IT運(yùn)維管理：確保無(wú)線網(wǎng)絡(luò)安全的四秘訣

確保無(wú)線網(wǎng)絡(luò)安全是每一個(gè)網(wǎng)絡(luò)管理員所負(fù)責(zé)的工作之一，大家都知道，對(duì)于IT專(zhuān)家來(lái)說(shuō)進(jìn)行無(wú)線網(wǎng)絡(luò)安全設(shè)置并不困難，但一般用戶(hù)碰到了黑客攻擊可真是犯了難，針對(duì)無(wú)線網(wǎng)絡(luò)安全問(wèn)題，本文從基礎(chǔ)普及。

一、注意AP登陸密碼

首先，要保證你的無(wú)線網(wǎng)絡(luò)安全就必需更改你的無(wú)線AP或無(wú)線寬帶路由器的默認(rèn)設(shè)置密碼。

很多無(wú)線AP或無(wú)線寬帶路由器的登陸用戶(hù)名和密碼默認(rèn)情況下都是“admin”或廠家英文名簡(jiǎn)稱(chēng)如“TP-LINK、SMC等等”，這樣任何一個(gè)用戶(hù)就可比較輕易的進(jìn)入您的無(wú)線AP或無(wú)線寬帶路由器進(jìn)行設(shè)置和資料更改，更利害的是對(duì)寬帶較了解的用戶(hù)還可獲得你寬帶密碼。所以，最好將默認(rèn)的登陸密碼改為你自己易記的密碼，以訪非法用戶(hù)輕易對(duì)你的無(wú)線AP或無(wú)線寬帶路由器進(jìn)行控制。

二、注意SSID設(shè)置

SSIDSSID全名ServiceSetIdentifier，譯為服務(wù)設(shè)置識(shí)別碼，是無(wú)線網(wǎng)絡(luò)最基本的身份認(rèn)證機(jī)制。其為一群無(wú)線區(qū)域網(wǎng)路裝置所共享的域名，舉凡無(wú)線網(wǎng)絡(luò)各個(gè)節(jié)點(diǎn)皆需設(shè)定相同的SSID才能相互傳輸。所以無(wú)線工作站必需出示正確的SSID，與無(wú)線AP或無(wú)線寬帶路由器的SSID相同，才能訪問(wèn)無(wú)線AP或無(wú)線寬帶路由器；如果出示的SSID與無(wú)線AP或無(wú)線寬帶路由器的SSID不同，那么無(wú)線AP或無(wú)線寬帶路由器將拒絕他通過(guò)本服務(wù)區(qū)上網(wǎng)。

因此SSID可以提供簡(jiǎn)單的口令認(rèn)證機(jī)制，從而實(shí)現(xiàn)一定的無(wú)線網(wǎng)絡(luò)安全。此外，SSID可用來(lái)區(qū)分不同的網(wǎng)絡(luò)，最多可以有32個(gè)字符。網(wǎng)卡設(shè)置了不同的SSID就可以進(jìn)入不同網(wǎng)絡(luò)，SSID通常由無(wú)線AP或無(wú)線寬帶路由器廣播出來(lái)，通過(guò)無(wú)線網(wǎng)卡或WindowsXP自帶的掃描功能都可以自動(dòng)找到當(dāng)前無(wú)線區(qū)域內(nèi)的SSID。

大家知道，要使無(wú)線網(wǎng)絡(luò)安全，一般可從訪問(wèn)控制和數(shù)據(jù)加密兩方面下手。其中訪問(wèn)控制保證敏感數(shù)據(jù)只能由授權(quán)用戶(hù)進(jìn)行訪問(wèn)，SSID就是這樣。在實(shí)際設(shè)置時(shí)，多數(shù)無(wú)線AP或無(wú)線寬帶路由器在出廠時(shí)都是默認(rèn)“允許廣播SSID”的，而要使無(wú)線局域網(wǎng)更安全，可進(jìn)入無(wú)線AP或無(wú)線寬帶路由器的配置頁(yè)面，將SSID設(shè)為“不廣播SSID”，這樣其它用戶(hù)要想自動(dòng)進(jìn)入你的這個(gè)無(wú)線局域網(wǎng)，就要手工輸入正確的“SSID”才能進(jìn)入網(wǎng)絡(luò)，這在一定程度上可保證局域網(wǎng)的無(wú)線網(wǎng)絡(luò)安全。

當(dāng)然，SSID控制也不是萬(wàn)能的，對(duì)于多用戶(hù)無(wú)線系統(tǒng)，特別是公用無(wú)線系統(tǒng)而言，其無(wú)線網(wǎng)絡(luò)安全性同樣難以完全保證，因?yàn)橛脩?hù)要自己配置客戶(hù)端系統(tǒng)，就使得SSID可以被很多人知道，這也就容易共享給不懷好意的非法用戶(hù)。有些無(wú)線網(wǎng)卡功能較強(qiáng)，具有查詢(xún)無(wú)線網(wǎng)絡(luò)上的SSID的功能，而且目前有些廠家的產(chǎn)品已支持ANY這種特殊的登陸方式，這樣，只要其電腦上的無(wú)線網(wǎng)卡處在無(wú)線AP或無(wú)線寬帶路由器的信號(hào)覆蓋范圍內(nèi)，其都會(huì)自動(dòng)連接到無(wú)線AP或無(wú)線寬帶路由器，這對(duì)SSID的無(wú)線網(wǎng)絡(luò)安全性是一種考驗(yàn)。

三、設(shè)置MAC過(guò)濾什么是MAC呢？

區(qū)別于IP地址，MAC（MediaAccessControl，介質(zhì)訪問(wèn)控制）地址是網(wǎng)卡的物理地址，是識(shí)別局域網(wǎng)電腦的標(biāo)識(shí)。其長(zhǎng)度為48位二進(jìn)制數(shù)，由12個(gè)00~0FFH的16進(jìn)制數(shù)組成，每個(gè)16進(jìn)制數(shù)之間用“-”隔開(kāi)，無(wú)論是有線網(wǎng)卡還是無(wú)線網(wǎng)卡其在全世界的MAC地址是唯一的，所以利用MAC地址和預(yù)設(shè)網(wǎng)絡(luò)ID來(lái)限制哪些網(wǎng)卡和接入點(diǎn)可以連入網(wǎng)絡(luò)，完全可確保無(wú)線網(wǎng)絡(luò)安全。對(duì)于那些非法的接收者來(lái)說(shuō)，截聽(tīng)無(wú)線局域網(wǎng)的信號(hào)是非常困難的，從而可以有效防止黑客和入侵者的攻擊。

利用MAC功能，大家可在無(wú)線局域網(wǎng)的每一個(gè)無(wú)線AP或無(wú)線寬帶路由器下設(shè)置一個(gè)適用于無(wú)線網(wǎng)卡許可接入的用戶(hù)的MAC地址清單，MAC地址不在清單中的用戶(hù)，無(wú)線AP或無(wú)線寬帶路由器將拒絕其接入請(qǐng)求。

當(dāng)然，這個(gè)地址是需要你一一手工錄入的。所以這種方式要求無(wú)線AP或無(wú)線寬帶路由器中的MAC地址列表必需隨時(shí)更新，擴(kuò)展能力差，因此只適合小型網(wǎng)絡(luò)規(guī)模。

另外，非法用戶(hù)利用網(wǎng)絡(luò)偵聽(tīng)手段有很容易竊取MAC地址。當(dāng)然，如果無(wú)線網(wǎng)中的無(wú)線AP或無(wú)線寬帶路由器數(shù)量太多，為了實(shí)現(xiàn)整個(gè)企業(yè)當(dāng)中所有無(wú)線AP或無(wú)線寬帶路由器統(tǒng)一的無(wú)線網(wǎng)卡MAC地址認(rèn)證，現(xiàn)在的無(wú)線AP或無(wú)線寬帶路由器也支持無(wú)線網(wǎng)卡MAC地址的集中Radius認(rèn)證。

四、設(shè)置WEP加密

要實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)安全光靠訪問(wèn)控制肯定不行，數(shù)據(jù)加密也必不可少，數(shù)據(jù)加密可保證發(fā)射的數(shù)據(jù)只能被所期望的用戶(hù)所接收和理解，目前常見(jiàn)的數(shù)據(jù)加密方法有WEP等。

WEP（WiredEquivalentPrivacy）加密技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù)，可滿足用戶(hù)較高層次的無(wú)線網(wǎng)絡(luò)安全需求。WEP使用了共享秘鑰RC4加密算法，密鑰長(zhǎng)度最初為40位（5個(gè)字符），后來(lái)增加到128位（13個(gè)字符），有些新設(shè)備可以支持152位加密。使用靜態(tài)WEP加密可以設(shè)置4個(gè)WEPKey，使用動(dòng)態(tài)（Dynamic）WEP加密時(shí)，WEPKey會(huì)隨時(shí)間變化而變化。

WEP加密采用靜態(tài)的保密密鑰，各WLAN終端使用相同的密鑰訪問(wèn)無(wú)線網(wǎng)絡(luò)。WEP也提供認(rèn)證功能，當(dāng)加密機(jī)制功能啟用，客戶(hù)端要嘗試連接上AP時(shí)，AP會(huì)發(fā)出一個(gè)ChallengePacket給客戶(hù)端，客戶(hù)端再利用共享密鑰將此值加密后送回存取點(diǎn)以進(jìn)行認(rèn)證比對(duì)，只有正確無(wú)誤，才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源。

需要提醒的是，不是所有的無(wú)線網(wǎng)卡都支持128位或以上加密方式WEPKEY，有的老無(wú)線網(wǎng)卡可能只支持40位方式的加密或64位方式的加密，還有的根本就不支持。所以在設(shè)置無(wú)線AP或無(wú)線寬帶路由器的WEP加密時(shí)還需要根據(jù)無(wú)線網(wǎng)卡的情況來(lái)設(shè)置加密位數(shù)。

總之，基于WEP的共享密鑰認(rèn)證的目的就是實(shí)現(xiàn)訪問(wèn)控制，然而其認(rèn)證信息易于偽造。但用戶(hù)的加密密鑰必須與AP的密鑰相同，并且一個(gè)服務(wù)區(qū)內(nèi)的所有用戶(hù)都共享同一把密鑰，由于同時(shí)更換密鑰的費(fèi)時(shí)與困難，所以密鑰通常很少更換，倘若一個(gè)用戶(hù)丟失密鑰，則會(huì)殃及到整個(gè)網(wǎng)絡(luò)。

此外，因?yàn)楣蚕砻荑€認(rèn)證是通過(guò)加密認(rèn)證質(zhì)詢(xún)文本來(lái)證明自己知曉共享密鑰，RC4算法存在弱點(diǎn)，如果攻擊者監(jiān)聽(tīng)到認(rèn)證應(yīng)答，則可以確定用于加密應(yīng)答的RC4密碼流。因此，通過(guò)監(jiān)聽(tīng)一次成功的認(rèn)證，攻擊者就可以偽造認(rèn)證。而啟動(dòng)共享密鑰認(rèn)證實(shí)際上降低了總體的無(wú)線網(wǎng)絡(luò)安全性，使猜中WEP密鑰更為容易。

總之，對(duì)于一般用戶(hù)而言，雖然SSID、MAC、WEP三種無(wú)線網(wǎng)絡(luò)安全設(shè)置都有其固有的缺點(diǎn)，但對(duì)于一般的家用或商用無(wú)線網(wǎng)絡(luò)用戶(hù)而言，通過(guò)上述三項(xiàng)無(wú)線網(wǎng)絡(luò)安全的設(shè)置，已能基本確保無(wú)線網(wǎng)絡(luò)的數(shù)據(jù)安全，所以，其實(shí)用性還是很大的。

【編輯推薦】

◆網(wǎng)管軟件專(zhuān)區(qū)

◆網(wǎng)絡(luò)管理者最易犯的十大低級(jí)錯(cuò)誤

◆網(wǎng)絡(luò)管理基礎(chǔ)知識(shí)：網(wǎng)路管理模式

◆學(xué)習(xí)高效網(wǎng)絡(luò)管理技巧三招五式

◆IT運(yùn)維管理專(zhuān)區(qū)