淺談家用無線網(wǎng)絡(luò)安全攻略
淺談家用無線網(wǎng)絡(luò)安全攻略
歡迎來到學(xué)習(xí)啦,本文為大家介紹淺談家用無線網(wǎng)絡(luò)安全攻略,歡迎大家閱讀。
1. 修改用戶名和密碼(不使用默認(rèn)的用戶名和密碼)
一般的家庭無線網(wǎng)絡(luò)都是通過通過一個(gè)無線路由器或中繼器來訪問外部網(wǎng)絡(luò)。通常這些路由器或中繼器設(shè)備制造商為了便于用戶設(shè)置這些設(shè)備建立起無線網(wǎng)絡(luò),都提供了一個(gè)管理頁面工具。這個(gè)頁面工具可以用來設(shè)置該設(shè)備的網(wǎng)絡(luò)地址以及帳號(hào)等信息。為了保證只有設(shè)備擁有者才能使用這個(gè)管理頁面工具,該設(shè)備通常也設(shè)有登陸界面,只有輸入正確的用戶名和密碼的用戶才能進(jìn)入管理頁面。然而在設(shè)備出售時(shí),制造商給每一個(gè)型號(hào)的設(shè)備提供的默認(rèn)用戶名和密碼都是一樣,不幸的是,很多家庭用戶購買這些設(shè)備回來之后,都不會(huì)去修改設(shè)備的默認(rèn)的用戶名和密碼。這就使得黑客們有機(jī)可乘。他們只要通過簡單的掃描工具很容易就能找出這些設(shè)備的地址并嘗試用默認(rèn)的用戶名和密碼去登陸管理頁面,如果成功則立即取得該路由器/交換機(jī)的控制權(quán)。
2. 使用加密
所有的無線網(wǎng)絡(luò)都提供某些形式的加密。之前我跟大家提過,攻擊端電腦只要在無線路由器/中繼器的有效范圍內(nèi)的話,那么它很大機(jī)會(huì)訪問到該無線網(wǎng)絡(luò),一旦它能訪問該內(nèi)部網(wǎng)絡(luò)時(shí),該網(wǎng)絡(luò)中所有是傳輸?shù)臄?shù)據(jù)對(duì)他來說都是透明的。如果這些數(shù)據(jù)都沒經(jīng)過加密的話,黑客就可以通過一些數(shù)據(jù)包嗅探工具來抓包、分析并窺探到其中的隱私。開啟你的無線網(wǎng)絡(luò)加密,這樣即使你在無線網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)被截取了也沒辦法(或者是說沒那么容易)被解讀。目前,無線網(wǎng)絡(luò)中已經(jīng)存在好幾種加密技術(shù)。通常我們選用能力最強(qiáng)的那種加密技術(shù)。此外要注意的是,如果你的網(wǎng)絡(luò)中同時(shí)存在多個(gè)無線網(wǎng)絡(luò)設(shè)備的話,這些設(shè)備的加密技術(shù)應(yīng)該選取同一個(gè)。
3. 修改默認(rèn)的服務(wù)區(qū)標(biāo)識(shí)符(SSID)
通常每個(gè)無線網(wǎng)絡(luò)都有一個(gè)服務(wù)區(qū)標(biāo)識(shí)符(SSID),無線客戶端需要加入該網(wǎng)絡(luò)的時(shí)候需要有一個(gè)相同的SSID,否則將被“拒之門外”。通常路由器/中繼器設(shè)備制造商都在他們的產(chǎn)品中設(shè)了一個(gè)默認(rèn)的相同的SSID。例如linksys設(shè)備的SSID通常是“linksys”。如果一個(gè)網(wǎng)絡(luò),不為其指定一個(gè)SSID或者只使用默認(rèn)SSID的話,那么任何無線客戶端都可以進(jìn)入該網(wǎng)絡(luò)。無疑這為黑客的入侵網(wǎng)絡(luò)打開了方便之門。
4. 禁止SSID廣播
在無線網(wǎng)絡(luò)中,各路由設(shè)備有個(gè)很重要的功能,那就是服務(wù)區(qū)標(biāo)識(shí)符廣播,即SSID廣播。最初,這個(gè)功能主要是為那些無線網(wǎng)絡(luò)客戶端流動(dòng)量特別大的商業(yè)無線網(wǎng)絡(luò)而設(shè)計(jì)的。開啟了SSID廣播的無線網(wǎng)絡(luò),其路由設(shè)備會(huì)自動(dòng)向其有效范圍內(nèi)的無線網(wǎng)絡(luò)客戶端廣播自己的SSID號(hào),無線網(wǎng)絡(luò)客戶端接收到這個(gè)SSID號(hào)后,利用這個(gè)SSID號(hào)才可以使用這個(gè)網(wǎng)絡(luò)。但是,這個(gè)功能卻存在極大的安全隱患,就好象它自動(dòng)地為想進(jìn)入該網(wǎng)絡(luò)的黑客打開了門戶。在商業(yè)網(wǎng)絡(luò)里,由于為了滿足經(jīng)常變動(dòng)的無線網(wǎng)絡(luò)接入端,必定要犧牲安全性來開啟這項(xiàng)功能,但是作為家庭無線網(wǎng)絡(luò)來講,網(wǎng)絡(luò)成員相對(duì)固定,所以沒必要開啟這項(xiàng)功能。
5. 設(shè)置MAC地址過濾
眾所周知,基本上每一個(gè)網(wǎng)絡(luò)接點(diǎn)設(shè)備都有一個(gè)獨(dú)一無二的標(biāo)識(shí)稱之為物理地址或MAC地址,當(dāng)然無線網(wǎng)絡(luò)設(shè)備也不例外。所有路由器/中繼器等路由設(shè)備都會(huì)跟蹤所有經(jīng)過他們的數(shù)據(jù)包源MAC地址。通常,許多這類設(shè)備都提供對(duì)MAC地址的操作,這樣我們可以通過建立我們自己的準(zhǔn)通過MAC地址列表,來防止非法設(shè)備(主機(jī)等)接入網(wǎng)絡(luò)。但是值得一提的是,該方法并不是絕對(duì)的有效的,因?yàn)槲覀兒苋菀仔薷淖约弘娔X網(wǎng)卡的MAC地址,筆者就有一篇文章專門介紹如何修改MAC地址的。
6. 為你的網(wǎng)絡(luò)設(shè)備分配靜態(tài)IP
由于DHCP服務(wù)越來越容易建立,很多家庭無線網(wǎng)絡(luò)都使用DHCP服務(wù)來為網(wǎng)絡(luò)中的客戶端動(dòng)態(tài)分配IP。這導(dǎo)致了另外一個(gè)安全隱患,那就是接入網(wǎng)絡(luò)的攻擊端很容易就通過DHCP服務(wù)來得到一個(gè)合法的IP。然而在成員很固定的家庭網(wǎng)絡(luò)中,我們可以通過為網(wǎng)絡(luò)成員設(shè)備分配固定的IP地址,然后再再路由器上設(shè)定允許接入設(shè)備IP地址列表,從而可以有效地防止非法入侵,保護(hù)你的網(wǎng)絡(luò)。
7. 確定位置,隱藏好你的路由器或中繼器
大家都知道,無線網(wǎng)絡(luò)路由器或中繼器等設(shè)備,都是通過無線電波的形式傳播數(shù)據(jù),而且數(shù)據(jù)傳播都有一個(gè)有效的范圍。當(dāng)你的設(shè)備覆蓋范圍,遠(yuǎn)遠(yuǎn)超出你家的范圍之外的話,那么你就需要考慮一下你的網(wǎng)絡(luò)安全性了,因?yàn)檫@樣的話,黑客可能很容易再你家外登陸到你的家庭無線網(wǎng)絡(luò)。此外,如果你的鄰居也使用了無線網(wǎng)絡(luò),那么你還需要考慮一下你的路由器或中繼器的覆蓋范圍是否會(huì)與鄰居的相重疊,如果重疊的話就會(huì)引起沖突,影響你的網(wǎng)絡(luò)傳輸,一旦發(fā)生這種情況,你就需要為你的路由器或中繼器設(shè)置一個(gè)不同于鄰居網(wǎng)絡(luò)的頻段(也稱Channel)。根據(jù)你自己的家庭,選擇好合適有效范圍的路由器或中繼器,并選擇好其安放的位置,一般來講,安置再家庭最中間的位置是最合適的。