構(gòu)建安全家庭無線網(wǎng)絡

王燁宸

摘 要： 隨著無線通信技術(shù)的發(fā)展及無線通信設備價格的不斷下調(diào)，許多家庭通過組建無線網(wǎng)絡來訪問因特網(wǎng)已經(jīng)成為目前家庭上網(wǎng)的常態(tài)。但在無線上網(wǎng)的背后存在著許多的網(wǎng)絡安全問題，特別對于缺乏網(wǎng)絡安全常識的家庭用戶來說，探討家庭無線網(wǎng)絡安全方案具有十分重要的意義。本文對當前家庭無線網(wǎng)絡可能存在的安全隱患進行了分析和研究，提出了相應的安全防范措施，以此來提高家庭無線上網(wǎng)的安全性。

【中圖分類號】 TP393 【文獻標識碼】 A【文章編號】 2236-1879（2017）20-0322-02

一、無線局域網(wǎng)概述

無線局域網(wǎng)（Wireless LocalArea Networks；WLAN）是利用無線射頻的技術(shù)，取代傳統(tǒng)的采用雙絞線為傳輸介質(zhì)的有線網(wǎng)絡。它具有傳統(tǒng)局域網(wǎng)無法比擬的靈活性和移動性，無需重新布線，允許用戶在任何時間、任何地點，使用支持無線上網(wǎng)的筆記本、PAD、智能手機訪問Internet。無線局域網(wǎng)已經(jīng)在家庭、學校、醫(yī)院和公司等不適合網(wǎng)絡布線的場合得到了廣泛的應用。目前大多數(shù)家庭使用無線AP或無線路由器組建無線局域網(wǎng)，采用IEEE802.11n標準協(xié)議，理論傳輸速度最高達到600Mbit/s。

二、家庭無線網(wǎng)絡存在的安全隱患

1、信號干擾。

目前家庭無線網(wǎng)絡使用的協(xié)議標準主要是IEEE 802.11g/n，這與家庭中使用的微波爐、藍牙、無繩電話工作于同一頻率2.4GHz，除此之外，還有來自于復印機、防盜裝置、等離子燈泡、附近無線AP或無線路由器等相近頻率信號的干擾，這會造成網(wǎng)絡不穩(wěn)定，數(shù)據(jù)通訊掉包嚴重。

2、通過蹭網(wǎng)軟件非法接入，進而更改管理權(quán)限。

由于無線局域網(wǎng)的開放式訪問方式，非法用戶可以通過一些蹭網(wǎng)軟件（如WIFI鑰匙、WiFi助手等）未經(jīng)授權(quán)而擅自使用網(wǎng)絡資源。很多家庭在搭建無線網(wǎng)絡后，并未修改無線AP或無線路由器等設備的默認出廠信息，如無線網(wǎng)絡的管理賬戶和Web頁面登陸地址，入侵者在搜索到附近的無線網(wǎng)絡信號后，只需嘗試使用常見的登陸用戶名、密碼（admin）和管理IP（192.168.X.1），就可以進入無線設備管理Web頁面。

3、地址欺騙和會話攔截（中間人攻擊）。

在無線環(huán)境中，非法用戶通過偵聽等手段獲得網(wǎng)絡中合法站點的MAC地址比有線環(huán)境中要容易得多，這些合法的MAC地址可以被用來進行惡意攻擊。由于IEEE802.11沒有對AP身份進行認證，非法用戶很容易裝扮成AP進入網(wǎng)絡，并進一步獲取合法用戶的鑒別身份信息，通過會話攔截實現(xiàn)網(wǎng)絡入侵。

4、通過專業(yè)設備監(jiān)聽未加密的無線信號。

由于無線網(wǎng)絡信號借助于空氣介質(zhì)傳播，任何無線網(wǎng)絡分析儀都可以不受阻礙地截獲未經(jīng)加密的信息。

三、家庭無線網(wǎng)絡的安全策略

針對以上家庭無線網(wǎng)絡存在的安全隱患問題，必須對癥下藥，筆者建議從以下幾個方面著手解決：

1、為避免信號干擾，部署無線網(wǎng)絡時，要根據(jù)家庭的實際環(huán)境，盡量將根據(jù)無線AP或無線路由器安放在無線上網(wǎng)區(qū)域的中心位置，同時也要遠離微波爐、無繩電話、電視機等設備。

2、修改用戶名和密碼（不使用默認的用戶名和密碼）現(xiàn)在一般的家庭無線網(wǎng)絡都是通過一個無線路由器來訪問外部網(wǎng)絡。通常這些路由器設備制造商為了便于用戶設置這些設備建立起無線網(wǎng)絡，都提供了一個管理頁面工具。這個頁面工具可以用來設置該設備的網(wǎng)絡地址以及帳號等信息。為了保證只有設備擁有者才能使用這個管理頁面工具，該設備通常也設有登陸界面，只有輸入正確的用戶名和密碼的用戶才能進入管理頁面。然而在設備出售時，制造商給每一個型號的設備提供的默認用戶名和密碼都是一樣，不幸的是，很多家庭用戶購買這些設備回來之后，都不會去修改設備的默認的用戶名和密碼。這就使得黑客們有機可乘。他們只要通過簡單的掃描工具很容易就能找出這些設備的地址并嘗試用默認的用戶名和密碼去登陸管理頁面，如果成功則立即取得該路由器的控制權(quán)，所以，在構(gòu)建家庭無線網(wǎng)絡時一定要修改無線AP或無線路由器出廠時的默認用戶名、口令和管理IP地址。

3、使用數(shù)據(jù)信號加密 。

所有的無線網(wǎng)絡都提供某些形式的加密。如果網(wǎng)絡中的數(shù)據(jù)都沒經(jīng)過加密的話，黑客就可以通過一些數(shù)據(jù)包嗅探工具來抓包、分析并窺探到其中的隱私。開啟你的無線網(wǎng)絡加密，這樣即使你在無線網(wǎng)絡上傳輸?shù)臄?shù)據(jù)被截取了也沒辦法（或者是說沒那么容易）被解讀。目前，無線網(wǎng)絡中已經(jīng)存在好幾種加密技術(shù)。通常我們選用能力最強的那種加密技術(shù)。此外要注意的是，如果你的網(wǎng)絡中同時存在多個無線網(wǎng)絡設備的話，這些設備的加密技術(shù)應該選取同一個。

4、修改默認的服務區(qū)標識符（SSID）及禁止SSID廣播。

無線客戶端必需設置與無線訪問點AP相同的SSID ，才能訪問AP；如果出示的SSID與AP的SSID不同，那么AP將拒絕它通過本服務區(qū)上網(wǎng)。利用SSID設置，可以很好地進行用戶群體分組，避免任意漫游帶來的安全和訪問性能的問題。可以通過修改默認的服務區(qū)標識符（SSID）及禁止SSID廣播來達到保密的目的。

5、設置MAC地址過濾 。

眾所周知，基本上每一個網(wǎng)絡接點設備都有一個獨一無二的標識稱之為物理地址或MAC地址，當然無線網(wǎng)絡設備也不例外。所有路由器/中繼器等路由設備都會跟蹤所有經(jīng)過他們的數(shù)據(jù)包源MAC地址。通常，許多這類設備都提供對MAC地址的操作，這樣我們可以通過建立我們自己的準通過MAC地址列表，來防止非法設備（主機等）接入網(wǎng)絡。

6、禁用DHCP服務 。

由于DHCP服務越來越容易建立，很多家庭無線網(wǎng)絡都使用DHCP服務來為網(wǎng)絡中的客戶端動態(tài)分配IP。這導致了另外一個安全隱患，那就是接入網(wǎng)絡的攻擊端很容易就通過DHCP服務來得到一個合法的IP。然而在成員很固定的家庭網(wǎng)絡中，我們可以通過為網(wǎng)絡成員設備分配固定的IP地址，然后在路由器上設定允許接入設備IP地址列表，從而可以有效地防止非法入侵，保護你的網(wǎng)絡。

7、啟用防火墻。

為防止個人計算機受到非法使用者侵入，用戶電腦系統(tǒng)上一定要安裝網(wǎng)絡防火墻，實現(xiàn)內(nèi)外網(wǎng)的隔離保護，根據(jù)記錄的可疑事件及時采取措施。

8、網(wǎng)絡訪問控制。

現(xiàn)在很多無線AP或無線路由器都提供了網(wǎng)絡訪問控制功能，根據(jù)家庭需要，可以對不安全的IP、URL、MAC進行訪問控制。

四、 結(jié)語

技術(shù)總是不斷更新快速發(fā)展，網(wǎng)絡攻擊手段也是不斷變化升級的，所以說絕對安全的網(wǎng)絡是不可能存在的，通過以上措施和手段只是對家庭無線上網(wǎng)用戶的安全起到一定的保障作用。家庭用戶還需加強學習，增強網(wǎng)絡安全意識，才能確保我們的家庭、社會更加和諧美好。

參考文獻

[1] 張銳.家庭無線局域網(wǎng)的組建與安全設置[J].科技致富向?qū)В?016（14）

[2] 馬杰，董潔.校園無線網(wǎng)絡安全技術(shù)[J].電腦開發(fā)與應用，2016，25（6）

[3] 徐宏云.無線局域網(wǎng)的構(gòu)建及其安全策略分析[J].江漢大學學報（自然科學版），2015，37（3）