實(shí)現(xiàn)無(wú)線上網(wǎng)安全的常用設(shè)置方法

實(shí)現(xiàn)無(wú)線上網(wǎng)安全的常用設(shè)置方法

海南省高級(jí)技工學(xué)校 翁啟文

【摘要】隨著筆記本電腦、平板電腦、智能手機(jī)D等電子設(shè)備的不斷普及，隨處可見(jiàn)標(biāo)語(yǔ)“內(nèi)設(shè)WIFI”，無(wú)線上網(wǎng)正式成為一種主流。無(wú)線上網(wǎng)既靈活又方便，還能擺脫物理連接的位置束縛，現(xiàn)在多數(shù)家庭臺(tái)式機(jī)都舍棄有線連接，增加無(wú)線網(wǎng)卡實(shí)現(xiàn)無(wú)線連接，但無(wú)線上網(wǎng)也有不足的地方就是容易被蹭用網(wǎng)絡(luò)，會(huì)影響速度及產(chǎn)生很多不安全因素。所以，有必要設(shè)置防范措施，讓無(wú)線上網(wǎng)實(shí)現(xiàn)安全可靠。

【關(guān)鍵詞】網(wǎng)絡(luò)無(wú)線；黑客；安全設(shè)置方法

1.使用動(dòng)態(tài)加密類(lèi)型

無(wú)線路由器具有多種類(lèi)型的加密功能，不同類(lèi)型的安全防范能力也不一樣。在實(shí)際使用無(wú)線網(wǎng)絡(luò)時(shí)，很多用戶(hù)加密意識(shí)薄弱，追求使用方便或是根本不知道有加密設(shè)置，沒(méi)有及時(shí)為無(wú)線網(wǎng)絡(luò)設(shè)置密碼。即使為無(wú)線網(wǎng)絡(luò)設(shè)置了密碼，大都選用的是安全防范能力一般的WEP靜態(tài)密碼，這種密碼很容易被黑客破解，因?yàn)閻阂庥脩?hù)只要收集到一定數(shù)量的封包，并采用反復(fù)推算的方法，就能輕易竊取無(wú)線網(wǎng)絡(luò)登錄密碼，現(xiàn)在網(wǎng)絡(luò)上隨處可見(jiàn)破解WEP密碼的方法及軟件。

為了防止黑客肆無(wú)忌憚的攻擊無(wú)線網(wǎng)絡(luò)，建議大家選用動(dòng)態(tài)類(lèi)型的登錄密碼，因?yàn)檫@類(lèi)型密碼在無(wú)線上網(wǎng)的時(shí)候會(huì)動(dòng)態(tài)變化，黑客往往很難從不斷變化的密碼中破解出數(shù)據(jù)傳輸內(nèi)容。動(dòng)態(tài)類(lèi)型密碼包括WPA密鑰、WPA2密鑰、WPA-PSK密鑰、WPA2-PSK密鑰等，其中WPA的密鑰位數(shù)達(dá)到128位、WPA2密鑰的位數(shù)包括128位、192位、256位等，而且這種加密類(lèi)型還支持消息完整性檢查功能，該功能能有效防止黑客偽造數(shù)據(jù)傳輸包。

本文使用常見(jiàn)的TP-Link WR941N無(wú)線路由器作為操作藍(lán)本，其他無(wú)線路由器設(shè)置基本類(lèi)似。在為無(wú)線網(wǎng)絡(luò)加密時(shí)，Z先以系統(tǒng)管理員身份登錄無(wú)線路由器WEB頁(yè)面，在【無(wú)線設(shè)置】功能中選擇【無(wú)線安全設(shè)置】選項(xiàng)，在該分支右側(cè)顯示區(qū)域中選擇【動(dòng)態(tài)加密WPA-PSK/WPA2-PSK】選項(xiàng)，設(shè)置認(rèn)證類(lèi)型、加密算法和填寫(xiě)PSK密碼，如圖1所示，最后重啟無(wú)線路由器后即可實(shí)現(xiàn)使用密碼安全登錄。

圖1

圖2

2.縮小可用IP地址范圍

在進(jìn)行無(wú)線上網(wǎng)時(shí)，客戶(hù)端需要先從無(wú)線路由器服務(wù)端獲取有效IP地址，才能成功上網(wǎng)訪問(wèn)。如果我們能根據(jù)實(shí)際需求縮小無(wú)線網(wǎng)絡(luò)的可用IP地址范圍，也能在一定程度上攔截惡意用戶(hù)的非法連接。

例如，某辦公室或家庭中只有3臺(tái)客戶(hù)端上網(wǎng)，那么只需要保留3個(gè)IP地址即可，當(dāng)每臺(tái)客戶(hù)端都上網(wǎng)時(shí)，其他人是不能訪問(wèn)網(wǎng)絡(luò)的。登錄無(wú)線路由器WEB頁(yè)面，在【DHCP服務(wù)器】功能中選擇【DHCP服務(wù)】選項(xiàng)，在該分支右側(cè)顯示區(qū)域中選擇啟用【DHCP服務(wù)器】，填寫(xiě)地址池開(kāi)始和結(jié)束地址、地址租期、網(wǎng)關(guān)、主和備用DNS服務(wù)器，如圖2所示，最后點(diǎn)擊【保存】按鈕即可實(shí)現(xiàn)該功能。

3.隱藏?zé)o線網(wǎng)絡(luò)服務(wù)集標(biāo)識(shí)（SSID）

SSID是Service Set Identifier的縮寫(xiě)，意思是服務(wù)集標(biāo)識(shí)。每個(gè)無(wú)線網(wǎng)絡(luò)都有一個(gè)SSID，黑客之所以能找到附近可用的無(wú)線網(wǎng)絡(luò)，主要是通過(guò)掃描SSID來(lái)達(dá)到目的的。而很多用戶(hù)平時(shí)都會(huì)使用無(wú)線路由器的默認(rèn)設(shè)置開(kāi)啟SSID。若關(guān)閉開(kāi)啟SSID功能，黑客就不容易發(fā)現(xiàn)本地?zé)o線網(wǎng)絡(luò)SSID，自然就談不上蹭用甚至是攻擊網(wǎng)絡(luò)了。設(shè)置方法是，登錄無(wú)線路由器WEB頁(yè)面，在【無(wú)線設(shè)置】功能中選擇【基本設(shè)置】選項(xiàng)，在該分支右側(cè)顯示區(qū)域，【開(kāi)啟SSID廣播】選項(xiàng)默認(rèn)處于選中狀態(tài)，需要取消該選項(xiàng)的選中狀態(tài)，同時(shí)執(zhí)行設(shè)置保存操作，如圖3所示。

然而，通過(guò)字母和數(shù)字組成的SSID即使沒(méi)有設(shè)置“廣播”，入侵者通過(guò)bt3、bt4、網(wǎng)絡(luò)螞蟻等工具也可掃描到對(duì)應(yīng)的無(wú)線網(wǎng)絡(luò)并順利入侵。只有將SSID信息修改為中文才能徹底避免上述問(wèn)題出現(xiàn)。市面上有一些設(shè)備完全支持中文SSID無(wú)線網(wǎng)絡(luò)設(shè)置，不過(guò)還有很多設(shè)備并不支持使用中文來(lái)命名SSID，遇到這種情況，可通過(guò)查閱相關(guān)書(shū)籍后進(jìn)行解決。究其原因，一方面是因?yàn)橹形淖址谶@些軟件中會(huì)顯示亂碼；另一方面是因?yàn)楹芏嗳肭止ぞ叨际菄?guó)外開(kāi)發(fā)者開(kāi)發(fā)的，對(duì)中文不支持、不兼容。

圖3

4.過(guò)濾陌生客戶(hù)端MAC地址

如果黑客攻擊水平很高，上述防范措施并不足以保護(hù)無(wú)線網(wǎng)絡(luò)安全。可以通過(guò)過(guò)濾客戶(hù)端MAC地址的方法來(lái)阻止陌生客戶(hù)端訪問(wèn)網(wǎng)絡(luò)。MAC（Medium/Media Access Control）地址，或稱(chēng)為物理地址，用來(lái)表示互聯(lián)網(wǎng)上每一個(gè)站點(diǎn)的標(biāo)識(shí)符，采用十六進(jìn)制數(shù)表示，共六個(gè)字節(jié)（48位）。其中，前三個(gè)字節(jié)是由IEEE的注冊(cè)管理機(jī)構(gòu)RA負(fù)責(zé)給不同廠家分配的代碼（高位24位），也稱(chēng)為“編制上唯一的標(biāo)識(shí)符”（Organizationally Unique Identifier），后三個(gè)字節(jié)（低位24位）由各廠家自行指派給生產(chǎn)的適配器接口，稱(chēng)為擴(kuò)展標(biāo)識(shí)符（唯一性）。

圖4

圖5

所以，一個(gè)網(wǎng)卡設(shè)備通常會(huì)有一個(gè)全球唯一固定的MAC地址，將辦公室或家庭客戶(hù)端的網(wǎng)卡物理地址手工添加到無(wú)線路由器自帶的MAC地址過(guò)濾表中，這樣一來(lái)，日后只有客戶(hù)端系統(tǒng)的MAC地址與MAC地址過(guò)濾表中的內(nèi)容一致，才會(huì)被無(wú)線路由器識(shí)別為合法客戶(hù)端，才有權(quán)限接入無(wú)線網(wǎng)絡(luò)進(jìn)行上網(wǎng)訪問(wèn)。而其他客戶(hù)端在連接無(wú)線路由器時(shí)，會(huì)被識(shí)別為非法連接，會(huì)被無(wú)線路由器攔截，不能上網(wǎng)訪問(wèn)。設(shè)置方法是，登錄無(wú)線路由器WEB頁(yè)面，在【無(wú)線設(shè)置】功能中選擇【無(wú)線MAC地址過(guò)濾】選項(xiàng)，在該分支右側(cè)顯示區(qū)域開(kāi)啟【MAC地址過(guò)濾功能】，【過(guò)濾規(guī)則】功能選中【禁止列表中生效規(guī)則之外的MAC地址訪問(wèn)本無(wú)線網(wǎng)絡(luò)】，最后手工添加信任客戶(hù)端MAC地址到【添加新條目中】即可實(shí)現(xiàn)過(guò)濾訪問(wèn)功能，如圖4所示。

5.開(kāi)啟數(shù)據(jù)過(guò)濾封包

黑客想要成功破解無(wú)線網(wǎng)絡(luò)的訪問(wèn)密碼，就必須向無(wú)線路由器發(fā)送大量的數(shù)據(jù)封包信息，并通過(guò)專(zhuān)業(yè)的數(shù)據(jù)傳輸分析工具探測(cè)有利于入侵網(wǎng)絡(luò)的有效信息。如果無(wú)線路由器開(kāi)啟防火墻過(guò)濾封包功能，將黑客發(fā)向路由器的大量封包數(shù)據(jù)過(guò)濾掉，就可以阻止黑客破解訪問(wèn)密碼。設(shè)置方法是，登錄無(wú)線路由器WEB頁(yè)面，在【安全功能】功能中選擇【高級(jí)安全設(shè)置】選項(xiàng)，在該分支右側(cè)顯示區(qū)域啟用【Dos攻擊防范】，有選擇地進(jìn)行相關(guān)過(guò)濾設(shè)置，最后執(zhí)行保存設(shè)置操作，如圖5所示。

參考文獻(xiàn)

[1]崔北亮著.CCNA學(xué)習(xí)與實(shí)驗(yàn)指南（修訂版）[M].電子工業(yè)出版社，2012.

[2]張選波，王東編著.設(shè)備調(diào)試與網(wǎng)絡(luò)優(yōu)化（學(xué)習(xí)、實(shí)驗(yàn)指南）[M].科學(xué)出版社，2009.

[3]思科系統(tǒng)公司譯.思科網(wǎng)絡(luò)技術(shù)學(xué)院教程：LAN交換和無(wú)線[M].人民郵電出版社，2009.

作者簡(jiǎn)介：翁啟文（1980—），男，海南東方人，現(xiàn)供職于海南省高級(jí)技工學(xué)校計(jì)算機(jī)應(yīng)用系，研究方向：網(wǎng)絡(luò)技術(shù)。