十大策略加固无线局域网
作者: 佚名, 出处:中国IT实验室, 责任编辑: 郭秋爽, 2008-06-06 10:35
只需要采取下述10条简单步骤,你就可以将你的无线局域网变得像纳克斯堡(美国国家黄金储藏地)一样牢不可破。
移动鼠标点击电脑右下方的wifi(无线局域网)图标。你将发现你的无线局域网的名称。如果你像其它80%的wifi用户一样,很不幸你所连接的无线局域网可以说是不安全的。
不安全的无线局域网实际上是邀请黑客访问你的电脑,盗取你的机密信息,上传软件最后对你发动攻击。幸运的是,只需要采取下述10条简单步骤,你就可以将你的无线局域网变得像纳克斯堡(美国国家黄金储藏地)一样牢不可破。
修改管理员密码和用户名
在你将路由器拆封,开始设置的时候,这时会弹出一个网页要求你输入网络地址和帐号信息。理论上来说,这一wifi设置是受注册屏保护的(用户名和密码)。
问题: 虽然用户名和密码的初衷是保证只有你才能进入wifi的设置程序以及你输入的个人信息,实际上每个人都可以利用同样的路由器都是使用厂商提供的一样的注册。绝大多数人对此并没有对此做出任何改变,这样黑客就轻易侵入了,可以说是不费吹灰之力。
解决方案: 在第一次注册之后马上修改wifi设置中的用户名和密码。如果你打算这样做的话,尽量设置复杂的密码。黑客可能会使用一些简单的信息来猜测,譬如你的姓名,生日,纪念日,孩子或配偶的的姓名,或是宠物的,名字。一些黑客经常使用一种叫做“字典劫持”的方法(使用一种程序猜测常用的名字密码),因此你得保证你的密码的复杂性最好是字母与数字并存。
升级wifi加密
如果你在使用无线网络接受和发送信息的时候并没有采用充分的加密,黑客就可以轻易的进入网络监控你的行为。如果你不幸正输入你的个人或是银行信息,黑客就可以借机盗取你的身份认证。
传统的加密标准是有线等效保密(WEP)协议,然而黑客在30秒之内就可以将其破解,不管你使用多么复杂的密句。不幸的是,数以百万计的wifi用户使用的正是这种落后的WEP协议加密信息,我们本该选择更加先进的WPA2加密技术。(Wi-FiProtectedAccess,Wi-Fi保护访问, “WPA2”支持“AES”加密方式。老的“WEP”加密方式,在安全上存在着若被第三者恶意截获信号密码容易被破解的问题)。
问题 :尽管WPA2在加密保护方面有时明显,但是很多用户由于缺乏认识而没有采取升级措施,或是对升级所达到的效果不满意。所以,放着好的东西不用,他们宁愿选择WEP这种鸡肋似的老掉牙的加密技术。
解决方案 :解决之道当然是升级wifi加密到WPA2协议。但是你还是略作一些调整为升级铺平道路。第一步就是下载安装Windows XP版的WPA2 hotfix。还有就是要升级无线网卡驱动。这些升级在微软的Windows升级的“硬件选项”中找得到。
既然你准备将你的电脑和网卡升级,你需要通过网页浏览器打开路由器注册界面(这就是你第一次设置wifi时的页面,你可以在说明书中中找到这一URL地址)。注册成功之后,将安全设置改为“个人WPA2协议”并且勾选“TKIP+AES”运算法则。最后在“共享密鈅“中输入密码,保存修改。
修改默认系统ID
当你买回Linksys 或 D-Link路由器的时候并且安装的时候,它们都会有一个默认的系统ID叫做SSID或是ESSID。(SSID便是你给自己的无线网络所取的名字)。
问题 :一般来说,生产商都会在他们的设备上分配同样的SSID,80%的用户使用的是系统默认设置。也就是说,80%的用户的wifi网络的名称就是出厂的默认设置。
默认设置的一个问题就是黑客藉此可以了解一个wifi无线网络附近的所有网络,只需要使用默认的名称即可。尽管知晓SSID不会让所有的人进入我们的网络,但是却意味着这些网络缺乏有效的保护,因此这些网络往往成为羔羊。
解决方案 :在你配置你的局域网的时候马上改变默认的SSID。虽然这并不意味着你的网络访问会受到完全的控制,但是配置你的SSID将会使你区别于其它的未受保护的网络,黑客可能会知难而退。还有一个好处就是你的家人或是你不会因此链接到其它的网络之中,从而就不会将你暴露于黑客的枪口之下。
MAC地址过滤
如果你当初设置了不安全的wifi,很可能至少有不止一个网络邻居通过你联入网络。我们喜欢友好的邻居,但是这却给信息偷盗敞开大门,这时我们就不得不考虑了,更可怕是还会伤害到你的电脑。
想找出使用你的网络的人,你需要检查MAC地址。每一个wifi网络都被分配一个独一无二的物理地址或是MAC地址。你的wifi系统会自动记录下所有链接到你的设备的MAC地址。虽然找出这些MAC地址并不是完全有效,但是对保护无线局域网还是大有裨益的。
问题 :你不能确认是什么人或是什么设备正在威胁你的wifi网络,一旦你确认之后,你就会阻止它们,但是怎么做呢?
解决方案 :检查那些渴望进入你的网络的MAC地址会帮助你快速的找出所有链接到你的网络中的设备。只要不是你的计算机上的,你就可以加以清除。要达到这一目的,首先键入你的设备的物理地址。这样就只有这些设备可以访问你的网络,那些附近的网络就难以进入了。注意:这一方法看起来并不是那么有效。对付业余的黑客绰绰有余,一些专业的黑客使用先进的软件可以伪造MAC地址。
禁止网络广播
现在,由于你已经重命名了你的网络黑客就不会那么轻易的找到网络名称了。但是如果有什么方法可以让黑客知道你根本就没有设置wifi不是更好吗?一般来说,你的访问点或是路由器是间歇性地广播SSID的。虽然对于企业和移动基站来说这是必须的,但是家庭用户就不需要了,直接删除。
问题:为什么要告诉别人你有一个无线链接?你已经知道,为什么要让陌生人知道?对于大多数的个人用户,没有这一功能反到更好,因为这增加了黑客入侵的可能性。这些广播就好像是对黑客发出邀请一样。
对开放wifi网络的自动连接
绝大多数的电脑在提供wifi设置的时候的配置就是允许你直接链接开放的wifi网络而不经你允许。尽管这不是默认配置,但是很多人选择了这一项,因为这可以让网络链接速度更快特别是你外出旅行或是在朋友家中使用电脑的时候。更为平常的是一些人将其经常访问的网站勾选为自动登录。为什么人们要这样做呢?因为这样就免去了你在家里上网时输入名称或是无线网络名称时的麻烦。不幸的是,wifi设置也可能导致同样的问题。
问题:如果每次都自动访问那些wifi网络的话,你将不可避免的访问那些恶意网站而受到损失。
同样的道理,如果你自动访问一个wifi网络的话(意味着你不会每次都需要输入网络名称和密码)这样实际上就会产生安全漏洞。因为80% 的用户并没有改变其无线网络链接的名称。因此,黑客轻而易举的就可以创设一个哑元网络,以"Linksys" 或 "Default"命名,然后就等着80%的网络用户访问这一网络,因为这是一个受信任的名称。
解决方案: 不要选择自动访问网络选项。如果你想省去输入网络名称和密码的麻烦,至少你应该保证你连接网络是独一无二的,还有就是从你的网络偏好中删掉所有的一般网络名称。这样你就不会访问那些黑客专门设置的网络陷阱了。
使用内置防火墙
要保证IT安全必须使用多层次的安全策略。仅仅依靠单一层次安全措施并不足以抗拒所有的安全风险,增加安全策略将有效的防止间谍软件和恶意软件的侵袭。两个重要的安全层次就是路由器防火墙和PC防火墙。
问题:使用具有内置防火墙的路由器。但是,由于这个功能有一个禁止选项,有时一不小心就会禁止这项功能。
解决方案 :保证激活内置防火墙,与内置的禁止匿名访问网络机制使用效果很好。这一步将会帮助你在网络上隐身,这样就会保护你的网络。毕竟如果黑客找不到你就不能对你发动攻击。
路由器或访问点的配置
Wifi信号并不知道你的家庭住址和你的网络邻居的方位。这一wifi信号泄露将会给黑客发现和攻击你的无线网络的可乘之机。
问题 :尽管小规模的溢出并不是一个问题,但是将这一溢出降低到最低层度是很重要的。因为你的信号传播的越远,风险就越大。
解决方案 :如果你没有安装家庭无线网络,一定要保证在家庭网络中心布置路由器或是访问点。如果你住在公寓里,要保证无线网络限制在必要的层次上,信号所经过的防火墙和限制越多的话,也就越安全。如果你想减少信息泄漏的话,请保证wifi网络限制在一个小区间之内以减少威胁。
什么时候关闭网络
我们都知道不停的关闭和开启设备是不现实的。无线网络链接的一个好处就是方便,如果我们每次在不用的时候就关闭设备,很显然就太麻烦了。不幸的是,只要wifi网络开着,它就处于危险之中。为了安全着想,在不使用设备的时候还是尽量关闭无线信号。
问题 :安全与便利之间与生俱来就存在着矛盾,是否应该在连接的间隙关闭无线网络访问呢?
解决方案 :正如你外出旅行的时候要采取额外的安全措施一样,譬如要邻居帮你收取邮件,定时开灯。在你不使用wifi网络的时候也应该采取额外的安全措施。关闭网络是最基本和有效的方法,这将有效的阻断黑客发动攻击。
通过安全测试提升有效性
既然你已经知晓改变wifi设置,你会知道你很安全。不幸的是,真正的测试还是看在实际中你是否被黑客攻击。但是要是真的遭到攻击就代价太大了,幸亏我们有一套程序可以实现此测试目的。
问题 :一般的用户根本就不知道怎么样知道无线网络安全升级是否会相应的提升安全。
解决方案 :Marius Milner开发的Netstumbler工具会帮你找出网络的缺陷及未经授权的访问点。此外,它还可以揭示网络冲突的来源以及弱信号,这样你就可以提高你的wifi网络信号。这一软件是免费的,如果你想捐钱也可以。
后记:虽然本篇文章讨论了大量的保护无线网络安全的方法,但是没有哪一篇文章能够覆盖所有的安全策略。还有其它的一些安全措施:限制内网文件共享,修改无线路由器的默认IP地址,分配静态IP地址,禁止DMZ和远程管理,还有一些间接的措施,安装PC防火墙,杀毒软件,即时更新等等。尽管如此,IT专家网建议用户遵循了这些基本的安全建议,这会对您的网络遨游带来安全保证。