無線網絡安全防護探索

當今計算機網絡覆蓋全球，在有線網絡廣泛應用的同時，組網靈活、方便快捷的無線網絡技術也在逐漸普及，現在不少單位、家庭也能自己組建小型的無線局域網。無線局域網(Wireless Local Area Networks；WLAN)是比較方便的數據傳輸系統，不需要傳統網線，用無線電波和紅外線技術進行信號傳輸，大大提升了信息交換的效率，為用戶帶來了更加方便快捷的網絡服務，但也存在著許多網絡安全的問題，并制約了無線網絡的發展。

一、無線網絡存在的安全問題

1.數據的泄露，如竊聽、截取甚至篡改

我們知道，無線信號通過空氣便能傳輸，正因為無線介質信號傳播的開放性特性，信號會被傳輸到一些意外到達的地方。加上很多無線網絡沒有使用加密功能，或者加密了但沒有關閉無線基站（Wireless Access Point）得廣播信息功能，一些非法用戶只要使用一個筆記本電腦或者安裝有無線網卡的計算機就很容易搜索到附近的無線信號。如果使用專門用來搜索無線網絡的軟件，如NetStumbler、AiroPeek等，就可以對無線信號進行監聽、截取，甚至進行其他非法的入侵操作。

2.網絡資源被竊取

有些用戶也許并沒有惡意，但就是喜歡從鄰近的無線網絡訪問互聯網，或者是想嘗試網上流傳較多的“無線蹭網”秘笈是否有效，使得合法用戶大量的網絡帶寬被占用，網絡性能嚴重受到影響。

3.用戶欠缺安全防范意識

一些家庭組建的無線網絡沒有采取安全措施，或者只采用了無線對等協議（Wired Equivalent Privacy，WEP）加密功能，這樣會給“蹭網”者或者黑客的入侵帶來極大的便利。也有一些單位既組建了有線網絡也組建了無線網絡，但因為對無線網絡不常使用或很少使用而忽視對其管理。這樣容易與有線網絡脫節，既不能充分發揮無線網絡的作用，也會引起整個網絡的安全隱患。

二、無線網絡的安全防護

1.修改用戶名及密碼

當我們購買了無線路由器后，可以通過制造商提供的頁面管理工具設置該設備的網絡地址、用戶名、密碼等。因為，這些設備出廠時的默認信息都是一樣或者類似的，甚至不同廠家的默認信息也有相同的情況。筆者曾用過T-LINK、D-LINK、騰達無線路由器，它們由不同廠家生產，但默認用戶名都是admin或者是adminstrer，密碼同上或者是沒有密碼。如果沒有修改這些默認信息，無疑是給了黑客可乘之機，他們只要通過簡單的掃描工具就能找出這些設備的地址，并嘗試用默認的用戶名和密碼去登陸管理頁面，如果成功就會取得該路由器的控制權。

2.隱藏服務標識符

修改了用戶名與密碼后，登陸管理頁面我們便可以設置隱藏服務標識符（Service Set Identifier；SSID）。SSID用來區分不同的網絡，就像人的姓名一樣。無線終端接入無線網路時必須提供匹配的SSID，否則不能接入。一般來說，無線路由器會廣播SSID，接入終端可以通過掃描獲知附近存在哪些可用的無線網絡。現在的無線網卡基本上都有自動掃描功能，將能聯系到的所有無線網絡SSID羅列出來。所以，我們可以設置隱藏SSID，并將SSID名字修改成一串難以猜解的長字符串。這樣，由于SSID被隱藏起來了，接入端通過系統自帶的掃描功能也難以搜索到這個實際存在的無線網絡，即便別人知道有一個無線網絡存在，但猜不出SSID全名也無法接入到這個網絡中去的。

3.過濾MAC地址

每一個網卡在出廠時都有一個唯一、固定的物理地址（MAC地址），就像每個人的身份證號碼一樣。無線路由器一般都有過濾MAC地址的功能，只要將可信任的MAC地址輸入到無線路由器的訪問控制表（Access Control）里，MAC地址不在控制表內的設備就會被拒絕。但這種方法只能對付黑客新手，因為MAC地址在傳輸時沒有經過加密，經驗豐富的黑客只要探測或監控網絡上傳輸的數據包，就可以知道授權計算機列表上有哪些MAC地址，他就可以為自己的計算機設定一個虛假MAC地址來欺騙路由器。要想網絡更加安全，還要進一步采取下面的方法。

4.設置WPA加密

無線路由一般有兩種加密方法：無線對等協議（Wired Equivalent Privacy，WEP）與無線保護接入（Wi-Fi Protected Access ，WPA），加密后可以拒絕沒有密鑰的人登錄到無線網絡上。而WEP的密鑰長度只有128位，固定不變，WPA有256位。在數據包傳輸過程中，WPA的密鑰不斷變化，而且在設置加密時還可以包含特殊字符與空格，所以入侵者想通過探測到的數據包來破解WPA密鑰，是有很大難度的。目前網絡上流行的所謂破解無線網絡密碼，指的僅只是WEP。筆者曾在網絡上搜索多次，目前還沒搜到關于破解WPA的有效方法。因此，目前WPA比WEP加密機制更加強大、更加安全，我們最好啟用WPA加密。

5.禁用DHCP與SNMP

默認情況下，無線路由器會給每一臺聯網的計算機分配一個隨機IP地址，用戶只需設置自動獲取IP地址即可。如果是家用無線網絡，由于人數不多，可以指定聯網計算機的IP地址，或者縮小能夠分配的IP地址范圍。假設網絡中的計算機使用了所有IP地址的話，入侵者就不能被分配到IP地址了。如果在使用人數較多的單位，最好是禁用DHCP（動態主機配置協議），這樣無論黑客如何利用訪問點，他至少要破譯TCP/IP參數、子網掩碼等信息。而對于SNMP（簡單網絡管理協議），要么禁用，要么改變系統默認的字符串。否則，黑客能利用它來獲得網絡的相關重要信息。以上五點，最好同時實現。筆者從2007年至今，都是在家里使用無線網絡并且按以上五點設置，暫時沒出現過無線網絡安全問題。

6.軟硬兼施

軟指的就是殺毒軟件，建議用戶在計算機上安裝正版的殺毒軟件或者軟件防火墻，最好選用能自動更新、掃描速度快并能清理通信程序附件的軟件。當然，基本上殺毒軟件都會占用計算機的內存。硬指的是路由器內置的硬件防火墻，現在許多路由器都有此項功能，利用自身的處理器進行端口過濾和加密任務。這樣基本上不會占用計算機的資源，給用戶更好的整體性能，用戶在選購路由器時，最好是選擇自帶這項功能的。

以上所談的僅是對無線網絡進行安全防護的基本措施，且并非萬全之策。任何的網絡安全技術都要人為發揮作用，所以最重要的還是用戶加強無線網絡的安全意識、管理意識，防范于未然。一旦發現異常，最好馬上斷網，并做好數據及重要信息的備份保護工作；需要時重新安裝操作系統，爭取將損失降到最低。

（作者單位：廣東省佛山市三水區技工學校）