構建安全家庭無線網絡

王燁宸

摘 要： 隨著無線通信技術的發展及無線通信設備價格的不斷下調，許多家庭通過組建無線網絡來訪問因特網已經成為目前家庭上網的常態。但在無線上網的背后存在著許多的網絡安全問題，特別對于缺乏網絡安全常識的家庭用戶來說，探討家庭無線網絡安全方案具有十分重要的意義。本文對當前家庭無線網絡可能存在的安全隱患進行了分析和研究，提出了相應的安全防范措施，以此來提高家庭無線上網的安全性。

【中圖分類號】 TP393 【文獻標識碼】 A【文章編號】 2236-1879（2017）20-0322-02

一、無線局域網概述

無線局域網（Wireless LocalArea Networks；WLAN）是利用無線射頻的技術，取代傳統的采用雙絞線為傳輸介質的有線網絡。它具有傳統局域網無法比擬的靈活性和移動性，無需重新布線，允許用戶在任何時間、任何地點，使用支持無線上網的筆記本、PAD、智能手機訪問Internet。無線局域網已經在家庭、學校、醫院和公司等不適合網絡布線的場合得到了廣泛的應用。目前大多數家庭使用無線AP或無線路由器組建無線局域網，采用IEEE802.11n標準協議，理論傳輸速度最高達到600Mbit/s。

二、家庭無線網絡存在的安全隱患

1、信號干擾。

目前家庭無線網絡使用的協議標準主要是IEEE 802.11g/n，這與家庭中使用的微波爐、藍牙、無繩電話工作于同一頻率2.4GHz，除此之外，還有來自于復印機、防盜裝置、等離子燈泡、附近無線AP或無線路由器等相近頻率信號的干擾，這會造成網絡不穩定，數據通訊掉包嚴重。

2、通過蹭網軟件非法接入，進而更改管理權限。

由于無線局域網的開放式訪問方式，非法用戶可以通過一些蹭網軟件（如WIFI鑰匙、WiFi助手等）未經授權而擅自使用網絡資源。很多家庭在搭建無線網絡后，并未修改無線AP或無線路由器等設備的默認出廠信息，如無線網絡的管理賬戶和Web頁面登陸地址，入侵者在搜索到附近的無線網絡信號后，只需嘗試使用常見的登陸用戶名、密碼（admin）和管理IP（192.168.X.1），就可以進入無線設備管理Web頁面。

3、地址欺騙和會話攔截（中間人攻擊）。

在無線環境中，非法用戶通過偵聽等手段獲得網絡中合法站點的MAC地址比有線環境中要容易得多，這些合法的MAC地址可以被用來進行惡意攻擊。由于IEEE802.11沒有對AP身份進行認證，非法用戶很容易裝扮成AP進入網絡，并進一步獲取合法用戶的鑒別身份信息，通過會話攔截實現網絡入侵。

4、通過專業設備監聽未加密的無線信號。

由于無線網絡信號借助于空氣介質傳播，任何無線網絡分析儀都可以不受阻礙地截獲未經加密的信息。

三、家庭無線網絡的安全策略

針對以上家庭無線網絡存在的安全隱患問題，必須對癥下藥，筆者建議從以下幾個方面著手解決：

1、為避免信號干擾，部署無線網絡時，要根據家庭的實際環境，盡量將根據無線AP或無線路由器安放在無線上網區域的中心位置，同時也要遠離微波爐、無繩電話、電視機等設備。

2、修改用戶名和密碼（不使用默認的用戶名和密碼）現在一般的家庭無線網絡都是通過一個無線路由器來訪問外部網絡。通常這些路由器設備制造商為了便于用戶設置這些設備建立起無線網絡，都提供了一個管理頁面工具。這個頁面工具可以用來設置該設備的網絡地址以及帳號等信息。為了保證只有設備擁有者才能使用這個管理頁面工具，該設備通常也設有登陸界面，只有輸入正確的用戶名和密碼的用戶才能進入管理頁面。然而在設備出售時，制造商給每一個型號的設備提供的默認用戶名和密碼都是一樣，不幸的是，很多家庭用戶購買這些設備回來之后，都不會去修改設備的默認的用戶名和密碼。這就使得黑客們有機可乘。他們只要通過簡單的掃描工具很容易就能找出這些設備的地址并嘗試用默認的用戶名和密碼去登陸管理頁面，如果成功則立即取得該路由器的控制權，所以，在構建家庭無線網絡時一定要修改無線AP或無線路由器出廠時的默認用戶名、口令和管理IP地址。

3、使用數據信號加密 。

所有的無線網絡都提供某些形式的加密。如果網絡中的數據都沒經過加密的話，黑客就可以通過一些數據包嗅探工具來抓包、分析并窺探到其中的隱私。開啟你的無線網絡加密，這樣即使你在無線網絡上傳輸的數據被截取了也沒辦法（或者是說沒那么容易）被解讀。目前，無線網絡中已經存在好幾種加密技術。通常我們選用能力最強的那種加密技術。此外要注意的是，如果你的網絡中同時存在多個無線網絡設備的話，這些設備的加密技術應該選取同一個。

4、修改默認的服務區標識符（SSID）及禁止SSID廣播。

無線客戶端必需設置與無線訪問點AP相同的SSID ，才能訪問AP；如果出示的SSID與AP的SSID不同，那么AP將拒絕它通過本服務區上網。利用SSID設置，可以很好地進行用戶群體分組，避免任意漫游帶來的安全和訪問性能的問題。可以通過修改默認的服務區標識符（SSID）及禁止SSID廣播來達到保密的目的。

5、設置MAC地址過濾 。

眾所周知，基本上每一個網絡接點設備都有一個獨一無二的標識稱之為物理地址或MAC地址，當然無線網絡設備也不例外。所有路由器/中繼器等路由設備都會跟蹤所有經過他們的數據包源MAC地址。通常，許多這類設備都提供對MAC地址的操作，這樣我們可以通過建立我們自己的準通過MAC地址列表，來防止非法設備（主機等）接入網絡。

6、禁用DHCP服務 。

由于DHCP服務越來越容易建立，很多家庭無線網絡都使用DHCP服務來為網絡中的客戶端動態分配IP。這導致了另外一個安全隱患，那就是接入網絡的攻擊端很容易就通過DHCP服務來得到一個合法的IP。然而在成員很固定的家庭網絡中，我們可以通過為網絡成員設備分配固定的IP地址，然后在路由器上設定允許接入設備IP地址列表，從而可以有效地防止非法入侵，保護你的網絡。

7、啟用防火墻。

為防止個人計算機受到非法使用者侵入，用戶電腦系統上一定要安裝網絡防火墻，實現內外網的隔離保護，根據記錄的可疑事件及時采取措施。

8、網絡訪問控制。

現在很多無線AP或無線路由器都提供了網絡訪問控制功能，根據家庭需要，可以對不安全的IP、URL、MAC進行訪問控制。

四、 結語

技術總是不斷更新快速發展，網絡攻擊手段也是不斷變化升級的，所以說絕對安全的網絡是不可能存在的，通過以上措施和手段只是對家庭無線上網用戶的安全起到一定的保障作用。家庭用戶還需加強學習，增強網絡安全意識，才能確保我們的家庭、社會更加和諧美好。

參考文獻

[1] 張銳.家庭無線局域網的組建與安全設置[J].科技致富向導，2016（14）

[2] 馬杰，董潔.校園無線網絡安全技術[J].電腦開發與應用，2016，25（6）

[3] 徐宏云.無線局域網的構建及其安全策略分析[J].江漢大學學報（自然科學版），2015，37（3）