论文部分内容阅读
现在,多数家庭通过组建无线网络来访问因特网已经成为一个趋势。但其实在无线上网的背后有可能隐藏着许多的网络安全问题。原则上,无线网络比有线网络更容易受到入侵,因为被攻击端的电脑与攻击端的电脑并不需要网线设备上的连接,他只要在你无线路由器或中继器的有效范围内,就可以进入你的内部网络,访问你的资源,如果你在内部网络传输的数据并未加密的话,更有可能被人家窥探你的数据隐私。
无线使用者对其安全性问题都十分的关注,如果用户建立的无线网络中数据包没有经过任何加密就直接传输的,就很容易被网络中不法分子或者sniffer监视出数据的本来面目。虽然大多家庭用户都明白这点,但很多用户对无线网络的安全设置感觉比较害怕,认为那是一件非常复杂的事情。其实无线网络安全设置并没大家想象中那么难,下面来一项项地告诉大家如何通过一些安全措施来让你的无线网络变得更安全、更可靠。
确认你的无线网络是否被黑
如果你担心你的无线网络已经在未经你许可的情况下被使用,你可以使用数据包嗅探软件监听你的无线网络。一个比较被广泛使用的嗅探器是Ethereal。它可以捕捉网络的通信情况并给你浏览网络活动的选项。
确定你的所有本地机器的IP地址和路由器的IP地址(一般是192.168.1.1到192.168.255.255),打开一个DOS窗口,输入“ipconfig”。如果你发现一个IP地址在这个区段中,但是你又不认识这个IP,那么你可能就有一个不速之客。不用担心超出这个范围的地址。因为这可能是你正常的网络活动的结果。这个地址是来自Internet。一个合理和正确设置的防火墙可以让心怀恶意者无机可乘。
1.修改用户名和密码(不使用默认的用户名和密码)
一般的家庭无线网络都是通过一个无线路由器或中继器来访问外部网络的。通常这些路由器或中继器设备制造商为了便于用户设置这些设备建立起无线网络,都提供了一个管理页面工具。这个页面工具可以用来设置该设备的网络地址以及账号等信息。为了保证只有设备拥有者才能使用这个管理页面工具,该设备通常也设有登录界面,只有输入正确的用户名和密码的用户才能进入管理页面。然而在设备出售时,制造商给每一个型号的设备提供的默认用户名和密码都是一样的,不幸的是,很多家庭用户购买这些设备回来之后,都不会去修改设备的默认的用户名和密码。这就使得黑客们有机可乘。他们只要通过简单的扫描工具很容易就能找出这些设备的地址并尝试用默认的用户名和密码去登录管理页面,如果成功则立即取得该路由器/交换机的控制权。
2.使用加密
所有的无线网络都提供某些形式的加密。之前我跟大家提过,攻击端电脑只要在无线路由器/中继器的有效范围内的话,那么它有很大机会访问到该无线网络,一旦它能访问该内部网络时,该网络中所有传输的数据对他来说都是透明的。如果这些数据都没经过加密的话,黑客就可以通过一些数据包嗅探工具来抓包、分析并窥探到其中的隐私。开启你的无线网络加密,这样即使你在无线网络上传输的数据被截取了也没办法(或者是说没那么容易)被解读。目前,无线网络中已经存在好几种加密技术。通常我们选用能力最强的那种加密技术。此外要注意的是,如果你的网络中同时存在多个无线网络设备的话,这些设备的加密技术应该选取同一个。
WEP、WPA安全加密
在无线设置界面里的安全设置进入设置页面,安全设置选项分为禁用、WEP、WPA-PSK。可以根据需要,在该页面中选择加密方式。
WPA与WEP不同,WEP使用一个静态的密钥来加密所有的通信。WPA不断地转换密钥。在家庭无线网络上使用的WPA版本是WPA-PSK。它使用一个种子字符串或者短语。这很像WEP。你必须注意要使用一个很难被猜到的短语或者字符串。但是,有些设备不能支持WPA。那么它就不能在WAP加密的无线网络上使用(比如无线音乐设备)。所以你只能在你确定在你所有的客户端设备都支持的情况下启动这个级别的加密。
3.修改默认的服务区标识符(SSID)
通常每个无线网络都有一个服务区标识符(SSID),无线客户端需要加入该网络的时候需要有一个相同的SSID,否则将被“拒之门外”。通常路由器/中继器设备制造商都在他们的产品中设了一个默认的相同的SSID。例如LINKSYS设备的SSID通常是“linksys”。如果一个网络,不为其指定一个SSID或者只使用默认SSID的话,那么任何无线客户端都可以进入该网络。无疑这为黑客的入侵网络打开了方便之门。
4.禁止SSID广播
在无线网络中,各路由设备有个很重要的功能,那就是服务区标识符广播,即SSID广播。最初,这个功能主要是为那些无线网络客户端流动量特别大的商业无线网络而设计的。开启了SSID广播的无线网络,其路由设备会自动向其有效范围内的无线网络客户端广播自己的SSID号,无线网络客户端接收到这个SSID号后,利用这个SSID号才可以使用这个网络。但是,这个功能却存在极大的安全隐患,就好像它自动地为想进入该网络的黑客打开了门户。在商业网络里,由于为了满足经常变动的无线网络接入端,必定要牺牲安全性来开启这项功能,但是作为家庭无线网络来讲,网络成员相对固定,所以没必要开启这项功能。
5.设置MAC地址过滤
众所周知,基本上每一个网络接点设备都有一个独一无二的标识称之为物理地址或MAC地址,当然无线网络设备也不例外。所有路由器/中继器等路由设备都会跟踪所有经过它们的数据包源MAC地址。通常,许多这类设备都提供对MAC地址的操作,这样我们可以通过建立我们自己的准通过MAC地址列表,来防止非法设备(主机等)接入网络。但是值得一提的是,该方法并不是绝对有效的,因为我们很容易修改自己电脑网卡的MAC地址。
6.为你的网络设备分配静态IP
由于DHCP服务越来越容易建立,很多家庭无线网络都使用DHCP服务来为网络中的客户端动态分配IP。这导致了另外一个安全隐患,那就是接入网络的攻击端很容易就通过DHCP服务来得到一个合法的IP。然而在成员很固定的家庭网络中,我们可以通过为网络成员设备分配固定的IP地址,然后再在路由器上设定允许接入设备的IP地址列表,从而可以有效地防止非法入侵,保护你的网络。
7.确定位置,隐藏好你的路由器或中继器
大家都知道,无线网络路由器或中继器等设备,都是通过无线电波的形式传播数据的,而且数据传播都有一个有效的范围。当你的设备覆盖范围,远远超出你家的范围之外的话,那么你就需要考虑一下你的网络安全性了,因为这样的话,黑客可能很容易在你家外登录到你的家庭无线网络。此外,如果你的邻居也使用了无线网络,那么你还需要考虑一下你的路由器或中继器的覆盖范围是否会与邻居的相重叠,如果重叠的话就会引起冲突,影响你的网络传输,一旦发生这种情况,你就需要为你的路由器或中继器设置一个不同于邻居网络的频段(也称Channel)。根据你自己的家庭,选择好合适有效范围的路由器或中继器,并选择好其安放的位置,一般来讲,安置在家庭最中间的位置是最合适的。
总结
对普通家庭无线网络来说,经过以上的设置后无线网就可以放心地使用了。就像紧锁你的房门和窗户使你家得到安全保护一样,你也必须紧锁你的无线网络以达到安全。通过改变你的路由器缺省管理员密码、改变缺省的SSID和禁止SSID广播、改变你的IP地址配置、设置你的路由器使用加密,同时使用MAC地址过滤,你就能够安全地保护你的家庭无线网络了。
无线使用者对其安全性问题都十分的关注,如果用户建立的无线网络中数据包没有经过任何加密就直接传输的,就很容易被网络中不法分子或者sniffer监视出数据的本来面目。虽然大多家庭用户都明白这点,但很多用户对无线网络的安全设置感觉比较害怕,认为那是一件非常复杂的事情。其实无线网络安全设置并没大家想象中那么难,下面来一项项地告诉大家如何通过一些安全措施来让你的无线网络变得更安全、更可靠。
确认你的无线网络是否被黑
如果你担心你的无线网络已经在未经你许可的情况下被使用,你可以使用数据包嗅探软件监听你的无线网络。一个比较被广泛使用的嗅探器是Ethereal。它可以捕捉网络的通信情况并给你浏览网络活动的选项。
确定你的所有本地机器的IP地址和路由器的IP地址(一般是192.168.1.1到192.168.255.255),打开一个DOS窗口,输入“ipconfig”。如果你发现一个IP地址在这个区段中,但是你又不认识这个IP,那么你可能就有一个不速之客。不用担心超出这个范围的地址。因为这可能是你正常的网络活动的结果。这个地址是来自Internet。一个合理和正确设置的防火墙可以让心怀恶意者无机可乘。
1.修改用户名和密码(不使用默认的用户名和密码)
一般的家庭无线网络都是通过一个无线路由器或中继器来访问外部网络的。通常这些路由器或中继器设备制造商为了便于用户设置这些设备建立起无线网络,都提供了一个管理页面工具。这个页面工具可以用来设置该设备的网络地址以及账号等信息。为了保证只有设备拥有者才能使用这个管理页面工具,该设备通常也设有登录界面,只有输入正确的用户名和密码的用户才能进入管理页面。然而在设备出售时,制造商给每一个型号的设备提供的默认用户名和密码都是一样的,不幸的是,很多家庭用户购买这些设备回来之后,都不会去修改设备的默认的用户名和密码。这就使得黑客们有机可乘。他们只要通过简单的扫描工具很容易就能找出这些设备的地址并尝试用默认的用户名和密码去登录管理页面,如果成功则立即取得该路由器/交换机的控制权。
2.使用加密
所有的无线网络都提供某些形式的加密。之前我跟大家提过,攻击端电脑只要在无线路由器/中继器的有效范围内的话,那么它有很大机会访问到该无线网络,一旦它能访问该内部网络时,该网络中所有传输的数据对他来说都是透明的。如果这些数据都没经过加密的话,黑客就可以通过一些数据包嗅探工具来抓包、分析并窥探到其中的隐私。开启你的无线网络加密,这样即使你在无线网络上传输的数据被截取了也没办法(或者是说没那么容易)被解读。目前,无线网络中已经存在好几种加密技术。通常我们选用能力最强的那种加密技术。此外要注意的是,如果你的网络中同时存在多个无线网络设备的话,这些设备的加密技术应该选取同一个。
WEP、WPA安全加密
在无线设置界面里的安全设置进入设置页面,安全设置选项分为禁用、WEP、WPA-PSK。可以根据需要,在该页面中选择加密方式。
WPA与WEP不同,WEP使用一个静态的密钥来加密所有的通信。WPA不断地转换密钥。在家庭无线网络上使用的WPA版本是WPA-PSK。它使用一个种子字符串或者短语。这很像WEP。你必须注意要使用一个很难被猜到的短语或者字符串。但是,有些设备不能支持WPA。那么它就不能在WAP加密的无线网络上使用(比如无线音乐设备)。所以你只能在你确定在你所有的客户端设备都支持的情况下启动这个级别的加密。
3.修改默认的服务区标识符(SSID)
通常每个无线网络都有一个服务区标识符(SSID),无线客户端需要加入该网络的时候需要有一个相同的SSID,否则将被“拒之门外”。通常路由器/中继器设备制造商都在他们的产品中设了一个默认的相同的SSID。例如LINKSYS设备的SSID通常是“linksys”。如果一个网络,不为其指定一个SSID或者只使用默认SSID的话,那么任何无线客户端都可以进入该网络。无疑这为黑客的入侵网络打开了方便之门。
4.禁止SSID广播
在无线网络中,各路由设备有个很重要的功能,那就是服务区标识符广播,即SSID广播。最初,这个功能主要是为那些无线网络客户端流动量特别大的商业无线网络而设计的。开启了SSID广播的无线网络,其路由设备会自动向其有效范围内的无线网络客户端广播自己的SSID号,无线网络客户端接收到这个SSID号后,利用这个SSID号才可以使用这个网络。但是,这个功能却存在极大的安全隐患,就好像它自动地为想进入该网络的黑客打开了门户。在商业网络里,由于为了满足经常变动的无线网络接入端,必定要牺牲安全性来开启这项功能,但是作为家庭无线网络来讲,网络成员相对固定,所以没必要开启这项功能。
5.设置MAC地址过滤
众所周知,基本上每一个网络接点设备都有一个独一无二的标识称之为物理地址或MAC地址,当然无线网络设备也不例外。所有路由器/中继器等路由设备都会跟踪所有经过它们的数据包源MAC地址。通常,许多这类设备都提供对MAC地址的操作,这样我们可以通过建立我们自己的准通过MAC地址列表,来防止非法设备(主机等)接入网络。但是值得一提的是,该方法并不是绝对有效的,因为我们很容易修改自己电脑网卡的MAC地址。
6.为你的网络设备分配静态IP
由于DHCP服务越来越容易建立,很多家庭无线网络都使用DHCP服务来为网络中的客户端动态分配IP。这导致了另外一个安全隐患,那就是接入网络的攻击端很容易就通过DHCP服务来得到一个合法的IP。然而在成员很固定的家庭网络中,我们可以通过为网络成员设备分配固定的IP地址,然后再在路由器上设定允许接入设备的IP地址列表,从而可以有效地防止非法入侵,保护你的网络。
7.确定位置,隐藏好你的路由器或中继器
大家都知道,无线网络路由器或中继器等设备,都是通过无线电波的形式传播数据的,而且数据传播都有一个有效的范围。当你的设备覆盖范围,远远超出你家的范围之外的话,那么你就需要考虑一下你的网络安全性了,因为这样的话,黑客可能很容易在你家外登录到你的家庭无线网络。此外,如果你的邻居也使用了无线网络,那么你还需要考虑一下你的路由器或中继器的覆盖范围是否会与邻居的相重叠,如果重叠的话就会引起冲突,影响你的网络传输,一旦发生这种情况,你就需要为你的路由器或中继器设置一个不同于邻居网络的频段(也称Channel)。根据你自己的家庭,选择好合适有效范围的路由器或中继器,并选择好其安放的位置,一般来讲,安置在家庭最中间的位置是最合适的。
总结
对普通家庭无线网络来说,经过以上的设置后无线网就可以放心地使用了。就像紧锁你的房门和窗户使你家得到安全保护一样,你也必须紧锁你的无线网络以达到安全。通过改变你的路由器缺省管理员密码、改变缺省的SSID和禁止SSID广播、改变你的IP地址配置、设置你的路由器使用加密,同时使用MAC地址过滤,你就能够安全地保护你的家庭无线网络了。