現在，隨著“兩類無線路由MAC‘裸奔’易被蹭網”的新聞在網上熱傳，無線網絡的安全問題再次讓我們繃緊了神經。經驗證，前6位MAC地址是C83A35或00B00C的無線路由器，確實存在安全漏洞，只需使用一個特定軟件就可以直接獲得路由器的PIN(個人識別密碼)密鑰，這不得不引起廣大無線路由器用戶的重視。面對越來越多變的蹭網手段，無線路由器的PIN值正變得越來越脆弱，那么如何令我們的無線網絡更加安全穩定呢？下面就同大家分享一些必要的無線路由器設定知識吧。

　　建議用WPA2加密方式、復雜密碼

　　一些網絡新人可能還沒有認識到無線加密的重要性，在不加密的無線網絡中，不僅用戶的網絡資源會被侵占，無線體驗被干擾，而且個人的網絡信息也可能遭受泄露，因此一定要通過正確的無線加密才能保障網絡安全，維護自己的網絡權益。

　　那么我們常用的無線加密都有何種方式呢？一般分為如下三種：

　　首先是WEP加密，它是Wired Equivalent Privacy（有線等效保密）的英文縮寫。不了解的朋友，可能會將WEP誤以為是一個針對有線網絡的安全加密協議，但事實上該協議早在無線網絡的創建之初就已成型，它被定義為無線局域網必要的安全防護協議。目前常見的是64位WEP加密和128位WEP加密。

　　其次是WPA加密，它是WiFi Protected Access（WiFi保護訪問）的英文縮寫。WPA協議是一種保護無線網絡安全的系統，它包含兩種方式：Pre-shared密鑰和Radius密鑰，其加密特性決定了它比WEP更難以入侵。其中Pre-shared密鑰有兩種密碼方式：TKIP和AES，而RADIUS密鑰利用RADIUS服務器認證并可以動態選擇TKIP、AES、WEP方式。它產生于WEP加密，并解決了前任WEP的缺陷問題。它屬于IEEE 802.11i標準中的過度方案，但也是現在主流的無線加密方式。

　　再有就是WPA2，即WPA加密的升級版。它是WiFi聯盟驗證過的IEEE 802.11i標準的認證形式，WPA2實現了802.11i的強制性元素，特別是Michael算法被公認徹底安全的CCMP(計數器模式密碼塊鏈消息完整碼協議)訊息認證碼所取代、而RC4加密算法也被AES所取代。

　　對于目前的主流無線路由器，它們大都支持上述的多種加密方式，而其中，WPA2是目前被業界認為最安全的加密方式，建議個人用戶使用（雖然在2010年國外黑客高手已完成了對WPA2加密的破解，但對一般想蹭網的不法分子還不能具有破解該加密的能力）。用戶可選擇“WPA2-PSK [AES]”或“WPA-PSK [TKIP] + WPA2-PSK [AES]”模式加密，密碼越復雜越好。

建議用WPA2加密方式、復雜密碼

　　但還需考慮的是，想連入網絡的無線網卡或其它設備是不是能夠支持相同的加密方式，因為一些老款無線網卡可能不具有最新的加密方式，這時，建議用戶更換一款較新的網卡。

　　WPS加密省事不安全

　　對于現在多數的主流無線路由器來講，都已經配備了WPS一鍵加密功能，加密方式是變得簡單快捷，但隨著去年年底美國計算機應急準備小組(US-CERT) 安全研究員Stefan Viehbock所發現的安全漏洞，將會使WPS變得較為容易被暴力窮舉PIN的方法所破解。他稱利用該漏洞可以輕易地在2小時內破解WPS使用的PIN碼。隨后其他安全公司也證實了該漏洞的存在。那么，我們首先了解下什么是WPS一鍵加密吧。

　　WPS（Wi-Fi Protected Setup）是Wi-Fi保護設置的英文縮寫。WPS是由Wi-Fi聯盟組織實施的認證項目，主要致力于簡化無線局域網安裝及安全性能的配置工作。WPS并不是一項新增的安全性能，它只是使現有的安全技術更容易配置。

　　對于一般用戶，WPS提供了一個相當簡便的加密方法。通過該功能，不僅可將都具有WPS功能的Wi-Fi設備和無線路由器進行快速互聯，還會隨機產生一個八位數字的字符串作為個人識別號碼（PIN）進行加密操作。省去了客戶端需要連入無線網絡時，必須手動添加網絡名稱（SSID）及輸入冗長的無線加密密碼的繁瑣過程。

無線路由PIN碼連接

PIN碼認證過程

　　但現在發現的這個WPS安全漏洞，讓加密變得雖然省事可是卻不安全了。而且針對這個WPS漏洞，目前除了思科在官網上發出過警告外，尚未獲得來自其他方面給出的更好的解決方案。同時現在極少有無線路由器具備限制密碼出錯次數的功能，這就令使用WPS加密的路由設備暴露在黑客的破解攻擊下。

思科在官網上發出警告

　　當然用戶還是能夠通過及時地禁用WPS這項功能，來避免遭到攻擊或侵入，可是大多數人目前還沒意識到該漏洞的嚴重性而將之關閉。

　　在此，我們建議仍在使用WPS進行無線加密的朋友，在你的網絡密碼還沒被“蹭網”者覬覦或嘗試攻擊破解之前，馬上禁用WPS功能，并且使用較為安全的WPA2手動加密方式進行無線密碼設置，同時禁用UPnP（通用即插即用）功能，啟用MAC地址過濾功能，才能較為有效地保護你無線網絡的安全使用。

禁用SSID廣播 禁用DHCP功能

　　如果是個人家庭的無線網絡應用，我們建議在進行了無線加密的同時，還要禁用SSID廣播和禁用DHCP功能。這是為什么呢？

　　禁用SSID廣播

　　SSID是Service Set Identifier（網絡名稱ID）的英文縮寫。當我們在搜索無線網絡連接的時候，會看到一些無線網絡源的名稱，如下圖，這些就是SSID了，它們是不同的用戶給自己的無線網絡所取的名字，來作為用戶搜索無線網絡信號時標明身份的標識符。

紅框內都是搜索到的SSID

　　而一般無線路由器會默認將使用品牌名加上型號來作為SSID，這就為“蹭網”者提供了可乘之機，因此建議大家最好能將SSID改成較有個性的名字并將它隱藏起來。那么如何隱藏SSID呢？

禁用SSID廣播

　　我們只需在無線路由器的Web配置界面中，找到SSID廣播，并將其禁用，就能將自己的無線網絡隱藏了，在他人的搜索名單中，你的無線網絡名稱便不會被發現了。

　　禁用DHCP功能

　　DHCP是Dynamic Host Configuration Protocol（動態主機分配協議）的英文縮寫，是一個簡化主機IP地址分配管理的TCP/IP 標準協議，該功能會讓路由器自動給無線客戶端分配IP地址。而沒有IP地址的計算機即使將它連到網絡接口，它也無法連接到網絡上。

　　因此，我們只需要禁用DHCP功能，就能讓無線路由起不再自動給無線客戶端分配IP地址了。同時，建議修改無線路由器的默認IP地址，例如默認IP地址為：10.0.0.1，可改為192.168.10.1，以防被輕易猜到。

禁用DHCP功能

　　設置方法很簡單，找到“局域網IP設置”菜單，然后修改默認IP地址，并取消勾選“將路由器用作DHCP服務器”，最后點擊應用即可。

　　啟用MAC地址過濾很重要

　　MAC是Media Access Control（介質訪問控制)的英文縮寫，MAC地址是底層網絡來識別和尋找目標終端的標示，每個網卡或路由器都有一個唯一的MAC地址。這樣就可保證所有接入無線網絡的終端都有唯一的不同的MAC地址，而MAC地址過濾技術就有了理論上的可行性。

　　如何查看自己的MAC地址呢？我們只需在電腦菜單上依次單擊“開始”→“運行”→輸入“cmd”→回車，在出現的命令提示符界面中輸“ipconfig /all”→回車，就可以得到電腦客戶端的MAC地址了。

MAC地址

　　在這里我們通過設置“防火墻 - MAC訪問控制”，來啟用MAC訪問控制，然后鍵入上圖的電腦的MAC地址，其他未經允許的設備就無法連入無線路由器了。

使用MAC訪問控制，鍵入想接入MAC地址

　　MAC地址過濾的缺點

　　雖然MAC地址過濾可以阻止非信任的終端設備訪問，但在終端設備試圖連接路由之前，MAC地址過濾是不會識別出誰是可信任的或誰是非信任的，訪問終端設備仍都可以連接到路由器，只是在做進一步的訪問時，才會被禁止。而且它不能斷開客戶端與路由器的連接，這樣入侵者就可以探到通信，并從幀中公開的位置獲取合法的使用MAC地址。然后通過對無線信號進行監控，一旦授權信任的用戶沒有出現，入侵者就使用授權用戶的MAC地址來進行訪問。

　　由此可見，僅僅依靠MAC地址過濾是不夠的，我們必須啟用盡可能多方面的安全防護手段來保護我們的無線網絡。

　　總結：多重防護齊上陣

　　通過分析我們可以看到，單一的加密防護手段，能力都是有限的。建議如前面所說的禁用WPS功能，采用手動設置WPA2加密，禁用SSID廣播、DHCP功能和啟用MAC地址過濾等，從多角度全方位進行加密才是防止無線網絡被蹭的好方法。如果你的路由器MAC地址前6位是C83A35或者00B00C，則可以進行MAC訪問控制來綁定你的無線接入設備，最好再修改成新的MAC地址。還可以使用低功率無線路由器，因為無線覆蓋有個范圍，只有在范圍內，無線設備才會找到信號接入網絡。總的說，為了維護自身無線網絡的安全，建議大家要盡量多重防護齊上陣，將防護做到完善。
 

原文鏈接：http://techbbs.zol.com.cn/2/47_11894.html