如何加密无线网络
近年来,无线网卡、无线ADSL路由器等无线网络产品迅速普及,越来越多的人采用无线上网的方式。特别是通过有线接入Internet,局域网采用无线方式组建的方式,由于它低廉的价格和较高的网速,受到使用者的普遍欢迎。但是,如果设置不当,那么我们就可能为别人上网买单!
无线上网面临入侵威胁
当我们在享受无线网络带来便捷的同时,无线路由(或无线AP)发射的信号越过门缝,穿过墙壁,覆盖了我们的左邻右舍。如果你邻居的电脑也装有无线网卡,那么,无线网被非法接入,邻居“搭便车”上网的风险就不期而至。
有人说,不用担心,我的无线网有安全防护措施,比如不广播SSID,起用WEP加密安全机制等等。然而,这些安全手段,在网上随处可得的黑客工具面前,根本就不堪一击。
例如著名的NetStumbler软件,运行后可以捕捉到覆盖本区域的所有无线信号,并列出SSID、使用频道、是否加密等重要参数。
而WinAirCrackPack工具包,就是专门用来破解WEP密码的。在收集了足够数量的数据帧后,以下的事情只要操作者简单地点几下鼠标,就能很轻松地得到你费尽心机设置的WEP密码。
巧设IP 防搭“顺风车”
那么,是不是就没有办法了呢?也不是。想一想平时配置有线网络时,连好网线后要做的事情?对,就是设置正确的IP地址。只有连接好网线,同时为路由器、主机都设置了正确的IP,才能正常上网。
别人破解了你的WEP密码,连接到你的无线路由,也仅仅是相当于连接好了网线,如果不能设置正确IP,同样不能上网。这样的话,即使破解了你的WEP密码,也是毫无意义的。
然而,很多人并没有意识到这一点,只是绞尽脑汁在密码设置上下功夫,无线路由的IP地址十有八九是192.168.1.1,子网掩码255.255.255.0,主机则设置为该网段的任一地址。有的更干脆,直接在无线路由上启用DHCP服务,为接入主机动态分配一个IP。动态分配方式就不用说了,而192.168.1.0往往是“不速之客”猜测的第一个网段。这样的设置,对侵入者来说,无疑是城门大开。
安全的IP设置方式,首先一定要禁用无线路由的DHCP服务,改用手工为主机设置IP。其次,根据上网主机数量,利用子网划分技术,在适合主机数量的网段中随意选择一个使用。不仅可以使用 192.168.1.0网段,其他的私有IP地址网段都可以用来划分子网。
例如,家庭上网只有1台主机,以192.168.1.0(255.255.255.0)网段为例划分子网,使用掩码255.255.255.252,得到可用的子网有62个,每个子网可用IP有2个。如使用第一个子网,那么,无线路由局域网口设置如下(图2)。
IP地址:192.168.1.5
子网掩码:255.255.255.252
主机局域网口设置如下:
IP地址:192.168.1.6
子网掩码:255.255.255.252
缺省网关:192.168.1.5
那么,这种情况的安全性可以说是“固若金汤”。即使对方通过其他途径知道你的IP设置也没用,因为整个网段可用IP地址只有2个,无线路由、主机各占一个,没有其他IP可用了。
如有2~5台主机上网,仍以192.168. 1.0(255.255.255.0)网段为例划分子网,使用掩码255.255.255.248,得到可用的子网有30个,每个子网可用IP有6个。如使用第一个子网(实际中可以随机挑选一个子网,以增加安全性),那么,无线路由局域网口设置如下:
IP地址:192.168.1.9
子网掩码:255.255.255.248
主机局域网口设置如下:
IP地址:192.168.1.10~14
子网掩码:255.255.255.248
缺省网关:192.168.1.9
这种情况下,如果对方破解了WEP密码(灵敏数据保密传输安全系统,为无线网络提供传输加密),还要同时猜测出你使用的网段掩码,无线路由地址等参数,同时网段内还要有剩余IP可用,才能成功连接。
得到这些参数仅靠猜测几乎是“不可完成任务”,但如果对方使用了其他包捕获工具,加上足够的耐心,有可能得到你使用的网段以及网段内的IP,此时如果有剩余IP,怎么办呢?
很简单,大部分的无线路由都有简单的防火墙功能,通过配置,可以禁止特定的IP访问。因此,可以通过配置访问控制列表,将网段内剩余的IP禁用,你邻居本事再大,总不至于跑到你家来更改你的路由配置吧^_^
总结
上面的方法,实际上避开物理层的接入问题,转而在网络层加强安全控制,不让非法接入者得到正确的IP地址,从而使得接入者即使成功接入,也变得毫无意义,除了枉费心机外,得不到任何好处也不能造成任何危害。
|