡(luò)存在的安全問題

1.數(shù)據(jù)的泄露，如竊聽、截取甚至篡改

我們知道，無線信號通過空氣便能傳輸，正因為無線介質(zhì)信號傳播的開放性特性，信號會被傳輸?shù)揭恍┮馔獾竭_(dá)的地方。加上很多無線網(wǎng)絡(luò)沒有使用加密功能，或者加密了但沒有關(guān)閉無線基站（Wireless Access Point）得廣播信息功能，一些非法用戶只要使用一個筆記本電腦或者安裝有無線網(wǎng)卡的計算機(jī)就很容易搜索到附近的無線信號。如果使用專門用來搜索無線網(wǎng)絡(luò)的軟件，如NetStumbler、AiroPeek等，就可以對無線信號進(jìn)行監(jiān)聽、截取，甚至進(jìn)行其他非法的入侵操作。

2.網(wǎng)絡(luò)資源被竊取

有些用戶也許并沒有惡意，但就是喜歡從鄰近的無線網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)，或者是想嘗試網(wǎng)上流傳較多的“無線蹭網(wǎng)”秘笈是否有效，使得合法用戶大量的網(wǎng)絡(luò)帶寬被占用，網(wǎng)絡(luò)性能嚴(yán)重受到影響。

3.用戶欠缺安全防范意識

一些家庭組建的無線網(wǎng)絡(luò)沒有采取安全措施，或者只采用了無線對等協(xié)議（Wired Equivalent Privacy，WEP）加密功能，這樣會給“蹭網(wǎng)”者或者黑客的入侵帶來極大的便利。也有一些單位既組建了有線網(wǎng)絡(luò)也組建了無線網(wǎng)絡(luò)，但因為對無線網(wǎng)絡(luò)不常使用或很少使用而忽視對其管理。這樣容易與有線網(wǎng)絡(luò)脫節(jié)，既不能充分發(fā)揮無線網(wǎng)絡(luò)的作用，也會引起整個網(wǎng)絡(luò)的安全隱患。

二、無線網(wǎng)絡(luò)的安全防護(hù)

1.修改用戶名及密碼

當(dāng)我們購買了無線路由器后，可以通過制造商提供的頁面管理工具設(shè)置該設(shè)備的網(wǎng)絡(luò)地址、用戶名、密碼等。因為，這些設(shè)備出廠時的默認(rèn)信息都是一樣或者類似的，甚至不同廠家的默認(rèn)信息也有相同的情況。筆者曾用過T-LINK、D-LINK、騰達(dá)無線路由器，它們由不同廠家生產(chǎn)，但默認(rèn)用戶名都是admin或者是adminstrer，密碼同上或者是沒有密碼。如果沒有修改這些默認(rèn)信息，無疑是給了黑客可乘之機(jī)，他們只要通過簡單的掃描工具就能找出這些設(shè)備的地址，并嘗試用默認(rèn)的用戶名和密碼去登陸管理頁面，如果成功就會取得該路由器的控制權(quán)。

2.隱藏服務(wù)標(biāo)識符

修改了用戶名與密碼后，登陸管理頁面我們便可以設(shè)置隱藏服務(wù)標(biāo)識符（Service Set Identifier；SSID）。SSID用來區(qū)分不同的網(wǎng)絡(luò)，就像人的姓名一樣。無線終端接入無線網(wǎng)路時必須提供匹配的SSID，否則不能接入。一般來說，無線路由器會廣播SSID，接入終端可以通過掃描獲知附近存在哪些可用的無線網(wǎng)絡(luò)。現(xiàn)在的無線網(wǎng)卡基本上都有自動掃描功能，將能聯(lián)系到的所有無線網(wǎng)絡(luò)SSID羅列出來。所以，我們可以設(shè)置隱藏SSID，并將SSID名字修改成一串難以猜解的長字符串。這樣，由于SSID被隱藏起來了，接入端通過系統(tǒng)自帶的掃描功能也難以搜索到這個實際存在的無線網(wǎng)絡(luò)，即便別人知道有一個無線網(wǎng)絡(luò)存在，但猜不出SSID全名也無法接入到這個網(wǎng)絡(luò)中去的。

3.過濾MAC地址

每一個網(wǎng)卡在出廠時都有一個唯一、固定的物理地址（MAC地址），就像每個人的身份證號碼一樣。無線路由器一般都有過濾MAC地址的功能，只要將可信任的MAC地址輸入到無線路由器的訪問控制表（Access Control）里，MAC地址不在控制表內(nèi)的設(shè)備就會被拒絕。但這種方法只能對付黑客新手，因為MAC地址在傳輸時沒有經(jīng)過加密，經(jīng)驗豐富的黑客只要探測或監(jiān)控網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，就可以知道授權(quán)計算機(jī)列表上有哪些MAC地址，他就可以為自己的計算機(jī)設(shè)定一個虛假MAC地址來欺騙路由器。要想網(wǎng)絡(luò)更加安全，還要進(jìn)一步采取下面的方法。

4.設(shè)置WPA加密

無線路由一般有兩種加密方法：無線對等協(xié)議（Wired Equivalent Privacy，WEP）與無線保護(hù)接入（Wi-Fi Protected Access ，WPA），加密后可以拒絕沒有密鑰的人登錄到無線網(wǎng)絡(luò)上。而WEP的密鑰長度只有128位，固定不變，WPA有256位。在數(shù)據(jù)包傳輸過程中，WPA的密鑰不斷變化，而且在設(shè)置加密時還可以包含特殊字符與空格，所以入侵者想通過探測到的數(shù)據(jù)包來破解WPA密鑰，是有很大難度的。目前網(wǎng)絡(luò)上流行的所謂破解無線網(wǎng)絡(luò)密碼，指的僅只是WEP。筆者曾在網(wǎng)絡(luò)上搜索多次，目前還沒搜到關(guān)于破解WPA的有效方法。因此，目前WPA比WEP加密機(jī)制更加強(qiáng)大、更加安全，我們最好啟用WPA加密。

5.禁用DHCP與SNMP

默認(rèn)情況下，無線路由器會給每一臺聯(lián)網(wǎng)的計算機(jī)分配一個隨機(jī)IP地址，用戶只需設(shè)置自動獲取IP地址即可。如果是家用無線網(wǎng)絡(luò)，由于人數(shù)不多，可以指定聯(lián)網(wǎng)計算機(jī)的IP地址，或者縮小能夠分配的IP地址范圍。假設(shè)網(wǎng)絡(luò)中的計算機(jī)使用了所有IP地址的話，入侵者就不能被分配到IP地址了。如果在使用人數(shù)較多的單位，最好是禁用DHCP（動態(tài)主機(jī)配置協(xié)議），這樣無論黑客如何利用訪問點，他至少要破譯TCP/IP參數(shù)、子網(wǎng)掩碼等信息。而對于SNMP（簡單網(wǎng)絡(luò)管理協(xié)議），要么禁用，要么改變系統(tǒng)默認(rèn)的字符串。否則，黑客能利用它來獲得網(wǎng)絡(luò)的相關(guān)重要信息。以上五點，最好同時實現(xiàn)。筆者從2007年至今，都是在家里使用無線網(wǎng)絡(luò)并且按以上五點設(shè)置，暫時沒出現(xiàn)過無線網(wǎng)絡(luò)安全問題。

6.軟硬兼施

軟指的就是殺毒軟件，建議用戶在計算機(jī)上安裝正版的殺毒軟件或者軟件防火墻，最好選用能自動更新、掃描速度快并能清理通信程序附件的軟件。當(dāng)然，基本上殺毒軟件都會占用計算機(jī)的內(nèi)存。硬指的是路由器內(nèi)置的硬件防火墻，現(xiàn)在許多路由器都有此項功能，利用自身的處理器進(jìn)行端口過濾和加密任務(wù)。這樣基本上不會占用計算機(jī)的資源，給用戶更好的整體性能，用戶在選購路由器時，最好是選擇自帶這項功能的。

以上所談的僅是對無線網(wǎng)絡(luò)進(jìn)行安全防護(hù)的基本措施，且并非萬全之策。任何的網(wǎng)絡(luò)安全技術(shù)都要人為發(fā)揮作用，所以最重要的還是用戶加強(qiáng)無線網(wǎng)絡(luò)的安全意識、管理意識，防范于未然。一旦發(fā)現(xiàn)異常，最好馬上斷網(wǎng)，并做好數(shù)據(jù)及重要信息的備份保護(hù)工作；需要時重新安裝操作系統(tǒng)，爭取將損失降到最低。

（作者單位：廣東省佛山市三水區(qū)技工學(xué)校）