浅谈家用无线路由器的网络安全设置

今天晚上上网,发现网速竟是龟速。登陆路由器后面查看已连接设备,发现多了两台电脑链接,并且里面有一台电脑名称叫:“Lenovo”,我家里根本没有联想的机器,一定是邻居用卡王蹭我的网络了。这说明我家里的无线路由器的上网密码对方已知道。

马上做以下处理:“更改路由器登陆密码、禁用SSID广播 、密码使用128位加密强度、开启MAC地址过滤、关闭DHCP”,通过这些处理来增加家里的无线路由器的网络安全。

当在无线“基本设置”里面“安全认证类型”选择“自动选择”、“开放系统”、“共享密钥”这三项的时,使用的就是WEP加密技术,“自动选 择”是无线路由器可以和客户端自动协商成“开放系统”或者“共享密钥”。

在这三种加密技术中,WEP(Wireless Equivalent Privacy)是加密能力最弱的一种无线安全技术,不过,当前它的应用是最为广泛的,这应归功于它实用于几乎所有802.11的无线产品。针对 802.11b的产品,由于许多消费类的无线网络产品生产厂商已不提供从WEP升级到WPA的更新了,所以你就别无选择只能使用它了,并且其他现在还正在 生产的新产品如VoIP无线电话等就仅支持WEP,强制一些WLAN用户降低他们的安全要求以适应最低的公共安全等级。

其他的WPA(Wi-Fi Protected Access)或WPA2则可提供足够的无线安全,由于它们使用了更强壮的加密技术和经过改良的密钥管理技术。这两者之间的主要不同之处是WPA2支持更 强壮的AES(Advanced Encryption Standard)加密,但更使用用户糊涂的是,相比较于标准的WPA的TKIP加密技术,现在有许多允许选择AES加密的但标记为WPA的产品。

大部分的802.11g产品都支持WPA,但把老的产品升级为WPA2还有一个过程,甚至基于WPA2的802.11i标准在2004年6月才 被批准。

本人推荐使用WPA,因为它和WPA2一样有效,并且有更广泛的支持,至少我是这样认为的。然而,要使用WPA的话,可能需要你购买一些新的设 备了,特别是正在使用802.11b的WLAN中,不过标准的802.11g设备也不是很贵的,并能得到最佳的安全投资回报。

现在有的最新的无线路由器已经开始使用WPA2,它把加密密钥从24位升级到48位,复制一个密钥已经是不可能的事。这个安全模式的 Preshared密钥部分表示你给授权的用户设置一个密码,他们输入密码后,他们的设备处理其他的安全操作。笔者个人建议,密码可以用与你自己有关的短 语,并且最好在这个短语中有空格和标点符号,密码长度越长,别人猜的可能性越小。
AES加密算法是笔者个人的推荐,因为AES使用128位、192位和256位密钥,可以获得最好的安全性。有的无线路由器允许你选择密钥的长度,这个 LinkSys无线路由器没有,默认使用256位标准。TKIP不是一个加密算法,而是一个“密钥交换”协议。尽管它也非常安全,但是不如AES强壮,而 且会降低连接速度,因为它会给处理器带来额外负担。TKIP是一个基于软件的协议,而AES是基于硬件的。

许多消费级的AP仅仅支持“Personal”版本,也叫做WPA-PSK(Pre-Shared Key)。也有一些消费级的无线产品支持WPA2或WPA“Enterprise”(也就是通常所说的WPA“RADIUS”),不过如果没有实现它所必 需的附加RADIUS服务支持的话,这项功能也没什么大的用处的。

对许多个人的WLAN来说,使用WPA-PSK就可提供足够的安全保护了,不过所使用的密码必需足够长并且是没有什么具体含义的,不要使用数 字,或者来自字典中的单词,因为如同cowpatty之类的程序已经可完成对WPA-PSK的基于字典的攻击。许多安全方面的专家推荐使用128bit的 PSK,现在的许多WPA设备都支持字母与数字的PSK,也就是说,只需要16个字符就可达到专家的要求。

在因特网上有许多的密码产生器,我们可以通过Google来快速搜索到。例如有诸如小写字母、大写字母、数字、空格与定制这些的组合来产生密 码,甚至还可估计出要破解产生的这些密码大致需要多长的时间。

在这点的最后,我想提到的是现在有些生产厂商已开始出售这样的产品了,他们许诺在无线连接的安全保密方便可轻易地通过“一键设置”来未完成。 Buffalo Technology最先生产出来了基于他们的AOSS(AirStation One-Touch Secure Station)技术的第一款产品;Linksys最近也开始出售基于相似技术的产品了,不过这种技术是从Broadcom的 SecureEasySetup授权过来的。

当在无线“基本设置”里面“安全认证类型”选择“自动选择”、“开放系统”、“共享密钥”这三项的时,使用的就是WEP加密技术,“自动选择”是 无线路由器可以和客户端自动协商成“开放系统”或者“共享密钥”。

现在有的最新的无线路由器已经开始使用WPA2,它把加密密钥从24位升级到48位,复制一个密钥已经是不可能的事。这个安全模式的 Preshared密钥部分表示你给授权的用户设置一个密码,他们输入密码后,他们的设备处理其他的安全操作。笔者个人建议,密码可以用与你自己有关的短 语,并且最好在这个短语中有空格和标点符号,密码长度越长,别人猜的可能性越小。
AES加密算法是笔者个人的推荐,因为AES使用128位、192位和256位密钥,可以获得最好的安全性。有的无线路由器允许你选择密钥的长度,这个 LinkSys无线路由器没有,默认使用256位标准。TKIP不是一个加密算法,而是一个“密钥交换”协议。尽管它也非常安全,但是不如AES强壮,而 且会降低连接速度,因为它会给处理器带来额外负担。TKIP是一个基于软件的协议,而AES是基于硬件的。

3、面对拥有WEP/WPS-PSK破解技术的人

虽然WPA和WPA2解决了许多由WEP带来的难题,但它们依旧容易受到攻击,特别是关于PSK,许多人已可破解WEP密钥了。要破解WPA和 WPA2“Personal”的pre-shared key是比较困难的,并且在时间上的开销也是相当长在,特别是假如使用了AES加密编码的话更是困难。虽说如此,但它还是可能被破解。

WLAN安全技术概述

无线局域网(Wireless Local Area Network,WLAN)具有可移动性、安装简单、高灵活性和扩展能力,作为对传统有线网络的延伸,在许多特殊环境中得到了广泛的应用。随着无线数据网 络解决方案的不断推出,“不论您在任何时间、任何地点都可以轻松上网”这一目标被轻松实现了。
由于无线局域网采用公共的电磁波作为载体,任何人都有条件窃听或干扰信息,因此对越权存取和窃听的行为也更不容易防备。在2001年拉斯维加斯的黑客 会议上,安全专家就指出,无线网络将成为黑客攻击的另一块热土。一般黑客的工具盒包括一个带有无线网卡的微机和一片无线网络探测卡软件,被称为 Netstumbler(下载)。因此,我们在一开始应用无线网络时,就应该充分考虑其安全性。常见的无线网络安全技术有以下几种:

服务集标识符(SSID)

通过对多个无线接入点AP(Access Point)设置不同的SSID,并要求无线工作站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接入,并对资源访问的权限进行区别限 制。因此可以认为SSID是一个简单的口令,从而提供一定的安全,但如果配置AP向外广播其SSID,那么安全程度还将下降。由于一般情况下,用户自己配 置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。目前有的厂家支持”任何(ANY)”SSID方式,只要无线工作站在任何AP范围内, 客户端都会自动连接到AP,这将跳过SSID安全功能。

物理地址过滤(MAC)

由于每个无线工作站的网卡都有唯一的物理地址,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。这个方案要求AP 中的MAC地址列表必需随时更新,可扩展性差;而且MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。物理地址过滤属于硬件认证,而不是用户认 证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作;如果用户增加,则扩展能力很差,因此只适合于小型网络规模。

连线对等保密(WEP)

在链路层采用RC4对称加密技术,用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访 问。WEP提供了40位(有时也称为64位)和128位长度的密钥机制,但是它仍然存在许多缺陷,例如一个服务区内的所有用户都共享同一个密钥,一个用户 丢失钥匙将使整个网络不安全。而且40位的钥匙在今天很容易被破解;钥匙是静态的,要手工维护,扩展能力差。目前为了提高安全性,建议采用128位加密钥 匙。

Wi-Fi保护接入(WPA)

WPA(Wi-Fi Protected Access)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎 无法计算出通用密钥。其原理为根据通用密钥,配合表示电脑MAC地址和分组信息顺序号的编号,分别为每个分组信息生成不同的密钥。然后与WEP一样将此密 钥用于RC4加密处理。通过这种处理,所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据,要想破解出原始的通 用密钥几乎是不可能的。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能,WEP中此前倍受指责的缺点得以全部解决。WPA不仅是一 种比WEP更为强大的加密方法,而且有更为丰富的内涵。作为802.11i标准的子集,WPA包含了认证、加密和数据完整性校验三个组成部分,是一个完整 的安全性方案。
国家标准(WAPI)
WAPI(WLAN Authenticationand Privacy Infrastructure),即无线局域网鉴别与保密基础结构,它是针对IEEE802.11中WEP协议安全问题,在中国无线局域网国家标准 GB15629.11中提出的WLAN安全解决方案。同时本方案已由ISO/IEC授权的机构IEEE Registration Authority审查并获得认可。它的主要特点是采用基于公钥密码体系的证书机制,真正实现了移动终端(MT)与无线接入点(AP)间双向鉴别。用户只 要安装一张证书就可在覆盖WLAN的不同地区漫游,方便用户使用。与现有计费技术兼容的服务,可实现按时计费、按流量计费、包月等多种计费方式。AP设置 好证书后,无须再对后台的AAA服务器进行设置,安装、组网便捷,易于扩展,可满足家庭、企业、运营商等多种应用模式。

端口访问控制技术(802.1x)

该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于 802.1x的认证结果。如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户上网。802.1x要求无线工作站安装802.1x客户端软件, 无线访问点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。802.1x除提供端口访问控制能 力之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案。

无线局域网安全防范措施

1.采用端口访问技术(802.1x)进行控制,防止非授权的非法接入和访问。

2.采用128位WEP加密技术,并不使用产商自带的WEP密钥。

3.对于密度等级高的网络采用VPN进行连接。

4.对AP和网卡设置复杂的SSID,并根据需求确定是否需要漫游来确定是否需要MAC绑定。

5.禁止AP向外广播其SSID。

6.修改缺省的AP密码,Intel的AP的默认密码是Intel。

7.布置AP的时候要在公司办公区域以外进行检查,防止AP的覆盖范围超出办公区域(难度比较大),同时要让保安人员在公司附近进行巡查,防止 外部人员在公司附近接入网络。

8.禁止员工私自安装AP,通过便携机配置无线网卡和无线扫描软件可以进行扫描。

9.如果网卡支持修改属性需要密码功能,要开启该功能,防止网卡属性被修改。

10.配置设备检查非法进入公司的2.4G电磁波发生器,防止被干扰和DOS

11.制定无线网络管理规定,规定员工不得把网络设置信息告诉公司外部人员,禁止设置P2P的Ad hoc网络结构

12.跟踪无线网络技术,特别是安全技术(如802.11i对密钥管理进行了规定),对网络管理人员进行知识培训。

浅谈家用无线路由器的网络安全设置》上有3条评论

    1. 佐仔 文章作者

      改掉原来的名字还是没有用的。因为打开SSID广播,那你的网络就会让卡王扫描到,只要扫描到,那就可以给你破解。最好的就是更改原来的名字,再取消SSID的广播,这样你的无线路由就不会暴露,这样卡王就无法扫描到。所以最好还是按着我所说的方法,这样才是最好的保证。

      回复
  1. lifexp

    看佐仔的博真累,一是信息量大,二是引用的博也多,还得不停地打开新的选项卡,不过看着感觉是直的有内容,有内涵,有份量,爱看!谢谢!

    回复

发表评论

电子邮件地址不会被公开。 必填项已用*标注