保護企業(yè)無線網(wǎng)絡的八大要點

我們著迷于無線網(wǎng)絡提供的方便，卻往往忽視了它帶來的風險。許多路由器存在眾多的安全漏洞，結果你的數(shù)據(jù)暴露在野心勃勃的黑客及其他入侵者面前。而如果你開辦一家公司，面臨的危險還要大。為了讓你的無線網(wǎng)絡保持安全，不妨遵守下面這8項安全要點。

1. 更改默認密碼

如果你在設置路由器后沒有更改默認密碼，就趕緊更改默認密碼。所有網(wǎng)絡設備生產(chǎn)廠商的默認密碼已眾所周知，只要上網(wǎng)搜索一下，就能找到。想詳細了解無線網(wǎng)絡設置，請參閱go.pcworld.com/wifisetup。

2. 只使用WPA2加密

無線信號具有單向性，這勢必需要使用加密技術，防止鄰居或不懷好意的人窺視你在網(wǎng)上的活動。盡管仍有WEP加密這個選項（為了支持遺留系統(tǒng)），但還是要避免使用，因為它可以在短短幾分鐘內(nèi)被破解，應使用WPA2。WPA2采用了一種新的、基于先進加密標準（AES）的加密技術，較之WPA提高了安全性。其實沒有理由不使用WPA2：如今，印有無線商標的每臺無線路由器都支持WPA2，而過去幾年生產(chǎn)的每一臺無線設備和無線適配卡也同樣支持WPA2。

3. 使用復雜口令短語

盡管WPA2沒有已知的安全漏洞，但如果結合容易猜中的口令短語使用，仍然很容易遭到蠻力攻擊。只要使用專門的軟件，攻擊者可以對照龐大的詞典列表，輕而易舉地處理捕獲的無線數(shù)據(jù)包，就能找到匹配的口令短語。為了挫敗此類攻擊，應該使用含有至少25個字符的口令短語，這些字符包括混合使用的字母（大小寫）、數(shù)字和符號。

4. 避免常見的SSID名稱

一個平常的要點就是，別廣播你無線網(wǎng)絡的服務集標識符（SSID）。雖然隱藏SSID可以用來阻撓菜鳥企圖闖入網(wǎng)絡的行為，但面對稍微在行的黑客，這招毫無用處。

不過，不使用默認SSID或任何常見名稱（go.pcworld.com/ssidnames），卻是個好做法。由于黑客們已制作了預先計算好的密碼散列表（又叫彩虹表），以便迅速找到WPA口令短語。這種表對應于一個個SSID，所以使用不在這種表或列表上的SSID可以迫使攻擊者采用一種更費時的方法，無法享用隨時可以使用的彩虹表帶來的好處。

5. 禁用WPS

如果你的無線路由器支持無線受保護設置（WPS），就禁用它。WPS個人識別號碼（PIN）是打印在兼容WPS功能設備標簽上的8位數(shù)，這是一種對用戶友好的方法，它是為了讓用戶易于將新設備添加到網(wǎng)絡上而設計的。不過，這可能容易遭到蠻力攻擊，會不會中招要看廠商具體怎么實施WPS。

攻擊者可以借助自動化手段，在4?10小時之內(nèi)（go.pcworld.com/reaver）破解易受攻擊的設備PIN密碼，那樣攻擊者就可以找到你那秘密的口令短語，并對你的無線硬件進行改動。

6. 搭建無線網(wǎng)絡

親朋好友來訪時，要是不允許他們訪問你的無線網(wǎng)絡，這不太好。不過要是將靜態(tài)口令短語告訴每個人，安全性很差。而是應該另外搭建一個使用第二個SSID的無線網(wǎng)絡，越來越多的無線路由器支持這項功能。如果你為訪客另外搭建一個網(wǎng)絡，就可以定期更改口令短語，又不影響你自己的設備。訪客網(wǎng)絡不用時，你甚至可以索性禁用它。

7. 別提MAC地址過濾了

介質訪問控制（MAC）地址是一個獨特的標識符，硬編碼到一個個以太網(wǎng)端口和無線設備當中。不過，它的實際效果讓人懷疑，因為欺騙MAC地址再容易不過了。

考慮到配置不當引起的那種不便和麻煩，除非你明確知道自己在做什么，否則我們還是建議別使用MAC地址過濾這招。非要手動添加你購置的每一部平板電腦或智能手機，這無疑會降低工作效率。

8. 不允許從無線網(wǎng)絡獲得管理員訪問權

你也許無法將一個下定決心的黑客拒之門外，但更沒必要讓黑客輕松得逞。不允許從無線網(wǎng)絡獲得管理員訪問權，可以防止任何得逞的黑客對你無線路由器的配置進行改動，因而造成進一步的破壞。很顯然，這意味著如果想對你的無線路由器進行任何改動，必須從接入有線局域網(wǎng)的臺式機或筆記本電腦來進行改動。不過為了更有效的保護，這么點麻煩是值得的。

本文所列的幾個要點倒不是想完全涵蓋無線網(wǎng)絡可能存在的所有安全風險，但是遵守這8個要點應該有助于你大大提高安全性。不過最終，要是安全至關重要，堅持使用有線以太網(wǎng)也許是最穩(wěn)妥的辦法。