家庭用戶使用WLAN的是越來越多,拿著迅馳筆記本在小區(qū)隨便走一圈就能收到很多無線信號。不過這些無線信號中有不少存在著安全問題,其他非法用戶可以通過簡單的操作甚至是直接連接就可以訪問該無線網(wǎng)絡(luò)。
一方面自己的帶寬被別人非法使用,另一方面容易造成自己的計算機被連接到同一無線網(wǎng)絡(luò)的其他計算機入侵,自己的隱私也會泄露。那么我們該如何加強WLAN安全呢?實際上只需要五把鎖就可以讓你塌塌實實的使用WLAN,再也不用為其他人非法連接而擔經(jīng)受怕了。
一、為無線設(shè)備加把鎖:
可能有的讀者會問什么叫為無線設(shè)備加把鎖?難道是把自己的無線路由器放到帶鎖的柜子里嗎?其實不然,對于大多數(shù)無線網(wǎng)絡(luò)設(shè)備來說,出廠時的默認密碼基本上大同小異,因此假如你沒有更改這個密碼,其他人就能輕而易舉地用默認的用戶名和密碼登錄到了你的無線網(wǎng)絡(luò)設(shè)備上,獲得整個網(wǎng)絡(luò)的管理權(quán)限,最后,你可能會發(fā)現(xiàn)自己都不能夠登錄自己的WLAN了,所以這個密碼記得一定要修改,否則就等于自家大門永遠向小偷敞開一樣。
用戶只需要開啟無線設(shè)備設(shè)置,在密碼保護上輸入自己的密碼,就可以完成保護,這點與Windows設(shè)置密碼是一樣的,經(jīng)過加鎖的無線設(shè)備就不是任何人都能夠隨意使用了。
小提示:
如果你已經(jīng)發(fā)現(xiàn)自己的無線設(shè)備被其他人加了鎖,自己無法正常登錄的話,我們還有另外一招,那就是恢復出廠設(shè)置(具體方法可參照設(shè)備說明書),通過它我們還是可重新獲得控制權(quán)的。一般需要按無線設(shè)備上的reset按鈕來完成恢復工作。
下面筆者以自己的無線路由器TP-LINK的TL-WR541G來介紹如何為無線設(shè)備買把鎖。
第一步:打開自己計算機的IE瀏覽器,訪問無線路由器的管理地址,TP-LINK TL-WR541G說明書中清楚的寫到該設(shè)備管理地址為192.168.1.1。
第二步:輸入默認用戶名admin,默認密碼保持空,點“確定”按鈕進行登錄。
![]("http://network.51cto.com/files/uploadimg/20060804/1550360.jpg") 498)this.style.width=498;" border=1> |
第三步:進入路由器管理界面后點左邊的“系統(tǒng)工具”,然后找到“修改登錄口令”。
![]("http://network.51cto.com/files/uploadimg/20060804/1550361.jpg") 498)this.style.width=498;" border=1> |
第四步:在“修改登錄口令”處輸入原用戶名admin,原口令為空,然后在新用戶名和新口令處輸入你要修改的數(shù)據(jù),最后點保存按鈕即可。
![]("http://network.51cto.com/files/uploadimg/20060804/1550362.jpg") 498)this.style.width=498;" border=1> |
第五步:以后再通過路由器進行管理時就輸入剛剛修改的用戶名和密碼即可,這個信息只有你一個人知道,其他非法用戶是無法猜測到的。
二、為SSID加把鎖:
所謂SSID就是無線網(wǎng)絡(luò)使用的名字,他只是起到一個標識作用,不過在實際使用過程中如果你的鄰居也安裝了無線網(wǎng)絡(luò),那么你們的網(wǎng)絡(luò)就有可能互相沖突,導致的結(jié)果是客戶端就會有一個相當大的偶然機會去連接到不屬于自己的無線路由器上。這就是由于你們都沒有更改默認SSID名稱造成的。
另外如果沒有修改SSID的發(fā)送方式的話,默認情況下很多無線設(shè)備都是開啟無線SSID廣播的,這時任何一臺擁有無線網(wǎng)卡的計算機都可以通過信號掃描發(fā)現(xiàn)你的SSID網(wǎng)絡(luò),所以說我們應(yīng)該修改SSID默認值并禁止該SSID信息的廣播。筆者從網(wǎng)上收集了常見廠商的默認SSID名稱,希望對各位讀者有所幫助。
![]("http://network.51cto.com/files/uploadimg/20060804/1550363.jpg") 498)this.style.width=498;" border=1> |
小提示:
在一個無線網(wǎng)絡(luò)中屏蔽SSID廣播并不能夠徹底阻止別人發(fā)現(xiàn)你的SSID網(wǎng)絡(luò),因為使用Kismet或其他的無線檢測工具都可以發(fā)現(xiàn)一個存在的網(wǎng)絡(luò)即使該網(wǎng)絡(luò)禁止了SSID廣播。
接下來筆者繼續(xù)以自己的無線路由器TP-LINK的TL-WR541G來介紹如何為SSID加把鎖。
第一步:打開自己計算機的IE瀏覽器,訪問無線路由器的管理地址,輸入用戶名和密碼進入管理界面。
第二步:在管理界面左側(cè)找到“無線參數(shù)->基本設(shè)置”。
![]("http://network.51cto.com/files/uploadimg/20060804/1550364.jpg") 498)this.style.width=498;" border=1> |
第三步:你會看到SSID號處是默認參數(shù),我們手動修改這個默認值,防止和其他家的無線網(wǎng)絡(luò)產(chǎn)生沖突。筆者修改SSID號為softer。
![]("http://network.51cto.com/files/uploadimg/20060804/1550365.jpg") 498)this.style.width=498;" border=1> |
第四步:修改完默認的SSID號后我們還需要禁止SSID廣播,在“無線參數(shù)->基本設(shè)置”中有一個“容許SSID廣播”的選項,將其前年的對勾去掉即可。
![]("http://network.51cto.com/files/uploadimg/20060804/1550366.jpg") 498)this.style.width=498;" border=1> |
第五步:保存后我們的SSID號就被上了把鎖,這樣一方面不會和其他用戶的無線網(wǎng)絡(luò)產(chǎn)生沖突,另一方面也防止了其他無線設(shè)備非法發(fā)現(xiàn)我們的SSID網(wǎng)絡(luò)。
三、為無線數(shù)據(jù)加把鎖:
無線數(shù)據(jù)在空中飛來飛去,如果不加密的話,任何人都可以捕獲和破解。無線加密協(xié)議(WEP)是無線網(wǎng)絡(luò)上信息加密的一種標準方法,它可以對每一個企圖訪問無線網(wǎng)絡(luò)的人的身份進行識別,同時對網(wǎng)絡(luò)傳輸內(nèi)容進行加密。
一般無線設(shè)備出廠時的設(shè)置是“禁止WEP模式”,因此黑客從你的無線網(wǎng)絡(luò)建成開始就能立即掃描該無線網(wǎng)絡(luò)上的各類信息。本篇文章介紹的僅僅是初級的網(wǎng)絡(luò)安全方案,這樣的方法可能對于真正的黑客不一定能起到作用,能做到的僅僅是“只防君子、不防小人”,而如果你具有一定電腦知識的話,就可以考慮采用WPA等一些其他加密協(xié)議,它們的安全性通常要比WEP高出許多。
筆者繼續(xù)以自己的無線路由器TP-LINK的TL-WR541G為例介紹如何為無線數(shù)據(jù)加把鎖。
第一步:打開自己計算機的IE瀏覽器,訪問無線路由器的管理地址,輸入用戶名和密碼進入管理界面。
第二步:在管理界面左側(cè)找到“無線參數(shù)->基本設(shè)置”。
第三步:在無線基本設(shè)置處會看到“開啟安全設(shè)置”選項,將其前的對勾選中。另外在安全類型處選擇WEP,安全選項處選擇“自動選擇”,密鑰格式選擇設(shè)置為“16進制”
![]("http://network.51cto.com/files/uploadimg/20060804/1550367.jpg") 498)this.style.width=498;" border=1> |
第四步:設(shè)置一個密鑰,在下方密鑰類型處從“禁用”修改為“啟用”,然后在密鑰內(nèi)容處輸入一段10位信息,這個信息就是我們的加密數(shù)據(jù)信息,只有知道了這個信息才能正常連接我們的無線網(wǎng)絡(luò)。
![]("http://network.51cto.com/files/uploadimg/20060804/1550368.jpg") 498)this.style.width=498;" border=1> |
第五步:最后保存退出路由器登錄界面,然后我們還需要在自己的網(wǎng)卡上配置WEP加密信息才能夠保證其可以正常訪問我們的無線網(wǎng)絡(luò)。在XP系統(tǒng)中我們只要跟著無線網(wǎng)絡(luò)建立向?qū)Ь涂梢皂樌瓿桑@里就不詳細介紹了。在XP系統(tǒng)中我們輸入的密鑰內(nèi)容和剛才第四步輸入的10位信息是一致的。
四、為網(wǎng)卡加把鎖:
要想訪問我們搭建的無線網(wǎng)絡(luò)就需要使用無線網(wǎng)卡,無線網(wǎng)卡和有線網(wǎng)卡一樣都有一個名為MAC地址的信息進行標識,他也是網(wǎng)卡的唯一ID。所以說如果我們不希望其他計算機連接無線網(wǎng)絡(luò),完全可以將自己的無線網(wǎng)卡這個唯一的MAC地址添加到無線路由器容許訪問范圍內(nèi)。
通過MAC地址過濾,可以從根本上限制使用網(wǎng)絡(luò)資源的使用者。基于MAC地址的過濾對交換設(shè)備的要求不高,并且基本對網(wǎng)絡(luò)性能沒有影響,配置命令相對簡單,比較適合小型網(wǎng)絡(luò)和家庭使用。MAC地址過濾是通過預先在AP寫入合法的MAC地址列表,只有當客戶機的MAC地址和合法MAC地址表中的地址匹配,AP才允許客戶機與之通信,實現(xiàn)物理地址過濾。這個原理和防火墻有點像,這樣可以基本杜絕一般軟件的攻擊。
筆者繼續(xù)以自己的無線路由器TP-LINK的TL-WR541G為例介紹如何為網(wǎng)卡加把鎖。不過在設(shè)置路由器之前需要了解自己計算機網(wǎng)卡的MAC地址信息。我們可以在自己計算機操作系統(tǒng)的命令提示窗口中運行ipconfig /all來查看。
第一步:獲得自己計算機的MAC地址后我們繼續(xù)打開自己計算機的IE瀏覽器,訪問無線路由器的管理地址,輸入用戶名和密碼進入管理界面。
第二步:在左邊找到“安全設(shè)置”->“MAC地址過濾”。
![]("http://network.51cto.com/files/uploadimg/20060804/1550369.jpg") 498)this.style.width=498;" border=1> |
第三步:在MAC地址過濾窗口中我們點“添加新條目”按鈕,然后輸入自己計算機的MAC地址,狀態(tài)處選擇“生效”,最后點“保存”按鈕。
![]("http://network.51cto.com/files/uploadimg/20060804/15503610.jpg") 498)this.style.width=498;" border=1> |
第四步:這時候你會看到我們的MAC地址過濾功能并沒有開啟,僅僅添加一條規(guī)則是不夠的,我們找到“安全設(shè)置->防火墻設(shè)置”,然后把其中的“開啟MAC地址過濾”前打上對勾,另外還需要注意一點的是下面的“缺省過濾規(guī)則”。
由于我們要容許添加的MAC地址對應(yīng)的無線網(wǎng)卡訪問無線網(wǎng)絡(luò),所以過濾規(guī)則應(yīng)該設(shè)置為“僅容許已設(shè)MAC地址列表中已啟用的MAC地址訪問internet”,這樣非法和沒有添加MAC地址的網(wǎng)卡就無法正常連接無線網(wǎng)絡(luò)了,或者說即使連接到無線網(wǎng)絡(luò)也不能正常訪問其他計算機和internet。
![]("http://network.51cto.com/files/uploadimg/20060804/15503611.jpg") 498)this.style.width=498;" border=1> |
四、為網(wǎng)卡加把鎖:
要想訪問我們搭建的無線網(wǎng)絡(luò)就需要使用無線網(wǎng)卡,無線網(wǎng)卡和有線網(wǎng)卡一樣都有一個名為MAC地址的信息進行標識,他也是網(wǎng)卡的唯一ID。所以說如果我們不希望其他計算機連接無線網(wǎng)絡(luò),完全可以將自己的無線網(wǎng)卡這個唯一的MAC地址添加到無線路由器容許訪問范圍內(nèi)。
通過MAC地址過濾,可以從根本上限制使用網(wǎng)絡(luò)資源的使用者。基于MAC地址的過濾對交換設(shè)備的要求不高,并且基本對網(wǎng)絡(luò)性能沒有影響,配置命令相對簡單,比較適合小型網(wǎng)絡(luò)和家庭使用。MAC地址過濾是通過預先在AP寫入合法的MAC地址列表,只有當客戶機的MAC地址和合法MAC地址表中的地址匹配,AP才允許客戶機與之通信,實現(xiàn)物理地址過濾。這個原理和防火墻有點像,這樣可以基本杜絕一般軟件的攻擊。
筆者繼續(xù)以自己的無線路由器TP-LINK的TL-WR541G為例介紹如何為網(wǎng)卡加把鎖。不過在設(shè)置路由器之前需要了解自己計算機網(wǎng)卡的MAC地址信息。我們可以在自己計算機操作系統(tǒng)的命令提示窗口中運行ipconfig /all來查看。
第一步:獲得自己計算機的MAC地址后我們繼續(xù)打開自己計算機的IE瀏覽器,訪問無線路由器的管理地址,輸入用戶名和密碼進入管理界面。
第二步:在左邊找到“安全設(shè)置”->“MAC地址過濾”。
| 498)this.style.width=498;" border=1> |
第三步:在MAC地址過濾窗口中我們點“添加新條目”按鈕,然后輸入自己計算機的MAC地址,狀態(tài)處選擇“生效”,最后點“保存”按鈕。
| 498)this.style.width=498;" border=1> |
第四步:這時候你會看到我們的MAC地址過濾功能并沒有開啟,僅僅添加一條規(guī)則是不夠的,我們找到“安全設(shè)置->防火墻設(shè)置”,然后把其中的“開啟MAC地址過濾”前打上對勾,另外還需要注意一點的是下面的“缺省過濾規(guī)則”。
由于我們要容許添加的MAC地址對應(yīng)的無線網(wǎng)卡訪問無線網(wǎng)絡(luò),所以過濾規(guī)則應(yīng)該設(shè)置為“僅容許已設(shè)MAC地址列表中已啟用的MAC地址訪問internet”,這樣非法和沒有添加MAC地址的網(wǎng)卡就無法正常連接無線網(wǎng)絡(luò)了,或者說即使連接到無線網(wǎng)絡(luò)也不能正常訪問其他計算機和internet。
| 498)this.style.width=498;" border=1> |
五、為firmware加把鎖:
和windows操作系統(tǒng)一樣,無線設(shè)備自身也不是萬無一失的,他都或多或少存在著一定的漏洞,在windows系統(tǒng)中我們可以通過為系統(tǒng)打補丁來實現(xiàn)彌補漏洞的操作,在無線設(shè)備中我們可以通過刷新firmware內(nèi)部硬件驅(qū)動來實現(xiàn)此功能。
網(wǎng)絡(luò)設(shè)備的Firmware(固件)的更新和升級可以通過刷新無線設(shè)備最新版本的Firmware,能夠提高我們無線路由器的安全性,新版本的Firmware常常會修復已知的安全漏洞,并可能在功能方面添加了一些新的安全措施。而且升級操作并不復雜,對于家用無線路由器來說,只要簡單的點擊就可檢驗和升級新版本的固件了。
第一步:進入無線設(shè)備的管理界面。
第二步:在左邊找到“系統(tǒng)工具->軟件升級”。
第三步:在自己計算機上通過TFTP搭建工具建立一個TFTP服務(wù)器,例如筆者的計算機的IP地址是192.168.1.100。
第四步:在軟件升級設(shè)置處輸入我們要升級的firmware文件名以及TFTP服務(wù)器IP地址——192.168.1.100。關(guān)于firmware新版本我們可以到設(shè)備廠商的網(wǎng)站去下載。
![]("http://network.51cto.com/files/uploadimg/20060804/15503612.jpg") 498)this.style.width=498;" border=1> |
第五步:最后點“升級”按鈕即可,如果TFTP服務(wù)器工作正常就可以順利的更新固件新版本了,從而完成無線設(shè)備自身的升級操作。新版本的無線設(shè)備更加安全更加穩(wěn)定。
六、總結(jié):
其實無線網(wǎng)絡(luò)的安全防范措施還有很多,例如不用無線設(shè)備時關(guān)掉其電源或設(shè)置一個定時開關(guān)在設(shè)定時間里關(guān)閉無線功能,盡量用有線網(wǎng)代替無線網(wǎng)絡(luò)等。
上面僅僅介紹的最基本的五個措施,不過只要你按照本篇文章介紹的方法進行設(shè)置,已經(jīng)可以大大增加自己無線網(wǎng)絡(luò)的安全了,可以將大部分黑客入侵阻擋在無線網(wǎng)絡(luò)之外。
