无线局域网安全解析
学习时间:4小时
学习难度:
课前导读
无影:飘雪,无线局域网组建确实不复杂。不过你在前一章也说过,无线网络设备的信号是四散发射的,如果有黑客在周围接入局域网,将会对网络安全造成重大影响。那么,无线局域网安全方面,我们需要如何防范呢?
飘雪:无影,你能提出这些问题,看来你已经把前一章的内容完全消化了。在无线局域网环境中,对于黑客攻击的防范,主要是采用设置登录口令、数据加密以及限制硬件连接等方法,这也是本章我们要来学习的具体内容。
本章内容提要
9.1不能忽视!WLAN安全问题浅析
9.2防患于未然!WLAN安全技术实例解析
9.1不能忽视!WLAN安全问题浅析
本节知识点难易程度
WLAN安全问题
有线网络采用网线为传输载体,因此黑客在入侵网络时,需要确保入侵主机与攻击对象之间保持完整的链路连接。如果用户将主机网线拔掉,任凭再嚣张的黑客也无法进行攻击活动。
但是,对于使用无线设备的新潮用户,尤其是对时尚家庭用户而言,当大家陶醉在无线网络便利的时候,如果不注意安全防范,将为黑客打开另一扇攻击的大门,这就是接入型入侵。
从网络链路来看,无线局域网在接入无线宽带路由器/AP之前,其网络连接也是采用有线形式,因此有线网络的安全防范技术此刻同样适用。但是,在有线网络接入无线宽带路由器/AP之后,即开始使用公共频段电磁波作为载体来传输数字信号。在无线设备信号覆盖范围之内,只要有黑客通过无线终端连接至无线网络,并通过技术手段进行破解,便轻而易举地实施攻击,而且隐秘性更强。
因此,为了防范这些近距离、高破坏性的非法入侵,802.11组织指定了一系列无线网络安全标准加以应对。这些技术标准主要包括以下方面。
D服务区标识符(SSID)匹配:无线主机必须出示正确的SSID标识,与无线宽带路由器/AP的SSID标识相同,才能访问网络;如果出示的SSID标识与设备的SSID标识不同,那么网络将拒绝其加入。因此可以认为,SSID标识就是一个简单的安全口令。提供口令认证机制,可以实现一定的安全防范。在无线宽带路由器/AP上将“是否广播SSID标识”设置为“否”,这样终端就必须主动提供正确的SSID标识才能与网络设备进行连接。
D有线等效保密(WEP):有线等效保密(WEP)协议是由802.11标准定义的,用于在无线局域网中保护链路层数据。WEP使用40位钥匙,采用RSA开发的RC4对称加密算法,在链路层加密数据。WEP加密采用静态密钥,各WLAN终端使用相同的密钥访问无线网络。WEP也提供认证功能,当加密功能启用,客户端要尝试连接无线设备时,其会发出一个Challenge Packet给客户端,客户端再利用共享密钥将此值加密后送回存取点进行认证。如果正确无误,才能获准存取网络的资源。现在的WEP最高支持128位密钥,提供更高等级的安全加密。
什么是密钥:由于因特网本身的不安全性,为了确保安全,不仅要对口令进行加密,有时也对在网上传输的文件进行加密,这就产生了密钥技术。例如为了保证电子邮件的安全,人们采用了“数字签名”这样的加密技术,这就是一种密钥应用。
D无线网卡物理地址(MAC地址)过滤:每台电脑的无线网卡都有唯一的物理地址,该物理地址编码方式类似于有线网卡的物理地址,是48位。网络管理员可以在无线宽带路由器/AP中手工维护一组允许访问或不允许访问的MAC地址列表,以实现物理地址的访问过滤。
下一节中,我们将以无线宽带路由器组建的无线局域网安全设置为重点,通过实例操作详细为大家讲解无线网络的安全设置。
9.2防患于未然!WLAN安全技术实例解析
本节知识点难易程度
Ad-Hoc无线网络安全设置
为无线设备设置密码
对SSID进行加密
无线数据安全设置
无线网卡安全设置
实例1:Ad-Hoc结构网络安全设置
两三个朋友聚在一起玩游戏,如果电脑都装有无线网卡,采用Ad-Hoc结构组建无线局域网简单易行。Ad-Hoc结构中可以对数据传输进行加密,连接网络的用户只有提供正确的密钥才能加入网络。下面就以最常用的WEP加密为例,介绍一下Ad-Hoc结构的网络安全设置。
D步骤1:打开无线主网卡(虚拟AP)的“无线网络连接属性”对话框。
D步骤2:在虚拟AP的电脑上设置WEP加密。
至此,虚拟AP的加密设置已经完成。客户机要加入这个网络,必须输入正确的密钥才能通过。具体步骤是:打开“无线网络连接属性”对话框,切换到“无线网络配置”选项卡,单击“添加”按钮,在“网络名(SSID)”编辑框中输入“klyz”(实例中虚拟AP的SSID名称为klyz),单击“确定”按钮,此时“首选网络”列表框中就会出现对应的无线连接。单击“确定”按钮保存设置,无线连接图标会变成,表示已正确找到无线网络。
这样,Ad-Hoc结构的无线网络就加密完成了。需要注意的是,为Ad-Hoc无线网络进行WEP加密需要占用一定的网卡性能和带宽,不过网络安全性得到了大幅提升,总体权衡还是利大于弊。
实例2:为无线设备设置密码
对于大多数无线网络设备如无线宽带路由器来说,出厂时的默认管理密码基本上大同小异(甚至无密码)。因此如果不更改这个密码,其他人就能轻而易举地使用默认用户名和密码登录到无线网络设备上,获得整个网络的管理权。最后,你可能会发现自己都不能够登录自己的WLAN了,所以这个密码一定要修改(或设置),否则就等于自家大门永远向小偷敞开。
下面以TP-LINK的TL-WR541G无线宽带路由器为例,来介绍如何为无线设备设置密码。
D步骤1:打开电脑的IE浏览器,输入TP-LINK TL-WR541G宽带路由器管理地址“192.168.1.1”。然后输入默认用户名“admin”,默认密码“admin”,单击“确定”按钮登录。
D步骤2:进入路由器管理界面后,单击左边的“系统工具”,然后单击“修改登录口令”。在“修改登录口令”处输入原用户名“admin”,原口令“admin”,然后在“新用户名”、“新口令”和“确认新口令”处输入新的数据,最后单击“保存”按钮。
以后再通过路由器进行管理时输入新的用户名和密码登录即可,这个信息只有管理员一人知道,其他用户是无法猜测到的。
小提示:如果你已经发现自己的无线设备被其他人加了锁,自己无法正常登录的话,我们还有另外一招,那就是恢复出厂设置(具体方法可参照设备说明书),通过它我们可以重新获得控制权,只是网络参数需要重新进行设置。一般按无线设备上的reset按钮即可完成恢复工作。
实例3:对SSID进行加密
SSID是无线网络使用的名字,它起到标识的作用。在实际使用中,如果你的邻居也安装了无线网络,那么你们的网络就有可能互相冲突,您的电脑有可能会(某些路由器默认SSID相同,在连接列表中无法进行区分)去连接不属于自己的无线宽带路由器,导致网络无法联通。这就是由于用户没有更改默认SSID名称造成的。这里列举一些常见厂商的默认SSID名称。