實現(xiàn)無線上網(wǎng)安全的常用設(shè)置方法

海南省高級技工學(xué)校 翁啟文

【摘要】隨著筆記本電腦、平板電腦、智能手機(jī)D等電子設(shè)備的不斷普及，隨處可見標(biāo)語“內(nèi)設(shè)WIFI”，無線上網(wǎng)正式成為一種主流。無線上網(wǎng)既靈活又方便，還能擺脫物理連接的位置束縛，現(xiàn)在多數(shù)家庭臺式機(jī)都舍棄有線連接，增加無線網(wǎng)卡實現(xiàn)無線連接，但無線上網(wǎng)也有不足的地方就是容易被蹭用網(wǎng)絡(luò)，會影響速度及產(chǎn)生很多不安全因素。所以，有必要設(shè)置防范措施，讓無線上網(wǎng)實現(xiàn)安全可靠。

【關(guān)鍵詞】網(wǎng)絡(luò)無線；黑客；安全設(shè)置方法

1.使用動態(tài)加密類型

無線路由器具有多種類型的加密功能，不同類型的安全防范能力也不一樣。在實際使用無線網(wǎng)絡(luò)時，很多用戶加密意識薄弱，追求使用方便或是根本不知道有加密設(shè)置，沒有及時為無線網(wǎng)絡(luò)設(shè)置密碼。即使為無線網(wǎng)絡(luò)設(shè)置了密碼，大都選用的是安全防范能力一般的WEP靜態(tài)密碼，這種密碼很容易被黑客破解，因為惡意用戶只要收集到一定數(shù)量的封包，并采用反復(fù)推算的方法，就能輕易竊取無線網(wǎng)絡(luò)登錄密碼，現(xiàn)在網(wǎng)絡(luò)上隨處可見破解WEP密碼的方法及軟件。

為了防止黑客肆無忌憚的攻擊無線網(wǎng)絡(luò)，建議大家選用動態(tài)類型的登錄密碼，因為這類型密碼在無線上網(wǎng)的時候會動態(tài)變化，黑客往往很難從不斷變化的密碼中破解出數(shù)據(jù)傳輸內(nèi)容。動態(tài)類型密碼包括WPA密鑰、WPA2密鑰、WPA-PSK密鑰、WPA2-PSK密鑰等，其中WPA的密鑰位數(shù)達(dá)到128位、WPA2密鑰的位數(shù)包括128位、192位、256位等，而且這種加密類型還支持消息完整性檢查功能，該功能能有效防止黑客偽造數(shù)據(jù)傳輸包。

本文使用常見的TP-Link WR941N無線路由器作為操作藍(lán)本，其他無線路由器設(shè)置基本類似。在為無線網(wǎng)絡(luò)加密時，Z先以系統(tǒng)管理員身份登錄無線路由器WEB頁面，在【無線設(shè)置】功能中選擇【無線安全設(shè)置】選項，在該分支右側(cè)顯示區(qū)域中選擇【動態(tài)加密WPA-PSK/WPA2-PSK】選項，設(shè)置認(rèn)證類型、加密算法和填寫PSK密碼，如圖1所示，最后重啟無線路由器后即可實現(xiàn)使用密碼安全登錄。

圖1

圖2

2.縮小可用IP地址范圍

在進(jìn)行無線上網(wǎng)時，客戶端需要先從無線路由器服務(wù)端獲取有效IP地址，才能成功上網(wǎng)訪問。如果我們能根據(jù)實際需求縮小無線網(wǎng)絡(luò)的可用IP地址范圍，也能在一定程度上攔截惡意用戶的非法連接。

例如，某辦公室或家庭中只有3臺客戶端上網(wǎng)，那么只需要保留3個IP地址即可，當(dāng)每臺客戶端都上網(wǎng)時，其他人是不能訪問網(wǎng)絡(luò)的。登錄無線路由器WEB頁面，在【DHCP服務(wù)器】功能中選擇【DHCP服務(wù)】選項，在該分支右側(cè)顯示區(qū)域中選擇啟用【DHCP服務(wù)器】，填寫地址池開始和結(jié)束地址、地址租期、網(wǎng)關(guān)、主和備用DNS服務(wù)器，如圖2所示，最后點擊【保存】按鈕即可實現(xiàn)該功能。

3.隱藏?zé)o線網(wǎng)絡(luò)服務(wù)集標(biāo)識（SSID）

SSID是Service Set Identifier的縮寫，意思是服務(wù)集標(biāo)識。每個無線網(wǎng)絡(luò)都有一個SSID，黑客之所以能找到附近可用的無線網(wǎng)絡(luò)，主要是通過掃描SSID來達(dá)到目的的。而很多用戶平時都會使用無線路由器的默認(rèn)設(shè)置開啟SSID。若關(guān)閉開啟SSID功能，黑客就不容易發(fā)現(xiàn)本地?zé)o線網(wǎng)絡(luò)SSID，自然就談不上蹭用甚至是攻擊網(wǎng)絡(luò)了。設(shè)置方法是，登錄無線路由器WEB頁面，在【無線設(shè)置】功能中選擇【基本設(shè)置】選項，在該分支右側(cè)顯示區(qū)域，【開啟SSID廣播】選項默認(rèn)處于選中狀態(tài)，需要取消該選項的選中狀態(tài)，同時執(zhí)行設(shè)置保存操作，如圖3所示。

然而，通過字母和數(shù)字組成的SSID即使沒有設(shè)置“廣播”，入侵者通過bt3、bt4、網(wǎng)絡(luò)螞蟻等工具也可掃描到對應(yīng)的無線網(wǎng)絡(luò)并順利入侵。只有將SSID信息修改為中文才能徹底避免上述問題出現(xiàn)。市面上有一些設(shè)備完全支持中文SSID無線網(wǎng)絡(luò)設(shè)置，不過還有很多設(shè)備并不支持使用中文來命名SSID，遇到這種情況，可通過查閱相關(guān)書籍后進(jìn)行解決。究其原因，一方面是因為中文字符在這些軟件中會顯示亂碼；另一方面是因為很多入侵工具都是國外開發(fā)者開發(fā)的，對中文不支持、不兼容。

圖3

4.過濾陌生客戶端MAC地址

如果黑客攻擊水平很高，上述防范措施并不足以保護(hù)無線網(wǎng)絡(luò)安全?？梢酝ㄟ^過濾客戶端MAC地址的方法來阻止陌生客戶端訪問網(wǎng)絡(luò)。MAC（Medium/Media Access Control）地址，或稱為物理地址，用來表示互聯(lián)網(wǎng)上每一個站點的標(biāo)識符，采用十六進(jìn)制數(shù)表示，共六個字節(jié)（48位）。其中，前三個字節(jié)是由IEEE的注冊管理機(jī)構(gòu)RA負(fù)責(zé)給不同廠家分配的代碼（高位24位），也稱為“編制上唯一的標(biāo)識符”（Organizationally Unique Identifier），后三個字節(jié)（低位24位）由各廠家自行指派給生產(chǎn)的適配器接口，稱為擴(kuò)展標(biāo)識符（唯一性）。

圖4

圖5

所以，一個網(wǎng)卡設(shè)備通常會有一個全球唯一固定的MAC地址，將辦公室或家庭客戶端的網(wǎng)卡物理地址手工添加到無線路由器自帶的MAC地址過濾表中，這樣一來，日后只有客戶端系統(tǒng)的MAC地址與MAC地址過濾表中的內(nèi)容一致，才會被無線路由器識別為合法客戶端，才有權(quán)限接入無線網(wǎng)絡(luò)進(jìn)行上網(wǎng)訪問。而其他客戶端在連接無線路由器時，會被識別為非法連接，會被無線路由器攔截，不能上網(wǎng)訪問。設(shè)置方法是，登錄無線路由器WEB頁面，在【無線設(shè)置】功能中選擇【無線MAC地址過濾】選項，在該分支右側(cè)顯示區(qū)域開啟【MAC地址過濾功能】，【過濾規(guī)則】功能選中【禁止列表中生效規(guī)則之外的MAC地址訪問本無線網(wǎng)絡(luò)】，最后手工添加信任客戶端MAC地址到【添加新條目中】即可實現(xiàn)過濾訪問功能，如圖4所示。

5.開啟數(shù)據(jù)過濾封包

黑客想要成功破解無線網(wǎng)絡(luò)的訪問密碼，就必須向無線路由器發(fā)送大量的數(shù)據(jù)封包信息，并通過專業(yè)的數(shù)據(jù)傳輸分析工具探測有利于入侵網(wǎng)絡(luò)的有效信息。如果無線路由器開啟防火墻過濾封包功能，將黑客發(fā)向路由器的大量封包數(shù)據(jù)過濾掉，就可以阻止黑客破解訪問密碼。設(shè)置方法是，登錄無線路由器WEB頁面，在【安全功能】功能中選擇【高級安全設(shè)置】選項，在該分支右側(cè)顯示區(qū)域啟用【Dos攻擊防范】，有選擇地進(jìn)行相關(guān)過濾設(shè)置，最后執(zhí)行保存設(shè)置操作，如圖5所示。

參考文獻(xiàn)

[1]崔北亮著.CCNA學(xué)習(xí)與實驗指南（修訂版）[M].電子工業(yè)出版社，2012.

[2]張選波，王東編著.設(shè)備調(diào)試與網(wǎng)絡(luò)優(yōu)化（學(xué)習(xí)、實驗指南）[M].科學(xué)出版社，2009.

[3]思科系統(tǒng)公司譯.思科網(wǎng)絡(luò)技術(shù)學(xué)院教程：LAN交換和無線[M].人民郵電出版社，2009.

作者簡介：翁啟文（1980—），男，海南東方人，現(xiàn)供職于海南省高級技工學(xué)校計算機(jī)應(yīng)用系，研究方向：網(wǎng)絡(luò)技術(shù)。