论文部分内容阅读
摘 要: 随着无线通信技术的发展及无线通信设备价格的不断下调,许多家庭通过组建无线网络来访问因特网已经成为目前家庭上网的常态。但在无线上网的背后存在着许多的网络安全问题,特别对于缺乏网络安全常识的家庭用户来说,探讨家庭无线网络安全方案具有十分重要的意义。本文对当前家庭无线网络可能存在的安全隱患进行了分析和研究,提出了相应的安全防范措施,以此来提高家庭无线上网的安全性。
【中图分类号】 TP393 【文献标识码】 A【文章编号】 2236-1879(2017)20-0322-02
一、无线局域网概述
无线局域网(Wireless LocalArea Networks;WLAN)是利用无线射频的技术,取代传统的采用双绞线为传输介质的有线网络。它具有传统局域网无法比拟的灵活性和移动性,无需重新布线,允许用户在任何时间、任何地点,使用支持无线上网的笔记本、PAD、智能手机访问Internet。无线局域网已经在家庭、学校、医院和公司等不适合网络布线的场合得到了广泛的应用。目前大多数家庭使用无线AP或无线路由器组建无线局域网,采用IEEE802.11n标准协议,理论传输速度最高达到600Mbit/s。
二、家庭无线网络存在的安全隐患
1、信号干扰。
目前家庭无线网络使用的协议标准主要是IEEE 802.11g/n,这与家庭中使用的微波炉、蓝牙、无绳电话工作于同一频率2.4GHz,除此之外,还有来自于复印机、防盗装置、等离子灯泡、附近无线AP或无线路由器等相近频率信号的干扰,这会造成网络不稳定,数据通讯掉包严重。
2、通过蹭网软件非法接入,进而更改管理权限。
由于无线局域网的开放式访问方式,非法用户可以通过一些蹭网软件(如WIFI钥匙、WiFi助手等)未经授权而擅自使用网络资源。很多家庭在搭建无线网络后,并未修改无线AP或无线路由器等设备的默认出厂信息,如无线网络的管理账户和Web页面登陆地址,入侵者在搜索到附近的无线网络信号后,只需尝试使用常见的登陆用户名、密码(admin)和管理IP(192.168.X.1),就可以进入无线设备管理Web页面。
3、地址欺骗和会话拦截(中间人攻击)。
在无线环境中,非法用户通过侦听等手段获得网络中合法站点的MAC地址比有线环境中要容易得多,这些合法的MAC地址可以被用来进行恶意攻击。由于IEEE802.11没有对AP身份进行认证,非法用户很容易装扮成AP进入网络,并进一步获取合法用户的鉴别身份信息,通过会话拦截实现网络入侵。
4、通过专业设备监听未加密的无线信号。
由于无线网络信号借助于空气介质传播,任何无线网络分析仪都可以不受阻碍地截获未经加密的信息。
三、家庭无线网络的安全策略
针对以上家庭无线网络存在的安全隐患问题,必须对症下药,笔者建议从以下几个方面着手解决:
1、为避免信号干扰,部署无线网络时,要根据家庭的实际环境,尽量将根据无线AP或无线路由器安放在无线上网区域的中心位置,同时也要远离微波炉、无绳电话、电视机等设备。
2、修改用户名和密码(不使用默认的用户名和密码)现在一般的家庭无线网络都是通过一个无线路由器来访问外部网络。通常这些路由器设备制造商为了便于用户设置这些设备建立起无线网络,都提供了一个管理页面工具。这个页面工具可以用来设置该设备的网络地址以及帐号等信息。为了保证只有设备拥有者才能使用这个管理页面工具,该设备通常也设有登陆界面,只有输入正确的用户名和密码的用户才能进入管理页面。然而在设备出售时,制造商给每一个型号的设备提供的默认用户名和密码都是一样,不幸的是,很多家庭用户购买这些设备回来之后,都不会去修改设备的默认的用户名和密码。这就使得黑客们有机可乘。他们只要通过简单的扫描工具很容易就能找出这些设备的地址并尝试用默认的用户名和密码去登陆管理页面,如果成功则立即取得该路由器的控制权,所以,在构建家庭无线网络时一定要修改无线AP或无线路由器出厂时的默认用户名、口令和管理IP地址。
3、使用数据信号加密 。
所有的无线网络都提供某些形式的加密。如果网络中的数据都没经过加密的话,黑客就可以通过一些数据包嗅探工具来抓包、分析并窥探到其中的隐私。开启你的无线网络加密,这样即使你在无线网络上传输的数据被截取了也没办法(或者是说没那么容易)被解读。目前,无线网络中已经存在好几种加密技术。通常我们选用能力最强的那种加密技术。此外要注意的是,如果你的网络中同时存在多个无线网络设备的话,这些设备的加密技术应该选取同一个。
4、修改默认的服务区标识符(SSID)及禁止SSID广播。
无线客户端必需设置与无线访问点AP相同的SSID ,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务区上网。利用SSID设置,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题。可以通过修改默认的服务区标识符(SSID)及禁止SSID广播来达到保密的目的。
5、设置MAC地址过滤 。
众所周知,基本上每一个网络接点设备都有一个独一无二的标识称之为物理地址或MAC地址,当然无线网络设备也不例外。所有路由器/中继器等路由设备都会跟踪所有经过他们的数据包源MAC地址。通常,许多这类设备都提供对MAC地址的操作,这样我们可以通过建立我们自己的准通过MAC地址列表,来防止非法设备(主机等)接入网络。
6、禁用DHCP服务 。
由于DHCP服务越来越容易建立,很多家庭无线网络都使用DHCP服务来为网络中的客户端动态分配IP。这导致了另外一个安全隐患,那就是接入网络的攻击端很容易就通过DHCP服务来得到一个合法的IP。然而在成员很固定的家庭网络中,我们可以通过为网络成员设备分配固定的IP地址,然后在路由器上设定允许接入设备IP地址列表,从而可以有效地防止非法入侵,保护你的网络。
7、启用防火墙。
为防止个人计算机受到非法使用者侵入,用户电脑系统上一定要安装网络防火墙,实现内外网的隔离保护,根据记录的可疑事件及时采取措施。
8、网络访问控制。
现在很多无线AP或无线路由器都提供了网络访问控制功能,根据家庭需要,可以对不安全的IP、URL、MAC进行访问控制。
四、 结语
技术总是不断更新快速发展,网络攻击手段也是不断变化升级的,所以说绝对安全的网络是不可能存在的,通过以上措施和手段只是对家庭无线上网用户的安全起到一定的保障作用。家庭用户还需加强学习,增强网络安全意识,才能确保我们的家庭、社会更加和谐美好。
参考文献
[1] 张锐.家庭无线局域网的组建与安全设置[J].科技致富向导,2016(14)
[2] 马杰,董洁.校园无线网络安全技术[J].电脑开发与应用,2016,25(6)
[3] 徐宏云.无线局域网的构建及其安全策略分析[J].江汉大学学报(自然科学版),2015,37(3)
【中图分类号】 TP393 【文献标识码】 A【文章编号】 2236-1879(2017)20-0322-02
一、无线局域网概述
无线局域网(Wireless LocalArea Networks;WLAN)是利用无线射频的技术,取代传统的采用双绞线为传输介质的有线网络。它具有传统局域网无法比拟的灵活性和移动性,无需重新布线,允许用户在任何时间、任何地点,使用支持无线上网的笔记本、PAD、智能手机访问Internet。无线局域网已经在家庭、学校、医院和公司等不适合网络布线的场合得到了广泛的应用。目前大多数家庭使用无线AP或无线路由器组建无线局域网,采用IEEE802.11n标准协议,理论传输速度最高达到600Mbit/s。
二、家庭无线网络存在的安全隐患
1、信号干扰。
目前家庭无线网络使用的协议标准主要是IEEE 802.11g/n,这与家庭中使用的微波炉、蓝牙、无绳电话工作于同一频率2.4GHz,除此之外,还有来自于复印机、防盗装置、等离子灯泡、附近无线AP或无线路由器等相近频率信号的干扰,这会造成网络不稳定,数据通讯掉包严重。
2、通过蹭网软件非法接入,进而更改管理权限。
由于无线局域网的开放式访问方式,非法用户可以通过一些蹭网软件(如WIFI钥匙、WiFi助手等)未经授权而擅自使用网络资源。很多家庭在搭建无线网络后,并未修改无线AP或无线路由器等设备的默认出厂信息,如无线网络的管理账户和Web页面登陆地址,入侵者在搜索到附近的无线网络信号后,只需尝试使用常见的登陆用户名、密码(admin)和管理IP(192.168.X.1),就可以进入无线设备管理Web页面。
3、地址欺骗和会话拦截(中间人攻击)。
在无线环境中,非法用户通过侦听等手段获得网络中合法站点的MAC地址比有线环境中要容易得多,这些合法的MAC地址可以被用来进行恶意攻击。由于IEEE802.11没有对AP身份进行认证,非法用户很容易装扮成AP进入网络,并进一步获取合法用户的鉴别身份信息,通过会话拦截实现网络入侵。
4、通过专业设备监听未加密的无线信号。
由于无线网络信号借助于空气介质传播,任何无线网络分析仪都可以不受阻碍地截获未经加密的信息。
三、家庭无线网络的安全策略
针对以上家庭无线网络存在的安全隐患问题,必须对症下药,笔者建议从以下几个方面着手解决:
1、为避免信号干扰,部署无线网络时,要根据家庭的实际环境,尽量将根据无线AP或无线路由器安放在无线上网区域的中心位置,同时也要远离微波炉、无绳电话、电视机等设备。
2、修改用户名和密码(不使用默认的用户名和密码)现在一般的家庭无线网络都是通过一个无线路由器来访问外部网络。通常这些路由器设备制造商为了便于用户设置这些设备建立起无线网络,都提供了一个管理页面工具。这个页面工具可以用来设置该设备的网络地址以及帐号等信息。为了保证只有设备拥有者才能使用这个管理页面工具,该设备通常也设有登陆界面,只有输入正确的用户名和密码的用户才能进入管理页面。然而在设备出售时,制造商给每一个型号的设备提供的默认用户名和密码都是一样,不幸的是,很多家庭用户购买这些设备回来之后,都不会去修改设备的默认的用户名和密码。这就使得黑客们有机可乘。他们只要通过简单的扫描工具很容易就能找出这些设备的地址并尝试用默认的用户名和密码去登陆管理页面,如果成功则立即取得该路由器的控制权,所以,在构建家庭无线网络时一定要修改无线AP或无线路由器出厂时的默认用户名、口令和管理IP地址。
3、使用数据信号加密 。
所有的无线网络都提供某些形式的加密。如果网络中的数据都没经过加密的话,黑客就可以通过一些数据包嗅探工具来抓包、分析并窥探到其中的隐私。开启你的无线网络加密,这样即使你在无线网络上传输的数据被截取了也没办法(或者是说没那么容易)被解读。目前,无线网络中已经存在好几种加密技术。通常我们选用能力最强的那种加密技术。此外要注意的是,如果你的网络中同时存在多个无线网络设备的话,这些设备的加密技术应该选取同一个。
4、修改默认的服务区标识符(SSID)及禁止SSID广播。
无线客户端必需设置与无线访问点AP相同的SSID ,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务区上网。利用SSID设置,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题。可以通过修改默认的服务区标识符(SSID)及禁止SSID广播来达到保密的目的。
5、设置MAC地址过滤 。
众所周知,基本上每一个网络接点设备都有一个独一无二的标识称之为物理地址或MAC地址,当然无线网络设备也不例外。所有路由器/中继器等路由设备都会跟踪所有经过他们的数据包源MAC地址。通常,许多这类设备都提供对MAC地址的操作,这样我们可以通过建立我们自己的准通过MAC地址列表,来防止非法设备(主机等)接入网络。
6、禁用DHCP服务 。
由于DHCP服务越来越容易建立,很多家庭无线网络都使用DHCP服务来为网络中的客户端动态分配IP。这导致了另外一个安全隐患,那就是接入网络的攻击端很容易就通过DHCP服务来得到一个合法的IP。然而在成员很固定的家庭网络中,我们可以通过为网络成员设备分配固定的IP地址,然后在路由器上设定允许接入设备IP地址列表,从而可以有效地防止非法入侵,保护你的网络。
7、启用防火墙。
为防止个人计算机受到非法使用者侵入,用户电脑系统上一定要安装网络防火墙,实现内外网的隔离保护,根据记录的可疑事件及时采取措施。
8、网络访问控制。
现在很多无线AP或无线路由器都提供了网络访问控制功能,根据家庭需要,可以对不安全的IP、URL、MAC进行访问控制。
四、 结语
技术总是不断更新快速发展,网络攻击手段也是不断变化升级的,所以说绝对安全的网络是不可能存在的,通过以上措施和手段只是对家庭无线上网用户的安全起到一定的保障作用。家庭用户还需加强学习,增强网络安全意识,才能确保我们的家庭、社会更加和谐美好。
参考文献
[1] 张锐.家庭无线局域网的组建与安全设置[J].科技致富向导,2016(14)
[2] 马杰,董洁.校园无线网络安全技术[J].电脑开发与应用,2016,25(6)
[3] 徐宏云.无线局域网的构建及其安全策略分析[J].江汉大学学报(自然科学版),2015,37(3)