简要内容:最近越来越多家庭里都安装了无线由器。安装这个由器之后,大多数人对于由器安全的问题了解并不多。最基本要求:首先,由器的配置信息,除使用者之外的其他人不能改变这些配置信息;其次,任何未授权用户连接由器或者访问网络。 最近越来越多家庭里都安装了无线由器。安装这个由器之后,大多数人对于由器安全的问题了解并不多。最基本要求:首先,由器的配置信息,除使用者之外的其他人不能改变这些配置信息;其次,任何未授权用户连接由器或者访问网络。 像大多数人一样按照安装说明和安装向导架起了由器并做了初始化。按照安装向导,能够通过改变管理员口令来由器。不管怎样,尽管通过由器的配置软件设置一个管理员口令是一个好的开端,但它仅仅能提供一个基本的安全。所提出的两个要求中,仅仅是第一个。 192.168.1.1上不去如果你按照上述设置,无线网络保持大开状态,那么,你的无线由器范围内的任何人都可以通过你的网络访问互联网和你的家庭PC。如果你正处于这样的境地,那么你需要做一些事情。你只要按照下面的五个步骤就可以为你的家庭无线网络提供了。 如果你使用的由器没有提供这样的向导,你可以通过使用浏览器连接到由器来改变它。比如说,要连接到Linksys由器,在由器加电并且连接以太网网线之后,打开一个Web浏览器,在地址栏中键入192.168.1.1,使用缺省的用户ID和口令就可以登录到由器中,然后就可以更改缺省的口令。 所有的由器都绑定了一个由制造商提供的SSID,也就是服务设置识别码。SSID是由32位字母或者数字组合成的,包含了一个无线局域网的ID或名字。例如,Linksys由器的缺省SSID名字就是Linksys。缺省的SSID是众所周知并且公开发布的。因此,无线由器的制造商你更改缺省的SSID以便它是唯一的。此外,他们还尽可能的经常更改你的SSID,因为黑客们知道,为了加入一个无线网络,无线网络产品都首先周期性信标消息(beaconmessages),这些消息是不加密的,并且,这些消息包含了网络的信息,比如网络的SSID和访问网络的IP地址等。 同样的,一个由器它的由器SSID。你需要掉这个属性。尽管这样做并不能提供级别很高的(一些常用的工具,比如NetStumbler就能够探测隐藏的SSID),掉SSID能够为你增加一层措施。不过,如果你了SSID,可能会引起一些设备的使用不便,比如HPPalmtops,可能就不能连接网络或者经常断线。 由器制造商为每一个由器都设置了相同的IP地址。比方说Linksys由器的初始化IP地址为192.168.1.1。这些地址是公开的,众所周知的,这样,的用户如果知道了你所使用的由器的制造商和类型,他们就可以轻易地获取你的IP地址。因而,你应该把更改IP地址作为配置过程的一部分。我们继续以Linksys为例,你可以把缺省的IP地址192.168.1.1更改为192.168.10.1。尽管更改IP地址并不能由器,但它能够使偷听者不容易猜到IP地址。 DHCP在每一个由器上缺省状态也是激活的。DHCP提供客户机器的IP地址信息。通常,DHCP服务器分发2-254范围内的IP地址。所以,有253个客户机可以从你的由器得到IP地址。你在家里可能没有那么多的系统,所以,最好缩减DHCP的范围为你所期望你的网络中所包含机器的数量。根据我的经验,我设置我的由器处理的地址数量为我网络中机器的数量,在额外加上两个为来访的亲朋好友准备的地址。 由器缺省的配置是不包含加密的。因为加密能够给你的无线通讯提供安全,你必须激活它。不管怎样,在配置加密之前,你必须了解一些关于无线加密的情况和不同类型加密标准的程度,特别是WEP(等效加密)和WPA(WiFi访问)。 WEP是802.11标准中的一个可选加密方式。大多数的NIC和AP厂商都支持WEP,也是家庭无线网络安全中采用最普通的方式。然而,WEP有两方面的局限性。第一,普通用户很难记住它的长密钥。对这样的用户来讲,配置网络就是一个挑战。第二,WEP最严重的问题在于恶意用户能够使用一些免费的工具(比如AirSnort、WEPCrack)轻易地破译WEP加密的数据。通过在一个频繁使用的无线网络sniff大约5个小时(比如截取传输的数据包等),入侵者使用工具就可以确定WEP密钥并且能够访问网络。 WEP的漏洞是众所周知的。在2001年1月,UCBerkeley出版了关于WEP漏洞的,在同年3月,马里大学的计算机科学系三位教授发表了一篇叫做《Your802.11WirelessNetworkHasNoClothes》的论文,里面列出了WEP的漏洞。 WPA比起WEP来一个最大的提升就是附加了TKIP(临时密钥完整性协议),它能够使用加密的数据动态(比如每10,000个数据包)改变密钥。仅这一个改变就使WPA比WEP更安全。WPA的另一个优势就是它把passphrase作为密钥,这比WEP既长又复杂的密码更容易记忆和配置。图1显示了Linksys由器的passphrase密钥配置界面。 WPA仅仅是从2004年2月份才变成一种标准的。从那时起,必须支持WPA的设备才能通过认证,但是,旧的系统如果没有经过固件升级的话将不能支持WPA。如果你是在2004年2月以前购买的设备,你就需要升级你的固件才能够获得WPA支持。 每一个NIC都有一个惟一的MAC地址。你能够配置大多数的无线由器基于这些地址进行过滤。要显示XP下的包含MAC地址在内的IP配置信息(如图2所示),需要键入C:>ipconfig/all命令。当你知道了MAC地址后,你可以登录到由器,然后把MAC地址加入到过滤中。图3显示了如何将MAC地址加入到Linksys由器中。 在增加MAC地址之前,你必须首先激活MAC过滤。大多数的由器能够让你要么允许指定的特定PC访问网络,要么特定的PC访问网络。图4(图4)展示了Linksys由器允许列出的PC访问网络的配置。一般情况下,你不需要知道谁被访问,因此,最好使用仅允许特定客户访问选项。 就像紧锁你的房门和窗户使你家得到安全一样,你也必须紧锁你的无线网络以达到安全。通过改变你的由器缺省管理员密码、改变缺省的SSID和SSID、改变你的IP地址配置、设置你的由器使用加密,同时使用MAC地址过滤,你就能够容易地你的家庭无线网络,就像我的朋友所做的那样。尽管这样并不能疯狂的就想侵入你的系统的人,但它还是能够大多数恶意用户。 |
不良信息举报Q:2000617|Archiver|ROS软路由论坛 ROSABC.com 网络方案网络工程交流
GMT+8, 2024-11-1 23:37 , Processed in 0.030496 second(s), 15 queries .
Powered by Discuz! X3.4
Copyright © 2001-2021, Tencent Cloud.