无线局域网的互通性,无线接入的共享性使得无线局域网安全问题凸显的尤为重要。无线局域网安全问题也是广大编者读者一直关注的重点。那么下面就再问大家强调一下它的内容。
究其原因,这与无线局域网先天设计有关,例如,我们知道目前流行的IEEE 802.11b和IEEE 802.11g标准使用了可以共享的2.5GHz工作频率,WEP加密技术的“薄弱”,易被拒绝服务(DoS)攻击和干扰等。
下面,让我们一起来了解常见的无线局域网安全问题以及相应的防范措施。
1.无线局域网安全问题
无线局域网中常见的安全问题主要有以下几种:
(1)2.5GHz惹的祸
目前,用于无线局域网的IEEE 802.11b以及IEEE 802.11g标准使用的都是2.5GHz的无线电波进行网络通信,没有使用授权的限制。而且通常IEEE 802.11b标准的无线产品覆盖范围在100~300米之间,还可以穿透墙壁。所以,任何人都可以通过一台安装了无线网卡的电脑在无线覆盖范围内进行监听,网络数据很容易被泄漏,特别是在公司内部很容易发生。
(2)WEP还不够强
虽然常见的IEEE 802.11b和IEEE 802.11g标准使用了WEP加密,但也是不安全的。因为,WEP一般采用40位(10个数字)的密钥,这样采用了WEP加密的无线网卡和无线AP之间的连接很容易被破解。更严重的安全隐患在于默认情况下通过Windows XP创建的无线网络连接以及无线路由器禁用WEP加密。
(3)拒绝服务攻击与干扰
在有线局域网中我们可以通过防火墙阻止DoS(拒绝服务)攻击,但是攻击者可以通过无线局域网绕过防火墙,对公司或其他网络实施攻击。另外,虽然无线局域网使用了扩频技术,但是恶意攻击者还可以通过干扰器来进行信号干扰,而且干扰源又不容易被查出来。
此外,还可以利用无线局域网认证技术的缺陷来进行地址欺骗、会话拦截等。
2.常见安全防范措施
针对使用无线局域网过程中遇到的各种常见安全问题,我们可以采取下面常见的安全防范措施:
(1)无线局域网安全第一步:改名,
SSID值作为无线AP或无线路由器区别其他同类设备的标识符,无线局域网内的用户只要知道该值,在没有设置密钥的情况下都可以顺利连接到该网络,这样很容易截获数据。所以在设置时,为了安全考虑尽量不要使用默认的SSID值,取个不容易被猜到的名字。同样是在上面提到的TP-LINK路由器中,可以在设置页面的“基本设置”中更改。
(2)加密你的无线网络
在无线局域网中,为了保证网络连接的安全性,通常可以采取WEP加密技术。目前,该加密技术一般可以提供64/128位长度的密钥机制,有的产品甚至支持256位的密钥机制。
要启用WEP加密功能,首先可以打开无线路由器的“基本设置”页面,默认情况WEP是处于禁用状态的。接着,在WEP处选择“开启”选项,点击“WEP密钥设置”按钮,在密钥设置页面中,可以创建64位或128位的密钥。例如,我们要创建一个64位的密钥,那么可以点击“创建”按钮来创建4个密钥,记下这些密钥,点击“应用”按钮。
提示:为了保证创建的密码更安全,还可以输入密码短语(由数字和字母组成)。在使用WEP密钥功能时,一定要保证无线网络中的所有计算机和网络设备使用相同的加密方法和密钥,否则无法接入。#p#
这样,在无线网络客户端如果不设置密钥就不能连接该无线网络,具体的设置方法如下:
例如,在Windows XP系统中,首先右键点击任务栏无线连接图标,选择“状态”命令打开无线网络连接状态对话框。接着,点击“属性”按钮,在出现的属性对话框中点击“无线网络配置”选项卡,在“首选网络”选项组中选择搜索到的无线网络连接,点击“属性”按钮,在打开的属性窗口中去掉“自动为我提供此密钥”选项,选中“数据加密(WEP启用)”选项,在“网络密钥”框中输入在无线路由器中创建的一个密钥。点击“确定”按钮即可,这样将自动连接到带有密钥的无线局域网。
(3)禁止SSID广播
为了方便无线局域网中的计算机容易搜索到无线网络,默认情况下无线路由器或无线AP都是启用SSID广播功能。通过该功能虽然可以方便网内用户搜索到指定的无线网络,但是在无线网络覆盖范围内的用户,都可以通过SSID广播来得到无线网络的SSID值,这样安全隐患大大增加。为此,我们可以打开无线路由器或无线AP,禁用SSID广播功能。
以TP-LINK无线路由器为例,要禁止SSID广播,可以打开“基本设置”页面,在“无线设置”选项组中的“SSID广播”选项中选择“禁止”,点击“应用”按钮即可。这样,无线网络覆盖范围内的用户都不能看到该网络的SSID值。
(4)启用IEEE 802.1x验证
IEEE 802.1x验证技术也可以用于无线局域网,以增强网络安全。比如当无线客户端与无线AP连接后,通过IEEE 802.1x验证技术就可以决定是否使用无线AP的服务,如果认证通过,无线AP会为用户打开开放服务的端口,否则将不允许用户上网。
在Windows XP中要为无线网卡启用IEEE 802.1x验证的方法很简单:首先,打开无线网络连接的属性对话框,点击“身份验证”选项卡,并选择“启用使用IEEE 802.1x的网络访问控制”选项,点击“确定”按钮即可。
(5)启用MAC过滤,过滤无线局域网安全隐患
因为无线局域网中的每台计算机都有惟一的物理地址,那么可以通过无线AP或无线路由器来建立MAC地址表,对连接到无线局域网的用户进行验证,以减少非法用户的接入。
打开无线路由器的设置页面,点击左侧窗口中的“无线设置”链接,之后会在右侧页面中可以看到“终端MAC过滤”选项,选择“允许”选项表示加入到MAC过滤列表中的计算机将不能访问Internet,选择“禁止”选项表示允许访问Internet。
为了添加过滤MAC地址,我们可以点击“有效MAC地址表”按钮来查看到无线局域网中的有效MAC地址表,包括客户主机名、IP地址、MAC地址等信息,为了保证安全性,点击“更新过滤列表”按钮,然后可以在打开的页面中选择无线MAC项组号,比如1~10,在终端(1~10)后的MAC地址中输入MAC地址,注意不要用“-”隔开,直接输入数字、字母即可,例如,0040F4A9FE16,并选中“过滤”选项,最后点击“应用”按钮即可加入到MAC过滤列表中,用同样的方法最多可以创建32个MAC过滤地址。
(6)启用SP2的防火墙功能
Windows XP SP2补丁包在无线网络方面提供了强大的支持,在改进了无线网络连接图标、状态窗口、设置窗口等的同时,还在“控制面板”中增加了“无线网络安装向导”。另外一个重要的改进就是安全性,通过“防火墙”功能可以保证无线网的安全。
首先,我们可以右键点击任务栏无线网络连接图标,选择“更改Windows防火墙设置”命令打开相应对话框,在“常规”选项卡中选择“启用”选项,这表示将阻止除“例外”选项卡中的程序和服务外,阻止其他程序和服务连接到计算机。
