咨询热线:400-000-3720 中文 | English
您现在的位置: 安腾软件 >> ITEN博客 >> 正文

千招百式 让无线局域网安全到底

  与有线局域网网络明显不同的是,无线局域网网络是通过微波进行传播信号的,这个东西摸不着、看不见,所以无线局域网的信号传输安全性让很多无线上网用户有点担心,其实我们只要熟悉了无线网络的信号传输机制,并能够有的放矢地使用一些安全防护办法,我们就一定能够让无线局域网安全工作到底。

  强化无线节点的管理密码

  我们知道,一旦无线局域网网络附近的非法用户搜索到本地无线节点后,他们常常会尝试登录到无线节点的后台管理界面中,去修改它的无线网络参数,要是它们猜中了密码后,那么本地的无线上网参数可能会被非法用户随意修改,从而导致本地无线局域网网络不能正常工作;更为严重的是,这些非法用户一旦更换了无线节点的后台管理密码时,连本地的网络管理员可能都无法进入到无线节点的后台界面,去管理维护无线上网设备了。

  由于目前很多无线节点设备在默认状态下设置的后台管理密码都比较简单,比方说将密码设置成“admin”、“0000”、“1234”或“aaaa”等等。要是我们不及时修改这些缺省的后台管理密码就把自己的无线节点设备接入到无线网络中的话,只要有非法用户利用专业工具得知本地的无线节点设备的生产厂家以及具体型号时,那么本地无线节点设备的管理密码无疑就已经被非法用户掌握了,此时本地无线网络的安全性就会受到严重威胁。有鉴于此,我们在将无线节点设备接入到无线网络中之前,必须参照具体的操作说明书,及时登录到该设备的后台管理界面,找到后台管理密码修改选项,并将缺省密码调整成一个非常强壮的密码,确保非法用户无法猜中无线节点的管理密码,从而保证本地无线局域网的工作安全性。

  禁止使用点对点工作模式

  一般来说,无线局域网中的普通工作站常常有两种基本的工作传输模式,一种模式就是基础架构模式,另外一种就是点对点工作模式。当无线局域网网络采用基础架构模式工作时,那么局域网中的所有无线工作站都需要通过一个无线路由器设备来进行信号处理;换句话说,无论我们是上网浏览网页内容,还是与相同局域网中的其他工作站进行共享传输交流,无线工作站的所有数据信号都需要经过无线路由器设备。大多数单位的无线局域网网络都属于这种类型的网络。

  如果无线局域网网络采用点对点模式工作时,那么无线局域网中工作站与工作站之间的相互通信能够直接进行,而不需借助一个无线路由器设备或其他无线节点设备。在一些特定的场合下,这种工作模式比较有利于工作站的快速网络访问,比方说要是我们想与局域网中其他工作站进行共享传输文件时,就可以选用点对点工作模式。不过比较麻烦的是,只要我们启用了点对点这种模式,那么本地无线网络附近的非法用户也能够在我们毫无知情的情况下偷偷访问本地网络中的重要隐私信息,这么一来本地无线局域网的工作安全性就会大大下降。

  为了有效避免本地网络中的隐私信息对外泄露,我们强烈建议大家取消使用点对点工作模式,除非在万不得已的情况下,再启用该工作模式,而且一旦完成工作站之间的信息交流任务之后,必须立即再禁用点对点工作模式。

  拒绝广播无线网络标识符

  为了方便无线局域网中的普通工作站能够快速地发现连接无线节点设备,每一个无线节点设备基本都有一个网络服务标识名称,这个名称信息一般被叫做无线节点的SSID标识符,普通工作站只有通过该标识符才能与无线节点设备建立正常的无线网络连接,要是不知道SSID标识符,那么普通工作站是无法加入到无线局域网中的。因此,要想阻止非法用户偷偷使用本地的无线网络,我们必须想办法不让非法用户知道本地无线局域网的SSID标识符信息。

  目前,市场上推出的许多无线节点设备出厂默认设置都是允许无线网络标识符广播的,一旦启用了该功能后,就相当于无线节点设备会自动向无线覆盖范围内的所有普通工作站发布本地的无线网络标识符名称信息。尽管启用SSID标识符广播功能让大家能够非常方便地加入到本地无线网络中,但是该功能同样也让一些非法用户可以轻松地寻找到本地的无线网络,如此一来本地无线网络的安全性就会受到影响。为了保护本地无线网络的安全,我们强烈建议大家关闭这个SSID标识符广播功能。

  当然,需要提醒各位注意的是,要是非法用户已经知道本地的无线网络SSID标识符时,即使我们日后拒绝无线路由器广播无线网络标识符信息,非法用户也能够偷偷加入到本地的无线网络中来,所以我们在为无线节点设备设置SSID名称信息时,尽量要将名称设置得复杂一些,切忌太脆弱、太简单,确保非法用户不容易猜中本地无线网络的SSID标识符名字。

  采用加密法保护无线信号

  除了上面的几种方法能够保护无线局域网的工作安全性外,还有一种比较有效的保护方法,那就是对无线传输信号进行加密,这种方法往往具有很高的安全防范效果。

  当前无线节点设备比较常用的加密方法包括两种,一种是WEP加密技术,另外一种就是WPA加密技术。其中WEP技术也叫对等保密技术,该技术一般在网络链路层进行RC4对称加密,无线上网用户的密钥内容一定要与无线节点的密钥内容完全相同,才能正确地访问到网络内容,这样就能有效避免非授权用户通过监听或其他攻击手段来偷偷访问本地无线网络。正常来说,WEP加密技术为我们普通用户提供了40位、128位甚至152位长度的几种密钥算法机制。一旦无线上网信号经过WEP加密后,本地无线网络附近的非法用户即使通过专业工具窃取到上网传输信号,他们也无法看到其中的具体内容,如此一来本地无线上网信号就不容易对外泄密了,那么无线局域网的数据发送安全性和接收安全性就会大大提高了。而且WEP加密的选用位数越高,非法用户破解无线上网信号的难度就越大,本地无线网络的安全系数也就越高。

  不过WEP加密技术也存在明显缺陷,比方说同一个无线局域网中的所有用户往往都共享使用相同的一个密钥,只有其中一个用户丢失了密钥,那么整个无线局域网网络都将变得不安全。而且考虑到WEP加密技术已经被发现存在明显安全缺陷,非法用户往往能够在有限的几个小时内就能将加密信号破解掉。

  因为WPA加密技术先天性不足,催生了另外一个更加安全的加密技术-WPA的出现,这种加密技术可以看作是WEP加密技术的增强产品,它比WEP加密技术更具安全性和保护性,这种加密技术包含TKIP加密方式和AES加密方式。

  在为无线节点设备设置加密密钥时,我们可以使用两种方式来进行,一种方式比较简单,另外一种方式则不那么简单。比较简单的方式就是我们可以使用无线节点设备中自带的密钥生成器来自动生成密钥,另外一种方式就是我们采用手工方法选择合适的加密密钥,比方说我们可以使用字母A-F和数字0-9的组合来混合设置加密密钥。

  要对无线上网信号进行加密时,我们可以先从普通无线工作站中运行IE浏览器程序,并在浏览窗口中输入无线节点设备默认的后台管理地址,之后正确输入管理员帐号名称以及密码,进入到该设备的后台管理页面,单击该页面中的“首页”选项卡,并在对应选项设置页面的左侧显示区域单击“无线网络”项目,在对应该项目的右侧列表区域,找到“安全方式”设置选项,并用鼠标单击该设置项旁边的下拉按钮,从弹出的下拉列表中我们可以看到无线节点设备一般能够同时支持“WEP”加密协议和“WPA”加密协议;

  选中 常用的“WEP”加密协议,之后选择好合适的身份验证方式,一般无线节点设备都为用户提供了共享密钥、自动选择以及开放系统这三个验证方式,为了有效保护无线网络传输信息的安全,我们应该在这里选用“共享密钥”验证方式。接着在“WEP密码”文本框中正确输入合适的无线网络访问密码,再单击对应设置页面中的“执行”按钮,以便保存好上面的设置操作, 后将无线节点设备重新启动一下,如此一来我们就在无线节点设备中成功地对本地无线网络进行了加密。