與有線網絡相比,無線網絡讓我們擺脫了線纜的束縛,給我們帶來了極大的方便,同時我們也必須考慮到,如果不加設置,在一定覆蓋范圍內,無線網絡是對任何人敞開大門的,一方面可能陌生人輕松進入自己的網內,使用了我們的帶寬,一方面有可能造成信息泄漏。今天就和大家一起來看看無線路由器中的安全配置。
讓我們從無線路由器說起,市場上有許多品牌的無線路由器,不同品牌無線路由器的登陸方式可能略有不同,這些在他們各自的說明書中都有說明,如果你丟失了說明書的話,你可以先在無線路由器的官方網站下載一個電子版的說明書。
OK,現在讓我們來登陸到無線路由器上去。在本文中,筆者將以一個現在市面上用的比較多的LinkSys無線路由器為例子來看無線路由器的安全設置。
LinkSys無線路由器通過一個智能向導來設置幫助你的無線路由器,因此很多朋友設置完了后可能還不知道自己的IP地址是多少,更不知道無線路由器的IP地址是多少。這兒有一個簡單的方法來獲得這個信息。大家用的最多的應該是Windows操作系統,你可以打開一個命令行窗口(Dos窗口),然后輸入ipconfig,一切你需要的信息就展現在你的眼前了。你看到的默認網關(Default Gateway)通常就是無線路由器的IP地址了,在筆者的這個例子中是“192.168.8.1”。默認網關是所有前往互聯網的數據都要通過的地方。
![]("http://network.51cto.com/files/uploadimg/20060911/1039280.jpg") 498)this.style.width=498;" border=1> |
| ipconfig圖 |
登錄界面
找到默認網關地址后,打開一個web瀏覽器,然后在地址欄里輸入這個地址。LinkSys路由器登陸界面會彈出一個窗口提示你輸入用戶名和密碼。有的路由器的登陸界面是一個帶有用戶名和密碼輸入框的web頁面。
![]("http://network.51cto.com/files/uploadimg/20060911/1039281.jpg") 498)this.style.width=498;" border=1> |
| 登錄界面圖 |
注意:安全規則第一條:務必要修改無線路由器的默認密碼,通常是admin或空密碼。假如你不修改的話,我們下面所有說得這些安全設置可能都會白費力氣。
假如這個路由器是剛從包裝盒里取出來第一次使用的話,可能會有一個設置向導來幫助你設置它。由于本文的重點是安全設置,對此不做詳細說明,我們假定該路由器已經設置完畢并且正在使用。
無線路由器安全模式設置界面
由于我們關注的是無線安全設置,所以讓我們直接點擊無線路由器配置界面中的無線(Wireless)標簽,然后找到無線安全(Wireless 安全)設置選項。默認情況下安全模式一般處于禁止狀態。點擊下拉框,你將看到多個選項。當然,并不是所有的無線路由器的安全模式都和我們例子中的選項一致,有的選項可能多點,有的可能少點。下面筆者將和您一起來看一下這兒的四個選項。
![]("http://network.51cto.com/files/uploadimg/20060911/1039282.jpg") 498)this.style.width=498;" border=1> |
| 無線安全設置圖 |
WPA-Preshared密鑰
WPA-Preshared密鑰(WPS-PSK):WiFi Protected Access是保護您數據安全的一個非常安全的方法。通過它的加密,在你的無線路由器和你的無線網卡之間傳輸的數據的每一個數據包將被一個不同的鑰匙打包封裝。這意味著即使有人截獲了你的數據的數據包,破解了加密字符串,也不能閱讀數據的其他部分。因為同樣的加密字符串重復的可能性很小。
![]("http://network.51cto.com/files/uploadimg/20060911/1039283.jpg") 498)this.style.width=498;" border=1> |
| WPA-Preshared密鑰圖 |
現在有的最新的無線路由器已經開始使用WPA2,它把加密密鑰從24位升級到48位,復制一個密鑰已經是不可能的事。這個安全模式的Preshared 密鑰部分表示你給授權的用戶設置一個密碼,他們輸入密碼后,他們的設備處理其他的安全操作。筆者個人建議,密碼可以用與你自己有關的短語,并且最好在這個短語中有空格和標點符號,密碼長度越長,別人猜的可能性越小。
AES加密算法是筆者個人的推薦,因為AES使用128位、192位和256位密鑰,可以獲得最好的安全性。有的無線路由器允許你選擇密鑰的長度,這個LinkSys無線路由器沒有,默認使用256位標準。TKIP不是一個加密算法,而是一個“密鑰交換”協議。盡管它也非常安全,但是不如AES強壯,而且會降低連接速度,因為它會給處理器帶來額外負擔。TKIP是一個基于軟件的協議,而AES是基于硬件的。
WPA-RADIUS
與WPA-PSK相同的是,它的密鑰也隨著數據包的不同而變化。區別是你現在需要一個Radius服務器。它允許你批準特定的設備才可以訪問你的網絡。當一個設備試圖鏈接的時候,首先查看Radius服務器上保存的一個設備列表,如果發現該設備在這個清單中(通常是根據MAC地址來判斷),然后這個設備就被允許訪問網絡,開始對數據進行WPA加密。這是迄今為止保護你的數據和網絡的最安全的方法。不過,你需要以個Radius服務器,而且你要知道如何合理的配置它。由于操作的復雜度,目前只有在大的企業才會采用這種方法。
![]("http://network.51cto.com/files/uploadimg/20060911/1039284.jpg") 498)this.style.width=498;" border=1> |
| WPA-RADIUS圖 |
RADIUS
RADIUS是個AAA協議,也就是通常所說的認證、授權和計費協議。它也是目前大多數ISP用來認證用戶接入的協議。在無線安全方面,RADIUS典型的使用設備的MAC地址,有時候是用戶名和密碼組合來認證用戶,給設備授權和對網絡鏈接計費。由于其需要一臺RADIUS服務器,因此一般應用于大單位。在筆者的這個LinkSys無線路由器中,選擇RADIUS選項的時候,也可以選擇WEP加密方法,你可以輸入一個短語,然后讓WEP密鑰自動生成。不是所有的無線路由器有這個選項,如果沒有的話就要手動生成密鑰了。
![]("http://network.51cto.com/files/uploadimg/20060911/1039285.jpg") 498)this.style.width=498;" border=1> |
| RADIUS圖 |
WEP
WEP有線等效加密(Wired Equivalent Privacy,WEP)是個保護無線網絡(Wi-Fi)的資料安全體制。WEP 的設計是要提供和傳統有線的局域網路相當的機密性,而依此命名的。
在筆者的這個LINKSYS無線路由器中,你可以讓無線路由器根據你輸入的短語自動生成密鑰,你可以選擇加密的位數64位或128位,對一般用戶來說可以滿足普通的安全需要了。這個協議的缺點是密鑰從不改變,因此如果這個密鑰泄漏的話,你的安全也就不復存在。
你必須小心的在每個要連接你網絡的設備上輸入這個加密密鑰,安全起見,你要準確無誤的輸兩遍。
盡管WEP存在好幾個弱點,安全性要略微低一些,但是有總比沒有強。
![]("http://network.51cto.com/files/uploadimg/20060911/1039286.jpg") 498)this.style.width=498;" border=1> |
| WEP圖 |
無線MAC過濾
獲得更大安全性的另一個方法是無線MAC過濾。大多數無線路由器都支持這個功能。每一個網絡設備,不論是有線還是無線,都有一個唯一的標識叫做MAC地址(媒體訪問控制地址)。這些地址一般表示在網絡設備上,網卡的MAC地址可以用這個辦法獲得:打開命令行窗口,輸入ipconfig/all,然后出現很多信息,其中物理地址(Physical Addresws)就是MAC地址。
![]("http://network.51cto.com/files/uploadimg/20060911/1039287.jpg") 498)this.style.width=498;" border=1> |
| ipconfig/all |
第一步是首先啟用無線MAC地址過濾功能,設置只允許(Permit only)選項,你需要編輯修改MAC過濾列表,把允許訪問網絡的機器的網卡的MAC地址添加到這個表中。即使您僅僅使用了這個安全設置,不使用其他WPA或WEP加密,你的安全性也可以得到很大保證。
![]("http://network.51cto.com/files/uploadimg/20060911/1039288.jpg") 498)this.style.width=498;" border=1> |
| MAC 過濾 |
![]("http://network.51cto.com/files/uploadimg/20060911/1039289.jpg") 498)this.style.width=498;" border=1> |
| MAC地址訪問列表 |
除了無線路由器中的安全配置外,還有有些方法可以提高你的無線網絡的安全性,如修改SSID,禁止SSID廣播等,在本文中不做詳細介紹。
