實現無線上網安全的常用設置方法

實現無線上網安全的常用設置方法

海南省高級技工學校 翁啟文

【摘要】隨著筆記本電腦、平板電腦、智能手機D等電子設備的不斷普及，隨處可見標語“內設WIFI”，無線上網正式成為一種主流。無線上網既靈活又方便，還能擺脫物理連接的位置束縛，現在多數家庭臺式機都舍棄有線連接，增加無線網卡實現無線連接，但無線上網也有不足的地方就是容易被蹭用網絡，會影響速度及產生很多不安全因素。所以，有必要設置防范措施，讓無線上網實現安全可靠。

【關鍵詞】網絡無線；黑客；安全設置方法

1.使用動態加密類型

無線路由器具有多種類型的加密功能，不同類型的安全防范能力也不一樣。在實際使用無線網絡時，很多用戶加密意識薄弱，追求使用方便或是根本不知道有加密設置，沒有及時為無線網絡設置密碼。即使為無線網絡設置了密碼，大都選用的是安全防范能力一般的WEP靜態密碼，這種密碼很容易被黑客破解，因為惡意用戶只要收集到一定數量的封包，并采用反復推算的方法，就能輕易竊取無線網絡登錄密碼，現在網絡上隨處可見破解WEP密碼的方法及軟件。

為了防止黑客肆無忌憚的攻擊無線網絡，建議大家選用動態類型的登錄密碼，因為這類型密碼在無線上網的時候會動態變化，黑客往往很難從不斷變化的密碼中破解出數據傳輸內容。動態類型密碼包括WPA密鑰、WPA2密鑰、WPA-PSK密鑰、WPA2-PSK密鑰等，其中WPA的密鑰位數達到128位、WPA2密鑰的位數包括128位、192位、256位等，而且這種加密類型還支持消息完整性檢查功能，該功能能有效防止黑客偽造數據傳輸包。

本文使用常見的TP-Link WR941N無線路由器作為操作藍本，其他無線路由器設置基本類似。在為無線網絡加密時，Z先以系統管理員身份登錄無線路由器WEB頁面，在【無線設置】功能中選擇【無線安全設置】選項，在該分支右側顯示區域中選擇【動態加密WPA-PSK/WPA2-PSK】選項，設置認證類型、加密算法和填寫PSK密碼，如圖1所示，最后重啟無線路由器后即可實現使用密碼安全登錄。

圖1

圖2

2.縮小可用IP地址范圍

在進行無線上網時，客戶端需要先從無線路由器服務端獲取有效IP地址，才能成功上網訪問。如果我們能根據實際需求縮小無線網絡的可用IP地址范圍，也能在一定程度上攔截惡意用戶的非法連接。

例如，某辦公室或家庭中只有3臺客戶端上網，那么只需要保留3個IP地址即可，當每臺客戶端都上網時，其他人是不能訪問網絡的。登錄無線路由器WEB頁面，在【DHCP服務器】功能中選擇【DHCP服務】選項，在該分支右側顯示區域中選擇啟用【DHCP服務器】，填寫地址池開始和結束地址、地址租期、網關、主和備用DNS服務器，如圖2所示，最后點擊【保存】按鈕即可實現該功能。

3.隱藏無線網絡服務集標識（SSID）

SSID是Service Set Identifier的縮寫，意思是服務集標識。每個無線網絡都有一個SSID，黑客之所以能找到附近可用的無線網絡，主要是通過掃描SSID來達到目的的。而很多用戶平時都會使用無線路由器的默認設置開啟SSID。若關閉開啟SSID功能，黑客就不容易發現本地無線網絡SSID，自然就談不上蹭用甚至是攻擊網絡了。設置方法是，登錄無線路由器WEB頁面，在【無線設置】功能中選擇【基本設置】選項，在該分支右側顯示區域，【開啟SSID廣播】選項默認處于選中狀態，需要取消該選項的選中狀態，同時執行設置保存操作，如圖3所示。

然而，通過字母和數字組成的SSID即使沒有設置“廣播”，入侵者通過bt3、bt4、網絡螞蟻等工具也可掃描到對應的無線網絡并順利入侵。只有將SSID信息修改為中文才能徹底避免上述問題出現。市面上有一些設備完全支持中文SSID無線網絡設置，不過還有很多設備并不支持使用中文來命名SSID，遇到這種情況，可通過查閱相關書籍后進行解決。究其原因，一方面是因為中文字符在這些軟件中會顯示亂碼；另一方面是因為很多入侵工具都是國外開發者開發的，對中文不支持、不兼容。

圖3

4.過濾陌生客戶端MAC地址

如果黑客攻擊水平很高，上述防范措施并不足以保護無線網絡安全。可以通過過濾客戶端MAC地址的方法來阻止陌生客戶端訪問網絡。MAC（Medium/Media Access Control）地址，或稱為物理地址，用來表示互聯網上每一個站點的標識符，采用十六進制數表示，共六個字節（48位）。其中，前三個字節是由IEEE的注冊管理機構RA負責給不同廠家分配的代碼（高位24位），也稱為“編制上唯一的標識符”（Organizationally Unique Identifier），后三個字節（低位24位）由各廠家自行指派給生產的適配器接口，稱為擴展標識符（唯一性）。

圖4

圖5

所以，一個網卡設備通常會有一個全球唯一固定的MAC地址，將辦公室或家庭客戶端的網卡物理地址手工添加到無線路由器自帶的MAC地址過濾表中，這樣一來，日后只有客戶端系統的MAC地址與MAC地址過濾表中的內容一致，才會被無線路由器識別為合法客戶端，才有權限接入無線網絡進行上網訪問。而其他客戶端在連接無線路由器時，會被識別為非法連接，會被無線路由器攔截，不能上網訪問。設置方法是，登錄無線路由器WEB頁面，在【無線設置】功能中選擇【無線MAC地址過濾】選項，在該分支右側顯示區域開啟【MAC地址過濾功能】，【過濾規則】功能選中【禁止列表中生效規則之外的MAC地址訪問本無線網絡】，最后手工添加信任客戶端MAC地址到【添加新條目中】即可實現過濾訪問功能，如圖4所示。

5.開啟數據過濾封包

黑客想要成功破解無線網絡的訪問密碼，就必須向無線路由器發送大量的數據封包信息，并通過專業的數據傳輸分析工具探測有利于入侵網絡的有效信息。如果無線路由器開啟防火墻過濾封包功能，將黑客發向路由器的大量封包數據過濾掉，就可以阻止黑客破解訪問密碼。設置方法是，登錄無線路由器WEB頁面，在【安全功能】功能中選擇【高級安全設置】選項，在該分支右側顯示區域啟用【Dos攻擊防范】，有選擇地進行相關過濾設置，最后執行保存設置操作，如圖5所示。

參考文獻

[1]崔北亮著.CCNA學習與實驗指南（修訂版）[M].電子工業出版社，2012.

[2]張選波，王東編著.設備調試與網絡優化（學習、實驗指南）[M].科學出版社，2009.

[3]思科系統公司譯.思科網絡技術學院教程：LAN交換和無線[M].人民郵電出版社，2009.

作者簡介：翁啟文（1980—），男，海南東方人，現供職于海南省高級技工學校計算機應用系，研究方向：網絡技術。