實(shí)現(xiàn)無(wú)線上網(wǎng)安全的常用設(shè)置方法
海南省高級(jí)技工學(xué)校 翁啟文
【摘要】隨著筆記本電腦、平板電腦、智能手機(jī)D等電子設(shè)備的不斷普及,隨處可見(jiàn)標(biāo)語(yǔ)“內(nèi)設(shè)WIFI”,無(wú)線上網(wǎng)正式成為一種主流。無(wú)線上網(wǎng)既靈活又方便,還能擺脫物理連接的位置束縛,現(xiàn)在多數(shù)家庭臺(tái)式機(jī)都舍棄有線連接,增加無(wú)線網(wǎng)卡實(shí)現(xiàn)無(wú)線連接,但無(wú)線上網(wǎng)也有不足的地方就是容易被蹭用網(wǎng)絡(luò),會(huì)影響速度及產(chǎn)生很多不安全因素。所以,有必要設(shè)置防范措施,讓無(wú)線上網(wǎng)實(shí)現(xiàn)安全可靠。
【關(guān)鍵詞】網(wǎng)絡(luò)無(wú)線;黑客;安全設(shè)置方法
1.使用動(dòng)態(tài)加密類(lèi)型
無(wú)線路由器具有多種類(lèi)型的加密功能,不同類(lèi)型的安全防范能力也不一樣。在實(shí)際使用無(wú)線網(wǎng)絡(luò)時(shí),很多用戶(hù)加密意識(shí)薄弱,追求使用方便或是根本不知道有加密設(shè)置,沒(méi)有及時(shí)為無(wú)線網(wǎng)絡(luò)設(shè)置密碼。即使為無(wú)線網(wǎng)絡(luò)設(shè)置了密碼,大都選用的是安全防范能力一般的WEP靜態(tài)密碼,這種密碼很容易被黑客破解,因?yàn)閻阂庥脩?hù)只要收集到一定數(shù)量的封包,并采用反復(fù)推算的方法,就能輕易竊取無(wú)線網(wǎng)絡(luò)登錄密碼,現(xiàn)在網(wǎng)絡(luò)上隨處可見(jiàn)破解WEP密碼的方法及軟件。
為了防止黑客肆無(wú)忌憚的攻擊無(wú)線網(wǎng)絡(luò),建議大家選用動(dòng)態(tài)類(lèi)型的登錄密碼,因?yàn)檫@類(lèi)型密碼在無(wú)線上網(wǎng)的時(shí)候會(huì)動(dòng)態(tài)變化,黑客往往很難從不斷變化的密碼中破解出數(shù)據(jù)傳輸內(nèi)容。動(dòng)態(tài)類(lèi)型密碼包括WPA密鑰、WPA2密鑰、WPA-PSK密鑰、WPA2-PSK密鑰等,其中WPA的密鑰位數(shù)達(dá)到128位、WPA2密鑰的位數(shù)包括128位、192位、256位等,而且這種加密類(lèi)型還支持消息完整性檢查功能,該功能能有效防止黑客偽造數(shù)據(jù)傳輸包。
本文使用常見(jiàn)的TP-Link WR941N無(wú)線路由器作為操作藍(lán)本,其他無(wú)線路由器設(shè)置基本類(lèi)似。在為無(wú)線網(wǎng)絡(luò)加密時(shí),Z先以系統(tǒng)管理員身份登錄無(wú)線路由器WEB頁(yè)面,在【無(wú)線設(shè)置】功能中選擇【無(wú)線安全設(shè)置】選項(xiàng),在該分支右側(cè)顯示區(qū)域中選擇【動(dòng)態(tài)加密WPA-PSK/WPA2-PSK】選項(xiàng),設(shè)置認(rèn)證類(lèi)型、加密算法和填寫(xiě)PSK密碼,如圖1所示,最后重啟無(wú)線路由器后即可實(shí)現(xiàn)使用密碼安全登錄。
圖1
圖2
2.縮小可用IP地址范圍
在進(jìn)行無(wú)線上網(wǎng)時(shí),客戶(hù)端需要先從無(wú)線路由器服務(wù)端獲取有效IP地址,才能成功上網(wǎng)訪問(wèn)。如果我們能根據(jù)實(shí)際需求縮小無(wú)線網(wǎng)絡(luò)的可用IP地址范圍,也能在一定程度上攔截惡意用戶(hù)的非法連接。
例如,某辦公室或家庭中只有3臺(tái)客戶(hù)端上網(wǎng),那么只需要保留3個(gè)IP地址即可,當(dāng)每臺(tái)客戶(hù)端都上網(wǎng)時(shí),其他人是不能訪問(wèn)網(wǎng)絡(luò)的。登錄無(wú)線路由器WEB頁(yè)面,在【DHCP服務(wù)器】功能中選擇【DHCP服務(wù)】選項(xiàng),在該分支右側(cè)顯示區(qū)域中選擇啟用【DHCP服務(wù)器】,填寫(xiě)地址池開(kāi)始和結(jié)束地址、地址租期、網(wǎng)關(guān)、主和備用DNS服務(wù)器,如圖2所示,最后點(diǎn)擊【保存】按鈕即可實(shí)現(xiàn)該功能。
3.隱藏?zé)o線網(wǎng)絡(luò)服務(wù)集標(biāo)識(shí)(SSID)
SSID是Service Set Identifier的縮寫(xiě),意思是服務(wù)集標(biāo)識(shí)。每個(gè)無(wú)線網(wǎng)絡(luò)都有一個(gè)SSID,黑客之所以能找到附近可用的無(wú)線網(wǎng)絡(luò),主要是通過(guò)掃描SSID來(lái)達(dá)到目的的。而很多用戶(hù)平時(shí)都會(huì)使用無(wú)線路由器的默認(rèn)設(shè)置開(kāi)啟SSID。若關(guān)閉開(kāi)啟SSID功能,黑客就不容易發(fā)現(xiàn)本地?zé)o線網(wǎng)絡(luò)SSID,自然就談不上蹭用甚至是攻擊網(wǎng)絡(luò)了。設(shè)置方法是,登錄無(wú)線路由器WEB頁(yè)面,在【無(wú)線設(shè)置】功能中選擇【基本設(shè)置】選項(xiàng),在該分支右側(cè)顯示區(qū)域,【開(kāi)啟SSID廣播】選項(xiàng)默認(rèn)處于選中狀態(tài),需要取消該選項(xiàng)的選中狀態(tài),同時(shí)執(zhí)行設(shè)置保存操作,如圖3所示。
然而,通過(guò)字母和數(shù)字組成的SSID即使沒(méi)有設(shè)置“廣播”,入侵者通過(guò)bt3、bt4、網(wǎng)絡(luò)螞蟻等工具也可掃描到對(duì)應(yīng)的無(wú)線網(wǎng)絡(luò)并順利入侵。只有將SSID信息修改為中文才能徹底避免上述問(wèn)題出現(xiàn)。市面上有一些設(shè)備完全支持中文SSID無(wú)線網(wǎng)絡(luò)設(shè)置,不過(guò)還有很多設(shè)備并不支持使用中文來(lái)命名SSID,遇到這種情況,可通過(guò)查閱相關(guān)書(shū)籍后進(jìn)行解決。究其原因,一方面是因?yàn)橹形淖址谶@些軟件中會(huì)顯示亂碼;另一方面是因?yàn)楹芏嗳肭止ぞ叨际菄?guó)外開(kāi)發(fā)者開(kāi)發(fā)的,對(duì)中文不支持、不兼容。
圖3
4.過(guò)濾陌生客戶(hù)端MAC地址
如果黑客攻擊水平很高,上述防范措施并不足以保護(hù)無(wú)線網(wǎng)絡(luò)安全。可以通過(guò)過(guò)濾客戶(hù)端MAC地址的方法來(lái)阻止陌生客戶(hù)端訪問(wèn)網(wǎng)絡(luò)。MAC(Medium/Media Access Control)地址,或稱(chēng)為物理地址,用來(lái)表示互聯(lián)網(wǎng)上每一個(gè)站點(diǎn)的標(biāo)識(shí)符,采用十六進(jìn)制數(shù)表示,共六個(gè)字節(jié)(48位)。其中,前三個(gè)字節(jié)是由IEEE的注冊(cè)管理機(jī)構(gòu)RA負(fù)責(zé)給不同廠家分配的代碼(高位24位),也稱(chēng)為“編制上唯一的標(biāo)識(shí)符”(Organizationally Unique Identifier),后三個(gè)字節(jié)(低位24位)由各廠家自行指派給生產(chǎn)的適配器接口,稱(chēng)為擴(kuò)展標(biāo)識(shí)符(唯一性)。
圖4
圖5
所以,一個(gè)網(wǎng)卡設(shè)備通常會(huì)有一個(gè)全球唯一固定的MAC地址,將辦公室或家庭客戶(hù)端的網(wǎng)卡物理地址手工添加到無(wú)線路由器自帶的MAC地址過(guò)濾表中,這樣一來(lái),日后只有客戶(hù)端系統(tǒng)的MAC地址與MAC地址過(guò)濾表中的內(nèi)容一致,才會(huì)被無(wú)線路由器識(shí)別為合法客戶(hù)端,才有權(quán)限接入無(wú)線網(wǎng)絡(luò)進(jìn)行上網(wǎng)訪問(wèn)。而其他客戶(hù)端在連接無(wú)線路由器時(shí),會(huì)被識(shí)別為非法連接,會(huì)被無(wú)線路由器攔截,不能上網(wǎng)訪問(wèn)。設(shè)置方法是,登錄無(wú)線路由器WEB頁(yè)面,在【無(wú)線設(shè)置】功能中選擇【無(wú)線MAC地址過(guò)濾】選項(xiàng),在該分支右側(cè)顯示區(qū)域開(kāi)啟【MAC地址過(guò)濾功能】,【過(guò)濾規(guī)則】功能選中【禁止列表中生效規(guī)則之外的MAC地址訪問(wèn)本無(wú)線網(wǎng)絡(luò)】,最后手工添加信任客戶(hù)端MAC地址到【添加新條目中】即可實(shí)現(xiàn)過(guò)濾訪問(wèn)功能,如圖4所示。
5.開(kāi)啟數(shù)據(jù)過(guò)濾封包
黑客想要成功破解無(wú)線網(wǎng)絡(luò)的訪問(wèn)密碼,就必須向無(wú)線路由器發(fā)送大量的數(shù)據(jù)封包信息,并通過(guò)專(zhuān)業(yè)的數(shù)據(jù)傳輸分析工具探測(cè)有利于入侵網(wǎng)絡(luò)的有效信息。如果無(wú)線路由器開(kāi)啟防火墻過(guò)濾封包功能,將黑客發(fā)向路由器的大量封包數(shù)據(jù)過(guò)濾掉,就可以阻止黑客破解訪問(wèn)密碼。設(shè)置方法是,登錄無(wú)線路由器WEB頁(yè)面,在【安全功能】功能中選擇【高級(jí)安全設(shè)置】選項(xiàng),在該分支右側(cè)顯示區(qū)域啟用【Dos攻擊防范】,有選擇地進(jìn)行相關(guān)過(guò)濾設(shè)置,最后執(zhí)行保存設(shè)置操作,如圖5所示。
參考文獻(xiàn)
[1]崔北亮著.CCNA學(xué)習(xí)與實(shí)驗(yàn)指南(修訂版)[M].電子工業(yè)出版社,2012.
[2]張選波,王東編著.設(shè)備調(diào)試與網(wǎng)絡(luò)優(yōu)化(學(xué)習(xí)、實(shí)驗(yàn)指南)[M].科學(xué)出版社,2009.
[3]思科系統(tǒng)公司譯.思科網(wǎng)絡(luò)技術(shù)學(xué)院教程:LAN交換和無(wú)線[M].人民郵電出版社,2009.
作者簡(jiǎn)介:翁啟文(1980—),男,海南東方人,現(xiàn)供職于海南省高級(jí)技工學(xué)校計(jì)算機(jī)應(yīng)用系,研究方向:網(wǎng)絡(luò)技術(shù)。