有哪些无线网络安全设置方法
使用无线加密协议
现在很多的无线路由器都拥有了无线加密功能,这是无线路由器的重要保护措施,通过对无线电波中的数据加密来保证传输数据信息的安全。无线加密协议(WEP)是无线网络上信息加密的一种标准方法,它可以对每一个企图访问无线网络的人的身份进行识别,同时对网络传输内容进行加密。
一般的无线路由器或AP都具有WEP加密和WPA加密功能,WEP一般包括64位和128位两种加密类型,只要分别输入 10 个或 26 个 16 进制的字符串作为加密密码就可以保护无线网络。WEP协议是对在两台设备间无线传输的数据进行加密的方式,用以防止非法用户窃听或侵入无线网络。许多无线设备厂商为了使产品安装简单易行,都把他们产品的出厂配置设置成禁止WEP模式,这样做最大的弊端是数据可以被直接从无线网络上读取,因此黑客就能轻而易举地从无线网络中获取想要的信息。另外,WEP密钥一般是保存在Flash中,有些黑客可以利用网络中的漏洞轻松进入。
主动更新
搜索并安装所使用的无线路由器或无线网卡的最新固件或驱动更新,消除以前存在的漏洞。还有下载安装所使用的操作系统在无线功能上的更新等,这样可以更好地支持无线网络的使用和安全,使自己的设备能够具备最新的各项功能。
在合理位置放置天线
使无线接入点保持封闭,首先要正确放置天线,从而限制能够到达天线有效范围的信号量。天线的理想位置是目标覆盖区域的中心,并使泄露到墙外的信号尽可能地少。不过,完全控制无线信号是几乎不可能的,所以还需要同时采取其他一些措施来保证网络安全。
禁用动态主机配置协议
动态主机分配协议(Dynamic Host Configuration Protocol,DHCP)的主要功能是帮助用户随机分配IP地址,省去了用户手动设置IP地址、子网掩码以及其他所需要的TCP/IP 参数的麻烦。这本来是方便用户的功能,但却被很多别有用心的人利用。一般的路由器 DHCP 功能是默认开启的,这样所有在信号范围内的无线设备都能自动分配到IP地址,这就留下了极大的安全隐患。攻击者可以通过分配的IP地址轻易得到很多你的路由器的相关信息,所以禁用DHCP功能非常必要。无线网络使用这个策略后,将迫使黑客去破解目标的IP地址、子网掩码和其他必需的TCP/IP参数。因为即使黑客可以使用无线接入点,但还必须要知道对应的IP地址。
禁用或修改SNMP设置
如果无线接入点支持简单网络管理协议(SNMP),那么需要禁用它或者修改默认的公共和私有的标识符。不这么做的话,黑客将可以利用SNMP获取关于网络的重要信息。
IP过滤和MAC地址列表
由于每个网卡的MAC地址是唯一的,所以可以通过设置MAC地址列表来提高安全性。在启用了IP地址过滤功能后,只有IP地址在MAC列表中的用户才能正常访问无线网络,其他的不在列表中的就自然无法连入网络了。另外需要注意在“过滤规则”中一定要选择“仅允许已设MAC地址列表中已生效的MAC地址访问无线网络”选项,要不无线路由器就会阻止所有用户连入网络。对于家庭用户来说这个方法非常实用,家中有几台电脑就在列表中添加几台即可,这样既可以避免邻居“蹭网”也可以防止攻击者的入侵。
但是,不是所有的无线接入点都支持这一功能,而且它必须手动输入MAC地址过滤标准。支持这项功能的接入点可以利用TFTP(简单文件传输协议)定期地来下载更新访问列表,从而避免了必须使所有设备上的列表保持同步的巨大的管理工作量。
改变服务集标识符并且禁止SSID广播
服务集标识符(SSID)是无线接入的身份标识符,是无线网络用于定位服务的一项功能,用户用它来建立与接入点之间的连接,为了能够进行通信,无线路由器和主机必须使用相同的SSID。这个身份标识符是由通信设备制造商设置的,并且每个厂商都用自己的默认值。
在通信过程中,无线路由器首先广播其SSID,任何在此接收范围内的主机都可以获得SSID,使用此SSID值对自身进行配置后就可以和无线路由器进行通信。在搜索无线网络时,网络的名字也就是SSID就会显示在搜索结果中。一旦攻击者利用通用的初始化字符串来连接无线网络,极容易入侵到无线网络中来。 尽管目前大部分无线路由器都已经支持禁用自动广播SSID功能,仍需要给每个无线接入点设置一个唯一并且难以推测的 SSID,同时尽可能禁止 SSID 向外广播。这样,无线网络就不能通过广播的方式来吸纳更多用户,这不是说网络不可用,只是它不会出现在可使用网络的名单中。