分类

游戏分类 网络游戏 软件分类

手游攻略

当心无线网变“无限网”

2006/5/8 22:39:22作者:   A+

■ 摔锅@CFan

  随着Intel迅驰笔记本电脑占有率不断攀升,无线网这个时髦的产物终于开始走进家庭和办公室,成为大家组网时的新选择。但是,赶超时尚的各位,你在享受无线网便利时,是否考虑过它的安全性问题?

  实地测试:大多数无线网络不设防

  我们特意派出一个测试小组,拿着笔记本在杂志社周边地区(杂志社地处中关村地带,测试地区主要在北三环附近)进行测试,确实在很多地方都能搜索到无线网AP(Access Point,无线接入点)。令人担忧的是,其中超过半数都不设任何防线,利用笔记本的无线网卡可以轻松进入所在局域网,甚至通过他们的连接访问互联网,诸如查看共享文件夹、浏览网页、QQ聊天、E-mail收发……全都不在话下。

如图1,这是一个极端典型的“不设防”小区,所有AP均未修改任何缺省参数,毫无安全性可言。其实,像这样的小区为数绝对不少!

如图2,这就算一个不错的办公区了,有一半AP都启动了安全设置,但还是没有隐藏SSID。

  特别声明:以上测试结果是在使用IBM T23笔记本电脑、Lucent OriNOCO Silver无线网卡(俗称银卡,是公认信号强度极高的一块无线网卡)加IBM Access Connect中自带的无线网扫描程序时得到的,扫描过程都是在步行过程中不断刷新搜索。这些图片,考虑到AP所有者的隐私,不便公布其共享目录内容。而且在检测过程中,我们也仅仅只验证是否成功连接,并未浏览AP主人的电脑资料。

你知道吗?

  什么是SSID?

  SSID(Service Set Identifier),服务集合标识符,也称为网络名称,作为无线设备连接到WLAN时的密码。该标志主要用来区分不同的无线网络,最多可以由32个字符组成。图1、图2中第一栏的字符就是它们的SSID。

当心无线网变“无限网”

图1

当心无线网变“无限网”

图2

[]  
无线网络安全要点

1.让别人找不到你的AP


(1)让人搜索不到AP的名称
(2)无法访问AP本身

  上面的第2点尤其重要,因为这决定着AP的配置修改权是否掌握在你手里。

2.上网者身份需要经过认证

(1)严格指定哪些电脑能通过这个AP上网
(2)所有访问者必须知道加密认证代码才能正常上网

  以上方法如果同时都进行了合理设置,无线网络安全性就能得到最大程度提高。不过,事情总是有两面性的,大部分设置都会牺牲连接方便性。比如:设置高安全级别后,要想将更多电脑加入到无线网中“手续”太繁琐了。

  其实,只要根据自己的情况合理搭配上述措施,不仅能提高安全级别,还能兼顾易用性。

  四招出手,为你的无线网络保安全

  下面以华硕WL-330无线AP为例,一起来看看怎样一步一步提高无线网的安全性。

  注意对比图3中修改过的设置项目,应该尽量保证都把它们按照自己的需求重新设置,这样才能最大限度提升无线网的安全性。注意:不同的AP设置界面可能会略有不同,但图中提到的这些关键设置应该都包括。

①SSID:也就是网络名称,改个名字即可。
②使AP对外广播:如果禁用,只有知道SSID的用户才能连接上。
③频道:这里无须特别设置。
④资料加密:这里一定选择一种加密方式,建议设为128位加密。
⑤验证码:输入这个密码后会在下面的⑥中生成几个密钥,你可以把这些密钥提供给无线网中的用户使用,作为通行口令。
⑥和⑦:网络传输中的密钥,当你输入上面的口令后,就会自动生成几个密钥。
⑧AP的IP地址:建议修改默认值,最好改成那些一般人想不到的IP地址,比如:10.0.0.2之类的。

第一招──你找不着我!

  套路:停止SSID广播

  口诀:SSID就是无线AP的“姓名”。所有电脑要连接到一个AP,都需要知道它的“姓名”。这就好像通过有限网络访问另一台电脑,必须要知道对方的机器名或IP地址一样。缺省情况下,所有AP都是不断向外“广播”自己“姓名”,就像是在说:“嘿,人在呢,人在呢……”这样做的好处是:任何一台电脑只要“听”(就是搜索)到这个“名字”,就能和这台AP“拉上手”。不过,坏处也是一目了然的──居心不良的人也能“听”到这个广播,这相当于开门揖盗!笔者在诸多场所之所以能搜到无数的AP,就是因为“听”到了这样的广播。

  杀伤力:停止SSID广播后,所有电脑必须事先从主人或公司网管那里获知AP的“姓名”,才能连接到无线网。这一招虽然是基本招式,但效果不错。

  手段:取消图3中②中的对勾即可。如果再能养成定期修改一下SSID的习惯,那么安全性会更高一些。

当心无线网变“无限网”

[]  
第二招──我不认识你!

  套路:无线网卡MAC地址筛选

  口诀:每块网卡(包括无线网卡),都有一个全球惟一“身份证号”,它就是MAC地址。正是因为有这个地址存在,网络信息才有可能被准确传送到你的电脑。缺省情况下,所有AP都很“好客”,对所有来访者都展现出来者不拒的“赛孟尝”风范。所以,只要能搜索到一个无线AP,就可以轻松访问这个网络。反过来,只要为AP指定一张它认可的网卡(相当于一台固定的电脑)列表,就能轻松将“不认识”的访问者拒之门外。

  杀伤力:由于MAC地址具有惟一性,指定哪些网卡可以连接到一个无线AP,其安全性可以说上了一个新的台阶!不过,这招还是难以躲过高手的回击,毕竟MAC地址可以通过软件探测到(在办公室环境尤其容易),而且伪装MAC地址也不是难事。
手段:在Access Control(访问控制)中的MAC Access Control输入允许的网卡地址即可(如图4中前三项)。

当心无线网变“无限网”

见图4,建立无线网卡MAC地址列表的方法很简单,而且客户端不需要做任何修改就能生效。

第三招──进门?掏钥匙

  套路:启动WEP数据传输加密功能

  口诀:缺省情况下,出厂设置使AP像一道虚掩的门,只要能走到门前,就能推开它进入无线网络中。前面两招仅仅只是规划了两条走到这道门前的固定线路,只要能闯过那两关,任何人还是能轻松推门而入。如果再给这道门加一把锁,让它变成一扇“防盗门”,然后“给每个家庭成员一把钥匙”,我们的“家”才能真正确保安全!WEP加密是802.11系列中目前兼容性和易用性都很不错的方案,启用它才能使数据传输在全面保护的状况下进行。

  杀伤力:WEP加密有两个级别:一个是64位,一个是128位。当然,128位安全性肯定是高于64位(但注意并不一定所有无线网卡都支持128位加密),所以尽量将这个参数设置为128位。就目前破解手段来说,要攻破128位加密,并不太容易。而且,每次我们可以得到4个“密钥”,随时修改缺省密钥或通过更改密码生成新密钥,这样就能基本做到万无一失了。
手段:在图3中的④处选择加密级别,在⑤处输入验证码,⑥中就会产生密钥。

小提示

  128位和64位在客户端(也就是电脑无线网卡)设置的时候,分别对应“26位数字”和“10位数字”。另外,如果密钥生成时是16进制数字串,填的时候也选择16进制,免得费心费力地去转换。
[]  
第四招──关好后门!

  套路:更改AP的缺省IP地址

  口诀:三道防线都设好后,似乎可以躺在“家”里安心无线冲浪了。且慢,前门关了,还要当心后门!目前,大部分AP都可以通过浏览器访问“192.168.1.1”这个地址来调用Web页面形式的AP管理程序,并且调整无线网设置,如果不更改它,贪得无厌的恶意盗用者可能会闯荡你的无线网如入无人之境。甚至把你“家”的“门”和“钥匙”给换了,让你有家不能回!因此关好这个后门,比上面这些设置重要得多,最简单的办法就是更改缺省IP。

 杀伤力:很可惜,不少AP管理界面不提供密码保护功能。内网用户通过扫描端口,还是很容易找到并且登录到管理程序。这一点,带路由功能的无线路由器就好得多,但也一定要记得,最好修改缺省密码。而且密码最好尽量复杂一些(数字和字母的集合,再变化大小写),这样才能真正起到保护作用。

  手段:在图3中的第8项中,更改AP的缺省IP地址。

客户端的设置

  在无线网卡属性设置窗口下,点击“无线网络配置”标签,然后点击下面的“添加”按钮,然后填写好新的“SSID”,勾选上“数据加密(WEP启用)”和“网络身份验证(共享模式)”,再填好“网络密钥”即可(见图5)。

当心无线网变“无限网”

  小编有话说:本文提到的华硕WL-330是一款功能相对简单的AP,也许你用的AP管理界面比它复杂一些,各个项目出现位置也可能不一样。不过只要认清这几个关键字,也能完成设置。无线网是个好东东,不过,除非你“心胸开阔”、立志“造福大众”,否则,还是趁早把安全问题全部给解决。就算你包月不担心多花“银子”,那带宽总还是自己独享比较爽些。动手吧,这活不累! ^_^

 

分享:

相关文章

网友评论
我要跟贴