家庭用戶使用WLAN的是越來(lái)越多,拿著迅馳筆記本在小區(qū)隨便走一圈就能收到很多無(wú)線信號(hào)。不過(guò)這些無(wú)線信號(hào)中有不少存在著安全問(wèn)題,其他非法用戶可以通過(guò)簡(jiǎn)單的操作甚至是直接連接就可以訪問(wèn)該無(wú)線網(wǎng)絡(luò)。
一方面自己的帶寬被別人非法使用,另一方面容易造成自己的計(jì)算機(jī)被連接到同一無(wú)線網(wǎng)絡(luò)的其他計(jì)算機(jī)入侵,自己的隱私也會(huì)泄露。那么我們?cè)撊绾渭訌?qiáng)WLAN安全呢?實(shí)際上只需要五把鎖就可以讓你塌塌實(shí)實(shí)的使用WLAN,再也不用為其他人非法連接而擔(dān)經(jīng)受怕了。
一、為無(wú)線設(shè)備加把鎖:
可能有的讀者會(huì)問(wèn)什么叫為無(wú)線設(shè)備加把鎖?難道是把自己的無(wú)線路由器放到帶鎖的柜子里嗎?其實(shí)不然,對(duì)于大多數(shù)無(wú)線網(wǎng)絡(luò)設(shè)備來(lái)說(shuō),出廠時(shí)的默認(rèn)密碼基本上大同小異,因此假如你沒(méi)有更改這個(gè)密碼,其他人就能輕而易舉地用默認(rèn)的用戶名和密碼登錄到了你的無(wú)線網(wǎng)絡(luò)設(shè)備上,獲得整個(gè)網(wǎng)絡(luò)的管理權(quán)限,最后,你可能會(huì)發(fā)現(xiàn)自己都不能夠登錄自己的WLAN了,所以這個(gè)密碼記得一定要修改,否則就等于自家大門(mén)永遠(yuǎn)向小偷敞開(kāi)一樣。
用戶只需要開(kāi)啟無(wú)線設(shè)備設(shè)置,在密碼保護(hù)上輸入自己的密碼,就可以完成保護(hù),這點(diǎn)與Windows設(shè)置密碼是一樣的,經(jīng)過(guò)加鎖的無(wú)線設(shè)備就不是任何人都能夠隨意使用了。
小提示:
如果你已經(jīng)發(fā)現(xiàn)自己的無(wú)線設(shè)備被其他人加了鎖,自己無(wú)法正常登錄的話,我們還有另外一招,那就是恢復(fù)出廠設(shè)置(具體方法可參照設(shè)備說(shuō)明書(shū)),通過(guò)它我們還是可重新獲得控制權(quán)的。一般需要按無(wú)線設(shè)備上的reset按鈕來(lái)完成恢復(fù)工作。
下面筆者以自己的無(wú)線路由器TP-LINK的TL-WR541G來(lái)介紹如何為無(wú)線設(shè)備買(mǎi)把鎖。
第一步:打開(kāi)自己計(jì)算機(jī)的IE瀏覽器,訪問(wèn)無(wú)線路由器的管理地址,TP-LINK TL-WR541G說(shuō)明書(shū)中清楚的寫(xiě)到該設(shè)備管理地址為192.168.1.1。
第二步:輸入默認(rèn)用戶名admin,默認(rèn)密碼保持空,點(diǎn)“確定”按鈕進(jìn)行登錄。
![]("http://network.51cto.com/files/uploadimg/20060804/1550360.jpg") 498)this.style.width=498;" border=1> |
第三步:進(jìn)入路由器管理界面后點(diǎn)左邊的“系統(tǒng)工具”,然后找到“修改登錄口令”。
![]("http://network.51cto.com/files/uploadimg/20060804/1550361.jpg") 498)this.style.width=498;" border=1> |
第四步:在“修改登錄口令”處輸入原用戶名admin,原口令為空,然后在新用戶名和新口令處輸入你要修改的數(shù)據(jù),最后點(diǎn)保存按鈕即可。
![]("http://network.51cto.com/files/uploadimg/20060804/1550362.jpg") 498)this.style.width=498;" border=1> |
第五步:以后再通過(guò)路由器進(jìn)行管理時(shí)就輸入剛剛修改的用戶名和密碼即可,這個(gè)信息只有你一個(gè)人知道,其他非法用戶是無(wú)法猜測(cè)到的。
二、為SSID加把鎖:
所謂SSID就是無(wú)線網(wǎng)絡(luò)使用的名字,他只是起到一個(gè)標(biāo)識(shí)作用,不過(guò)在實(shí)際使用過(guò)程中如果你的鄰居也安裝了無(wú)線網(wǎng)絡(luò),那么你們的網(wǎng)絡(luò)就有可能互相沖突,導(dǎo)致的結(jié)果是客戶端就會(huì)有一個(gè)相當(dāng)大的偶然機(jī)會(huì)去連接到不屬于自己的無(wú)線路由器上。這就是由于你們都沒(méi)有更改默認(rèn)SSID名稱(chēng)造成的。
另外如果沒(méi)有修改SSID的發(fā)送方式的話,默認(rèn)情況下很多無(wú)線設(shè)備都是開(kāi)啟無(wú)線SSID廣播的,這時(shí)任何一臺(tái)擁有無(wú)線網(wǎng)卡的計(jì)算機(jī)都可以通過(guò)信號(hào)掃描發(fā)現(xiàn)你的SSID網(wǎng)絡(luò),所以說(shuō)我們應(yīng)該修改SSID默認(rèn)值并禁止該SSID信息的廣播。筆者從網(wǎng)上收集了常見(jiàn)廠商的默認(rèn)SSID名稱(chēng),希望對(duì)各位讀者有所幫助。
![]("http://network.51cto.com/files/uploadimg/20060804/1550363.jpg") 498)this.style.width=498;" border=1> |
小提示:
在一個(gè)無(wú)線網(wǎng)絡(luò)中屏蔽SSID廣播并不能夠徹底阻止別人發(fā)現(xiàn)你的SSID網(wǎng)絡(luò),因?yàn)槭褂肒ismet或其他的無(wú)線檢測(cè)工具都可以發(fā)現(xiàn)一個(gè)存在的網(wǎng)絡(luò)即使該網(wǎng)絡(luò)禁止了SSID廣播。
接下來(lái)筆者繼續(xù)以自己的無(wú)線路由器TP-LINK的TL-WR541G來(lái)介紹如何為SSID加把鎖。
第一步:打開(kāi)自己計(jì)算機(jī)的IE瀏覽器,訪問(wèn)無(wú)線路由器的管理地址,輸入用戶名和密碼進(jìn)入管理界面。
第二步:在管理界面左側(cè)找到“無(wú)線參數(shù)->基本設(shè)置”。
![]("http://network.51cto.com/files/uploadimg/20060804/1550364.jpg") 498)this.style.width=498;" border=1> |
第三步:你會(huì)看到SSID號(hào)處是默認(rèn)參數(shù),我們手動(dòng)修改這個(gè)默認(rèn)值,防止和其他家的無(wú)線網(wǎng)絡(luò)產(chǎn)生沖突。筆者修改SSID號(hào)為softer。
![]("http://network.51cto.com/files/uploadimg/20060804/1550365.jpg") 498)this.style.width=498;" border=1> |
第四步:修改完默認(rèn)的SSID號(hào)后我們還需要禁止SSID廣播,在“無(wú)線參數(shù)->基本設(shè)置”中有一個(gè)“容許SSID廣播”的選項(xiàng),將其前年的對(duì)勾去掉即可。
![]("http://network.51cto.com/files/uploadimg/20060804/1550366.jpg") 498)this.style.width=498;" border=1> |
第五步:保存后我們的SSID號(hào)就被上了把鎖,這樣一方面不會(huì)和其他用戶的無(wú)線網(wǎng)絡(luò)產(chǎn)生沖突,另一方面也防止了其他無(wú)線設(shè)備非法發(fā)現(xiàn)我們的SSID網(wǎng)絡(luò)。
三、為無(wú)線數(shù)據(jù)加把鎖:
無(wú)線數(shù)據(jù)在空中飛來(lái)飛去,如果不加密的話,任何人都可以捕獲和破解。無(wú)線加密協(xié)議(WEP)是無(wú)線網(wǎng)絡(luò)上信息加密的一種標(biāo)準(zhǔn)方法,它可以對(duì)每一個(gè)企圖訪問(wèn)無(wú)線網(wǎng)絡(luò)的人的身份進(jìn)行識(shí)別,同時(shí)對(duì)網(wǎng)絡(luò)傳輸內(nèi)容進(jìn)行加密。
一般無(wú)線設(shè)備出廠時(shí)的設(shè)置是“禁止WEP模式”,因此黑客從你的無(wú)線網(wǎng)絡(luò)建成開(kāi)始就能立即掃描該無(wú)線網(wǎng)絡(luò)上的各類(lèi)信息。本篇文章介紹的僅僅是初級(jí)的網(wǎng)絡(luò)安全方案,這樣的方法可能對(duì)于真正的黑客不一定能起到作用,能做到的僅僅是“只防君子、不防小人”,而如果你具有一定電腦知識(shí)的話,就可以考慮采用WPA等一些其他加密協(xié)議,它們的安全性通常要比WEP高出許多。
筆者繼續(xù)以自己的無(wú)線路由器TP-LINK的TL-WR541G為例介紹如何為無(wú)線數(shù)據(jù)加把鎖。
第一步:打開(kāi)自己計(jì)算機(jī)的IE瀏覽器,訪問(wèn)無(wú)線路由器的管理地址,輸入用戶名和密碼進(jìn)入管理界面。
第二步:在管理界面左側(cè)找到“無(wú)線參數(shù)->基本設(shè)置”。
第三步:在無(wú)線基本設(shè)置處會(huì)看到“開(kāi)啟安全設(shè)置”選項(xiàng),將其前的對(duì)勾選中。另外在安全類(lèi)型處選擇WEP,安全選項(xiàng)處選擇“自動(dòng)選擇”,密鑰格式選擇設(shè)置為“16進(jìn)制”
![]("http://network.51cto.com/files/uploadimg/20060804/1550367.jpg") 498)this.style.width=498;" border=1> |
第四步:設(shè)置一個(gè)密鑰,在下方密鑰類(lèi)型處從“禁用”修改為“啟用”,然后在密鑰內(nèi)容處輸入一段10位信息,這個(gè)信息就是我們的加密數(shù)據(jù)信息,只有知道了這個(gè)信息才能正常連接我們的無(wú)線網(wǎng)絡(luò)。
![]("http://network.51cto.com/files/uploadimg/20060804/1550368.jpg") 498)this.style.width=498;" border=1> |
第五步:最后保存退出路由器登錄界面,然后我們還需要在自己的網(wǎng)卡上配置WEP加密信息才能夠保證其可以正常訪問(wèn)我們的無(wú)線網(wǎng)絡(luò)。在XP系統(tǒng)中我們只要跟著無(wú)線網(wǎng)絡(luò)建立向?qū)Ь涂梢皂樌瓿桑@里就不詳細(xì)介紹了。在XP系統(tǒng)中我們輸入的密鑰內(nèi)容和剛才第四步輸入的10位信息是一致的。
四、為網(wǎng)卡加把鎖:
要想訪問(wèn)我們搭建的無(wú)線網(wǎng)絡(luò)就需要使用無(wú)線網(wǎng)卡,無(wú)線網(wǎng)卡和有線網(wǎng)卡一樣都有一個(gè)名為MAC地址的信息進(jìn)行標(biāo)識(shí),他也是網(wǎng)卡的唯一ID。所以說(shuō)如果我們不希望其他計(jì)算機(jī)連接無(wú)線網(wǎng)絡(luò),完全可以將自己的無(wú)線網(wǎng)卡這個(gè)唯一的MAC地址添加到無(wú)線路由器容許訪問(wèn)范圍內(nèi)。
通過(guò)MAC地址過(guò)濾,可以從根本上限制使用網(wǎng)絡(luò)資源的使用者。基于MAC地址的過(guò)濾對(duì)交換設(shè)備的要求不高,并且基本對(duì)網(wǎng)絡(luò)性能沒(méi)有影響,配置命令相對(duì)簡(jiǎn)單,比較適合小型網(wǎng)絡(luò)和家庭使用。MAC地址過(guò)濾是通過(guò)預(yù)先在AP寫(xiě)入合法的MAC地址列表,只有當(dāng)客戶機(jī)的MAC地址和合法MAC地址表中的地址匹配,AP才允許客戶機(jī)與之通信,實(shí)現(xiàn)物理地址過(guò)濾。這個(gè)原理和防火墻有點(diǎn)像,這樣可以基本杜絕一般軟件的攻擊。
筆者繼續(xù)以自己的無(wú)線路由器TP-LINK的TL-WR541G為例介紹如何為網(wǎng)卡加把鎖。不過(guò)在設(shè)置路由器之前需要了解自己計(jì)算機(jī)網(wǎng)卡的MAC地址信息。我們可以在自己計(jì)算機(jī)操作系統(tǒng)的命令提示窗口中運(yùn)行ipconfig /all來(lái)查看。
第一步:獲得自己計(jì)算機(jī)的MAC地址后我們繼續(xù)打開(kāi)自己計(jì)算機(jī)的IE瀏覽器,訪問(wèn)無(wú)線路由器的管理地址,輸入用戶名和密碼進(jìn)入管理界面。
第二步:在左邊找到“安全設(shè)置”->“MAC地址過(guò)濾”。
![]("http://network.51cto.com/files/uploadimg/20060804/1550369.jpg") 498)this.style.width=498;" border=1> |
第三步:在MAC地址過(guò)濾窗口中我們點(diǎn)“添加新條目”按鈕,然后輸入自己計(jì)算機(jī)的MAC地址,狀態(tài)處選擇“生效”,最后點(diǎn)“保存”按鈕。
![]("http://network.51cto.com/files/uploadimg/20060804/15503610.jpg") 498)this.style.width=498;" border=1> |
第四步:這時(shí)候你會(huì)看到我們的MAC地址過(guò)濾功能并沒(méi)有開(kāi)啟,僅僅添加一條規(guī)則是不夠的,我們找到“安全設(shè)置->防火墻設(shè)置”,然后把其中的“開(kāi)啟MAC地址過(guò)濾”前打上對(duì)勾,另外還需要注意一點(diǎn)的是下面的“缺省過(guò)濾規(guī)則”。
由于我們要容許添加的MAC地址對(duì)應(yīng)的無(wú)線網(wǎng)卡訪問(wèn)無(wú)線網(wǎng)絡(luò),所以過(guò)濾規(guī)則應(yīng)該設(shè)置為“僅容許已設(shè)MAC地址列表中已啟用的MAC地址訪問(wèn)internet”,這樣非法和沒(méi)有添加MAC地址的網(wǎng)卡就無(wú)法正常連接無(wú)線網(wǎng)絡(luò)了,或者說(shuō)即使連接到無(wú)線網(wǎng)絡(luò)也不能正常訪問(wèn)其他計(jì)算機(jī)和internet。
![]("http://network.51cto.com/files/uploadimg/20060804/15503611.jpg") 498)this.style.width=498;" border=1> |
四、為網(wǎng)卡加把鎖:
要想訪問(wèn)我們搭建的無(wú)線網(wǎng)絡(luò)就需要使用無(wú)線網(wǎng)卡,無(wú)線網(wǎng)卡和有線網(wǎng)卡一樣都有一個(gè)名為MAC地址的信息進(jìn)行標(biāo)識(shí),他也是網(wǎng)卡的唯一ID。所以說(shuō)如果我們不希望其他計(jì)算機(jī)連接無(wú)線網(wǎng)絡(luò),完全可以將自己的無(wú)線網(wǎng)卡這個(gè)唯一的MAC地址添加到無(wú)線路由器容許訪問(wèn)范圍內(nèi)。
通過(guò)MAC地址過(guò)濾,可以從根本上限制使用網(wǎng)絡(luò)資源的使用者。基于MAC地址的過(guò)濾對(duì)交換設(shè)備的要求不高,并且基本對(duì)網(wǎng)絡(luò)性能沒(méi)有影響,配置命令相對(duì)簡(jiǎn)單,比較適合小型網(wǎng)絡(luò)和家庭使用。MAC地址過(guò)濾是通過(guò)預(yù)先在AP寫(xiě)入合法的MAC地址列表,只有當(dāng)客戶機(jī)的MAC地址和合法MAC地址表中的地址匹配,AP才允許客戶機(jī)與之通信,實(shí)現(xiàn)物理地址過(guò)濾。這個(gè)原理和防火墻有點(diǎn)像,這樣可以基本杜絕一般軟件的攻擊。
筆者繼續(xù)以自己的無(wú)線路由器TP-LINK的TL-WR541G為例介紹如何為網(wǎng)卡加把鎖。不過(guò)在設(shè)置路由器之前需要了解自己計(jì)算機(jī)網(wǎng)卡的MAC地址信息。我們可以在自己計(jì)算機(jī)操作系統(tǒng)的命令提示窗口中運(yùn)行ipconfig /all來(lái)查看。
第一步:獲得自己計(jì)算機(jī)的MAC地址后我們繼續(xù)打開(kāi)自己計(jì)算機(jī)的IE瀏覽器,訪問(wèn)無(wú)線路由器的管理地址,輸入用戶名和密碼進(jìn)入管理界面。
第二步:在左邊找到“安全設(shè)置”->“MAC地址過(guò)濾”。
| 498)this.style.width=498;" border=1> |
第三步:在MAC地址過(guò)濾窗口中我們點(diǎn)“添加新條目”按鈕,然后輸入自己計(jì)算機(jī)的MAC地址,狀態(tài)處選擇“生效”,最后點(diǎn)“保存”按鈕。
| 498)this.style.width=498;" border=1> |
第四步:這時(shí)候你會(huì)看到我們的MAC地址過(guò)濾功能并沒(méi)有開(kāi)啟,僅僅添加一條規(guī)則是不夠的,我們找到“安全設(shè)置->防火墻設(shè)置”,然后把其中的“開(kāi)啟MAC地址過(guò)濾”前打上對(duì)勾,另外還需要注意一點(diǎn)的是下面的“缺省過(guò)濾規(guī)則”。
由于我們要容許添加的MAC地址對(duì)應(yīng)的無(wú)線網(wǎng)卡訪問(wèn)無(wú)線網(wǎng)絡(luò),所以過(guò)濾規(guī)則應(yīng)該設(shè)置為“僅容許已設(shè)MAC地址列表中已啟用的MAC地址訪問(wèn)internet”,這樣非法和沒(méi)有添加MAC地址的網(wǎng)卡就無(wú)法正常連接無(wú)線網(wǎng)絡(luò)了,或者說(shuō)即使連接到無(wú)線網(wǎng)絡(luò)也不能正常訪問(wèn)其他計(jì)算機(jī)和internet。
| 498)this.style.width=498;" border=1> |
五、為firmware加把鎖:
和windows操作系統(tǒng)一樣,無(wú)線設(shè)備自身也不是萬(wàn)無(wú)一失的,他都或多或少存在著一定的漏洞,在windows系統(tǒng)中我們可以通過(guò)為系統(tǒng)打補(bǔ)丁來(lái)實(shí)現(xiàn)彌補(bǔ)漏洞的操作,在無(wú)線設(shè)備中我們可以通過(guò)刷新firmware內(nèi)部硬件驅(qū)動(dòng)來(lái)實(shí)現(xiàn)此功能。
網(wǎng)絡(luò)設(shè)備的Firmware(固件)的更新和升級(jí)可以通過(guò)刷新無(wú)線設(shè)備最新版本的Firmware,能夠提高我們無(wú)線路由器的安全性,新版本的Firmware常常會(huì)修復(fù)已知的安全漏洞,并可能在功能方面添加了一些新的安全措施。而且升級(jí)操作并不復(fù)雜,對(duì)于家用無(wú)線路由器來(lái)說(shuō),只要簡(jiǎn)單的點(diǎn)擊就可檢驗(yàn)和升級(jí)新版本的固件了。
第一步:進(jìn)入無(wú)線設(shè)備的管理界面。
第二步:在左邊找到“系統(tǒng)工具->軟件升級(jí)”。
第三步:在自己計(jì)算機(jī)上通過(guò)TFTP搭建工具建立一個(gè)TFTP服務(wù)器,例如筆者的計(jì)算機(jī)的IP地址是192.168.1.100。
第四步:在軟件升級(jí)設(shè)置處輸入我們要升級(jí)的firmware文件名以及TFTP服務(wù)器IP地址——192.168.1.100。關(guān)于firmware新版本我們可以到設(shè)備廠商的網(wǎng)站去下載。
![]("http://network.51cto.com/files/uploadimg/20060804/15503612.jpg") 498)this.style.width=498;" border=1> |
第五步:最后點(diǎn)“升級(jí)”按鈕即可,如果TFTP服務(wù)器工作正常就可以順利的更新固件新版本了,從而完成無(wú)線設(shè)備自身的升級(jí)操作。新版本的無(wú)線設(shè)備更加安全更加穩(wěn)定。
六、總結(jié):
其實(shí)無(wú)線網(wǎng)絡(luò)的安全防范措施還有很多,例如不用無(wú)線設(shè)備時(shí)關(guān)掉其電源或設(shè)置一個(gè)定時(shí)開(kāi)關(guān)在設(shè)定時(shí)間里關(guān)閉無(wú)線功能,盡量用有線網(wǎng)代替無(wú)線網(wǎng)絡(luò)等。
上面僅僅介紹的最基本的五個(gè)措施,不過(guò)只要你按照本篇文章介紹的方法進(jìn)行設(shè)置,已經(jīng)可以大大增加自己無(wú)線網(wǎng)絡(luò)的安全了,可以將大部分黑客入侵阻擋在無(wú)線網(wǎng)絡(luò)之外。
