论坛风格切换
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 1712阅读
  • 0回复

让无线更安全 详解无线路由器安全设置 [复制链接]

上一主题 下一主题
离线黑白分明
 
发帖
*
今日发帖
最后登录
1970-01-01
只看楼主 倒序阅读 使用道具 楼主  发表于: 2008-06-08 09:24:08
与有线网络相比,无线网络让我们摆脱了线缆的束缚,给我们带来了极大的方便,同时我们也必须考虑到,如果不加设置,在一定覆盖范围内,无线网络是对任何人敞开大门的,一方面可能陌生人轻松进入自己的网内,使用了我们的带宽,一方面有可能造成信息泄漏。今天就和大家一起来看看无线路由器中的安全配置。
让我们从无线路由器说起,市场上有许多品牌的无线路由器,不同品牌无线路由器的登陆方式可能略有不同,这些在他们各自的说明书中都有说明,如果你丢失了说明书的话,你可以先在无线路由器的官方网站下载一个电子版的说明书。
OK,现在让我们来登陆到无线路由器上去。在本文中,笔者将以一个现在市面上用的比较多的LinkSys无线路由器为例子来看无线路由器的安全设置。
LinkSys无线路由器通过一个智能向导来设置帮助你的无线路由器,因此很多朋友设置完了后可能还不知道自己的IP地址是多少,更不知道无线路由器的IP地址是多少。这儿有一个简单的方法来获得这个信息。大家用的最多的应该是Windows操作系统,你可以打开一个命令行窗口(Dos窗口),然后输入ipconfig,一切你需要的信息就展现在你的眼前了。你看到的默认网关(Default Gateway)通常就是无线路由器的IP地址了,在笔者的这个例子中是“192.168.8.1”。默认网关是所有前往互联网的数据都要通过的地方。

ipconfig图
登录界面
找到默认网关地址后,打开一个web浏览器,然后在地址栏里输入这个地址。LinkSys路由器登陆界面会弹出一个窗口提示你输入用户名和密码。有的路由器的登陆界面是一个带有用户名和密码输入框的web页面。

登录界面图
注意:安全规则第一条:务必要修改无线路由器的默认密码,通常是admin或空密码。假如你不修改的话,我们下面所有说得这些安全设置可能都会白费力气。
假如这个路由器是刚从包装盒里取出来第一次使用的话,可能会有一个设置向导来帮助你设置它。由于本文的重点是安全设置,对此不做详细说明,我们假定该路由器已经设置完毕并且正在使用。
无线路由器安全模式设置界面
由于我们关注的是无线安全设置,所以让我们直接点击无线路由器配置界面中的无线(Wireless)标签,然后找到无线安全(Wireless 安全)设置选项。默认情况下安全模式一般处于禁止状态。点击下拉框,你将看到多个选项。当然,并不是所有的无线路由器的安全模式都和我们例子中的选项一致,有的选项可能多点,有的可能少点。下面笔者将和您一起来看一下这儿的四个选项。

无线安全设置图
WPA-Preshared密钥
WPA-Preshared密钥(WPS-PSK):WiFi Protected Access是保护您数据安全的一个非常安全的方法。通过它的加密,在你的无线路由器和你的无线网卡之间传输的数据的每一个数据包将被一个不同的钥匙打包封装。这意味着即使有人截获了你的数据的数据包,破解了加密字符串,也不能阅读数据的其他部分。因为同样的加密字符串重复的可能性很小。

WPA-Preshared密钥图
现在有的最新的无线路由器已经开始使用WPA2,它把加密密钥从24位升级到48位,复制一个密钥已经是不可能的事。这个安全模式的Preshared 密钥部分表示你给授权的用户设置一个密码,他们输入密码后,他们的设备处理其他的安全操作。笔者个人建议,密码可以用与你自己有关的短语,并且最好在这个短语中有空格和标点符号,密码长度越长,别人猜的可能性越小。
AES加密算法是笔者个人的推荐,因为AES使用128位、192位和256位密钥,可以获得最好的安全性。有的无线路由器允许你选择密钥的长度,这个LinkSys无线路由器没有,默认使用256位标准。TKIP不是一个加密算法,而是一个“密钥交换”协议。尽管它也非常安全,但是不如AES强壮,而且会降低连接速度,因为它会给处理器带来额外负担。TKIP是一个基于软件的协议,而AES是基于硬件的。
WPA-RADIUS
与WPA-PSK相同的是,它的密钥也随着数据包的不同而变化。区别是你现在需要一个Radius服务器。它允许你批准特定的设备才可以访问你的网络。当一个设备试图链接的时候,首先查看Radius服务器上保存的一个设备列表,如果发现该设备在这个清单中(通常是根据MAC地址来判断),然后这个设备就被允许访问网络,开始对数据进行WPA加密。这是迄今为止保护你的数据和网络的最安全的方法。不过,你需要以个Radius服务器,而且你要知道如何合理的配置它。由于操作的复杂度,目前只有在大的企业才会采用这种方法。

WPA-RADIUS图
RADIUS
RADIUS是个AAA协议,也就是通常所说的认证、授权和计费协议。它也是目前大多数ISP用来认证用户接入的协议。在无线安全方面,RADIUS典型的使用设备的MAC地址,有时候是用户名和密码组合来认证用户,给设备授权和对网络链接计费。由于其需要一台RADIUS服务器,因此一般应用于大单位。在笔者的这个LinkSys无线路由器中,选择RADIUS选项的时候,也可以选择WEP加密方法,你可以输入一个短语,然后让WEP密钥自动生成。不是所有的无线路由器有这个选项,如果没有的话就要手动生成密钥了。

RADIUS图
WEP
WEP有线等效加密(Wired Equivalent Privacy,WEP)是个保护无线网络(Wi-Fi)的资料安全体制。WEP 的设计是要提供和传统有线的局域网路相当的机密性,而依此命名的。
在笔者的这个LINKSYS无线路由器中,你可以让无线路由器根据你输入的短语自动生成密钥,你可以选择加密的位数64位或128位,对一般用户来说可以满足普通的安全需要了。这个协议的缺点是密钥从不改变,因此如果这个密钥泄漏的话,你的安全也就不复存在。
你必须小心的在每个要连接你网络的设备上输入这个加密密钥,安全起见,你要准确无误的输两遍。
尽管WEP存在好几个弱点,安全性要略微低一些,但是有总比没有强。

WEP图
无线MAC过滤
获得更大安全性的另一个方法是无线MAC过滤。大多数无线路由器都支持这个功能。每一个网络设备,不论是有线还是无线,都有一个唯一的标识叫做MAC地址(媒体访问控制地址)。这些地址一般表示在网络设备上,网卡的MAC地址可以用这个办法获得:打开命令行窗口,输入ipconfig/all,然后出现很多信息,其中物理地址(Physical Addresws)就是MAC地址。

ipconfig/all
第一步是首先启用无线MAC地址过滤功能,设置只允许(Permit only)选项,你需要编辑修改MAC过滤列表,把允许访问网络的机器的网卡的MAC地址添加到这个表中。即使您仅仅使用了这个安全设置,不使用其他WPA或WEP加密,你的安全性也可以得到很大保证。

MAC 过滤

MAC地址访问列表
除了无线路由器中的安全配置外,还有有些方法可以提高你的无线网络的安全性,如修改SSID,禁止SSID广播等,在本文中不做详细介绍。