家庭用戶使用WLAN的是越來越多,拿著迅馳筆記本在小區隨便走一圈就能收到很多無線信號。不過這些無線信號中有不少存在著安全問題,其他非法用戶可以通過簡單的操作甚至是直接連接就可以訪問該無線網絡。
一方面自己的帶寬被別人非法使用,另一方面容易造成自己的計算機被連接到同一無線網絡的其他計算機入侵,自己的隱私也會泄露。那么我們該如何加強WLAN安全呢?實際上只需要五把鎖就可以讓你塌塌實實的使用WLAN,再也不用為其他人非法連接而擔經受怕了。
一、為無線設備加把鎖:
可能有的讀者會問什么叫為無線設備加把鎖?難道是把自己的無線路由器放到帶鎖的柜子里嗎?其實不然,對于大多數無線網絡設備來說,出廠時的默認密碼基本上大同小異,因此假如你沒有更改這個密碼,其他人就能輕而易舉地用默認的用戶名和密碼登錄到了你的無線網絡設備上,獲得整個網絡的管理權限,最后,你可能會發現自己都不能夠登錄自己的WLAN了,所以這個密碼記得一定要修改,否則就等于自家大門永遠向小偷敞開一樣。
用戶只需要開啟無線設備設置,在密碼保護上輸入自己的密碼,就可以完成保護,這點與Windows設置密碼是一樣的,經過加鎖的無線設備就不是任何人都能夠隨意使用了。
小提示:
如果你已經發現自己的無線設備被其他人加了鎖,自己無法正常登錄的話,我們還有另外一招,那就是恢復出廠設置(具體方法可參照設備說明書),通過它我們還是可重新獲得控制權的。一般需要按無線設備上的reset按鈕來完成恢復工作。
下面筆者以自己的無線路由器TP-LINK的TL-WR541G來介紹如何為無線設備買把鎖。
第一步:打開自己計算機的IE瀏覽器,訪問無線路由器的管理地址,TP-LINK TL-WR541G說明書中清楚的寫到該設備管理地址為192.168.1.1。
第二步:輸入默認用戶名admin,默認密碼保持空,點“確定”按鈕進行登錄。
![]("http://network.51cto.com/files/uploadimg/20060804/1550360.jpg") 498)this.style.width=498;" border=1> |
第三步:進入路由器管理界面后點左邊的“系統工具”,然后找到“修改登錄口令”。
![]("http://network.51cto.com/files/uploadimg/20060804/1550361.jpg") 498)this.style.width=498;" border=1> |
第四步:在“修改登錄口令”處輸入原用戶名admin,原口令為空,然后在新用戶名和新口令處輸入你要修改的數據,最后點保存按鈕即可。
![]("http://network.51cto.com/files/uploadimg/20060804/1550362.jpg") 498)this.style.width=498;" border=1> |
第五步:以后再通過路由器進行管理時就輸入剛剛修改的用戶名和密碼即可,這個信息只有你一個人知道,其他非法用戶是無法猜測到的。
二、為SSID加把鎖:
所謂SSID就是無線網絡使用的名字,他只是起到一個標識作用,不過在實際使用過程中如果你的鄰居也安裝了無線網絡,那么你們的網絡就有可能互相沖突,導致的結果是客戶端就會有一個相當大的偶然機會去連接到不屬于自己的無線路由器上。這就是由于你們都沒有更改默認SSID名稱造成的。
另外如果沒有修改SSID的發送方式的話,默認情況下很多無線設備都是開啟無線SSID廣播的,這時任何一臺擁有無線網卡的計算機都可以通過信號掃描發現你的SSID網絡,所以說我們應該修改SSID默認值并禁止該SSID信息的廣播。筆者從網上收集了常見廠商的默認SSID名稱,希望對各位讀者有所幫助。
![]("http://network.51cto.com/files/uploadimg/20060804/1550363.jpg") 498)this.style.width=498;" border=1> |
小提示:
在一個無線網絡中屏蔽SSID廣播并不能夠徹底阻止別人發現你的SSID網絡,因為使用Kismet或其他的無線檢測工具都可以發現一個存在的網絡即使該網絡禁止了SSID廣播。
接下來筆者繼續以自己的無線路由器TP-LINK的TL-WR541G來介紹如何為SSID加把鎖。
第一步:打開自己計算機的IE瀏覽器,訪問無線路由器的管理地址,輸入用戶名和密碼進入管理界面。
第二步:在管理界面左側找到“無線參數->基本設置”。
![]("http://network.51cto.com/files/uploadimg/20060804/1550364.jpg") 498)this.style.width=498;" border=1> |
第三步:你會看到SSID號處是默認參數,我們手動修改這個默認值,防止和其他家的無線網絡產生沖突。筆者修改SSID號為softer。
![]("http://network.51cto.com/files/uploadimg/20060804/1550365.jpg") 498)this.style.width=498;" border=1> |
第四步:修改完默認的SSID號后我們還需要禁止SSID廣播,在“無線參數->基本設置”中有一個“容許SSID廣播”的選項,將其前年的對勾去掉即可。
![]("http://network.51cto.com/files/uploadimg/20060804/1550366.jpg") 498)this.style.width=498;" border=1> |
第五步:保存后我們的SSID號就被上了把鎖,這樣一方面不會和其他用戶的無線網絡產生沖突,另一方面也防止了其他無線設備非法發現我們的SSID網絡。
三、為無線數據加把鎖:
無線數據在空中飛來飛去,如果不加密的話,任何人都可以捕獲和破解。無線加密協議(WEP)是無線網絡上信息加密的一種標準方法,它可以對每一個企圖訪問無線網絡的人的身份進行識別,同時對網絡傳輸內容進行加密。
一般無線設備出廠時的設置是“禁止WEP模式”,因此黑客從你的無線網絡建成開始就能立即掃描該無線網絡上的各類信息。本篇文章介紹的僅僅是初級的網絡安全方案,這樣的方法可能對于真正的黑客不一定能起到作用,能做到的僅僅是“只防君子、不防小人”,而如果你具有一定電腦知識的話,就可以考慮采用WPA等一些其他加密協議,它們的安全性通常要比WEP高出許多。
筆者繼續以自己的無線路由器TP-LINK的TL-WR541G為例介紹如何為無線數據加把鎖。
第一步:打開自己計算機的IE瀏覽器,訪問無線路由器的管理地址,輸入用戶名和密碼進入管理界面。
第二步:在管理界面左側找到“無線參數->基本設置”。
第三步:在無線基本設置處會看到“開啟安全設置”選項,將其前的對勾選中。另外在安全類型處選擇WEP,安全選項處選擇“自動選擇”,密鑰格式選擇設置為“16進制”
![]("http://network.51cto.com/files/uploadimg/20060804/1550367.jpg") 498)this.style.width=498;" border=1> |
第四步:設置一個密鑰,在下方密鑰類型處從“禁用”修改為“啟用”,然后在密鑰內容處輸入一段10位信息,這個信息就是我們的加密數據信息,只有知道了這個信息才能正常連接我們的無線網絡。
![]("http://network.51cto.com/files/uploadimg/20060804/1550368.jpg") 498)this.style.width=498;" border=1> |
第五步:最后保存退出路由器登錄界面,然后我們還需要在自己的網卡上配置WEP加密信息才能夠保證其可以正常訪問我們的無線網絡。在XP系統中我們只要跟著無線網絡建立向導就可以順利完成,這里就不詳細介紹了。在XP系統中我們輸入的密鑰內容和剛才第四步輸入的10位信息是一致的。
四、為網卡加把鎖:
要想訪問我們搭建的無線網絡就需要使用無線網卡,無線網卡和有線網卡一樣都有一個名為MAC地址的信息進行標識,他也是網卡的唯一ID。所以說如果我們不希望其他計算機連接無線網絡,完全可以將自己的無線網卡這個唯一的MAC地址添加到無線路由器容許訪問范圍內。
通過MAC地址過濾,可以從根本上限制使用網絡資源的使用者。基于MAC地址的過濾對交換設備的要求不高,并且基本對網絡性能沒有影響,配置命令相對簡單,比較適合小型網絡和家庭使用。MAC地址過濾是通過預先在AP寫入合法的MAC地址列表,只有當客戶機的MAC地址和合法MAC地址表中的地址匹配,AP才允許客戶機與之通信,實現物理地址過濾。這個原理和防火墻有點像,這樣可以基本杜絕一般軟件的攻擊。
筆者繼續以自己的無線路由器TP-LINK的TL-WR541G為例介紹如何為網卡加把鎖。不過在設置路由器之前需要了解自己計算機網卡的MAC地址信息。我們可以在自己計算機操作系統的命令提示窗口中運行ipconfig /all來查看。
第一步:獲得自己計算機的MAC地址后我們繼續打開自己計算機的IE瀏覽器,訪問無線路由器的管理地址,輸入用戶名和密碼進入管理界面。
第二步:在左邊找到“安全設置”->“MAC地址過濾”。
![]("http://network.51cto.com/files/uploadimg/20060804/1550369.jpg") 498)this.style.width=498;" border=1> |
第三步:在MAC地址過濾窗口中我們點“添加新條目”按鈕,然后輸入自己計算機的MAC地址,狀態處選擇“生效”,最后點“保存”按鈕。
![]("http://network.51cto.com/files/uploadimg/20060804/15503610.jpg") 498)this.style.width=498;" border=1> |
第四步:這時候你會看到我們的MAC地址過濾功能并沒有開啟,僅僅添加一條規則是不夠的,我們找到“安全設置->防火墻設置”,然后把其中的“開啟MAC地址過濾”前打上對勾,另外還需要注意一點的是下面的“缺省過濾規則”。
由于我們要容許添加的MAC地址對應的無線網卡訪問無線網絡,所以過濾規則應該設置為“僅容許已設MAC地址列表中已啟用的MAC地址訪問internet”,這樣非法和沒有添加MAC地址的網卡就無法正常連接無線網絡了,或者說即使連接到無線網絡也不能正常訪問其他計算機和internet。
![]("http://network.51cto.com/files/uploadimg/20060804/15503611.jpg") 498)this.style.width=498;" border=1> |
四、為網卡加把鎖:
要想訪問我們搭建的無線網絡就需要使用無線網卡,無線網卡和有線網卡一樣都有一個名為MAC地址的信息進行標識,他也是網卡的唯一ID。所以說如果我們不希望其他計算機連接無線網絡,完全可以將自己的無線網卡這個唯一的MAC地址添加到無線路由器容許訪問范圍內。
通過MAC地址過濾,可以從根本上限制使用網絡資源的使用者。基于MAC地址的過濾對交換設備的要求不高,并且基本對網絡性能沒有影響,配置命令相對簡單,比較適合小型網絡和家庭使用。MAC地址過濾是通過預先在AP寫入合法的MAC地址列表,只有當客戶機的MAC地址和合法MAC地址表中的地址匹配,AP才允許客戶機與之通信,實現物理地址過濾。這個原理和防火墻有點像,這樣可以基本杜絕一般軟件的攻擊。
筆者繼續以自己的無線路由器TP-LINK的TL-WR541G為例介紹如何為網卡加把鎖。不過在設置路由器之前需要了解自己計算機網卡的MAC地址信息。我們可以在自己計算機操作系統的命令提示窗口中運行ipconfig /all來查看。
第一步:獲得自己計算機的MAC地址后我們繼續打開自己計算機的IE瀏覽器,訪問無線路由器的管理地址,輸入用戶名和密碼進入管理界面。
第二步:在左邊找到“安全設置”->“MAC地址過濾”。
| 498)this.style.width=498;" border=1> |
第三步:在MAC地址過濾窗口中我們點“添加新條目”按鈕,然后輸入自己計算機的MAC地址,狀態處選擇“生效”,最后點“保存”按鈕。
| 498)this.style.width=498;" border=1> |
第四步:這時候你會看到我們的MAC地址過濾功能并沒有開啟,僅僅添加一條規則是不夠的,我們找到“安全設置->防火墻設置”,然后把其中的“開啟MAC地址過濾”前打上對勾,另外還需要注意一點的是下面的“缺省過濾規則”。
由于我們要容許添加的MAC地址對應的無線網卡訪問無線網絡,所以過濾規則應該設置為“僅容許已設MAC地址列表中已啟用的MAC地址訪問internet”,這樣非法和沒有添加MAC地址的網卡就無法正常連接無線網絡了,或者說即使連接到無線網絡也不能正常訪問其他計算機和internet。
| 498)this.style.width=498;" border=1> |
五、為firmware加把鎖:
和windows操作系統一樣,無線設備自身也不是萬無一失的,他都或多或少存在著一定的漏洞,在windows系統中我們可以通過為系統打補丁來實現彌補漏洞的操作,在無線設備中我們可以通過刷新firmware內部硬件驅動來實現此功能。
網絡設備的Firmware(固件)的更新和升級可以通過刷新無線設備最新版本的Firmware,能夠提高我們無線路由器的安全性,新版本的Firmware常常會修復已知的安全漏洞,并可能在功能方面添加了一些新的安全措施。而且升級操作并不復雜,對于家用無線路由器來說,只要簡單的點擊就可檢驗和升級新版本的固件了。
第一步:進入無線設備的管理界面。
第二步:在左邊找到“系統工具->軟件升級”。
第三步:在自己計算機上通過TFTP搭建工具建立一個TFTP服務器,例如筆者的計算機的IP地址是192.168.1.100。
第四步:在軟件升級設置處輸入我們要升級的firmware文件名以及TFTP服務器IP地址——192.168.1.100。關于firmware新版本我們可以到設備廠商的網站去下載。
![]("http://network.51cto.com/files/uploadimg/20060804/15503612.jpg") 498)this.style.width=498;" border=1> |
第五步:最后點“升級”按鈕即可,如果TFTP服務器工作正常就可以順利的更新固件新版本了,從而完成無線設備自身的升級操作。新版本的無線設備更加安全更加穩定。
六、總結:
其實無線網絡的安全防范措施還有很多,例如不用無線設備時關掉其電源或設置一個定時開關在設定時間里關閉無線功能,盡量用有線網代替無線網絡等。
上面僅僅介紹的最基本的五個措施,不過只要你按照本篇文章介紹的方法進行設置,已經可以大大增加自己無線網絡的安全了,可以將大部分黑客入侵阻擋在無線網絡之外。
