|
||||
最近越來越多家庭裡都安裝了無線路由器。安裝這個路由器之後,大多數人對於路由器安全的問題了解並不多。最基本要求:首先,保護路由器的配置信息,除使用者之外的其他人不能改變這些配置信息;其次,阻止任何未授權用戶連接路由器或者訪問網絡。
像大多數人一樣按照安裝說明和安裝向導架起了路由器並做了初始化。按照安裝向導,能夠通過改變管理員口令來保護路由器。不管怎樣,盡管通過路由器的配置軟件設置一個管理員口令是一個好的開端,但它僅僅能提供一個基本的安全保護。上面所提出的兩個要求中,僅僅是第一個。
如果你按照上述設置,無線網絡保持大開狀態,那麼,你的無線路由器范圍內的任何人都可以通過你的網絡訪問互聯網和你的家庭PC。如果你正處於這樣的境地,那麼你需要做一些事情。你只要按照下面的五個步驟就可以為你的家庭無線網絡提供保護了。
步驟1:改變路由器的缺省管理員口令
基本上所有的路由器都提供一個缺省的用戶ID和口令。因為這個口令是眾所周知的,你必須更改這個缺省的口令。你可以通過運行路由器安裝和配置向導來更改它,這個操作很簡單。
如果你使用的路由器沒有提供這樣的向導,你可以通過使用瀏覽器連接到路由器來改變它。比如說,要連接到Linksys路由器,在路由器加電並且連接以太網網線之後,打開一個Web瀏覽器,在地址欄中鍵入192.168.1.1,使用缺省的用戶ID和口令就可以登錄到路由器中,然後就可以更改缺省的口令。
步驟2:改變缺省的SSID,禁止SSID廣播
所有的路由器都綁定了一個由制造商提供的SSID,也就是服務設置識別碼。SSID是由32位字母或者數字組合成的,包含了一個無線局域網的ID或名字。例如,Linksys路由器的缺省SSID名字就是Linksys。缺省的SSID是眾所周知並且公開發布的。因此,無線路由器的制造商建議你更改缺省的SSID以便它是唯一的。此外,他們還建議盡可能的經常更改你的SSID,因為黑客們知道,為了加入一個無線網絡,無線網絡產品都首先監聽周期性廣播信標消息(beacon messages),這些消息是不加密的,並且,這些消息包含了網絡的信息,比如網絡的SSID和訪問網絡的IP地址等。
同樣的,一個路由器廣播它的路由器SSID。你需要禁止掉這個屬性。盡管這樣做並不能提供級別很高的保護(一些常用的工具,比如NetStumbler 就能夠探測隱藏的SSID),禁止掉SSID廣播能夠為你增加一層保護措施。不過,如果你禁止了SSID廣播,可能會引起一些設備的使用不便,比如HP Palmtops,可能就不能連接網絡或者經常斷線。
步驟3:更改IP地址設置
路由器制造商為每一個路由器都設置了相同的IP地址。比方說Linksys路由器的初始化IP地址為192.168.1.1。這些地址是公開的,眾所周知的,這樣,不懷好意的用戶如果知道了你所使用的路由器的制造商和類型,他們就可以輕易地獲取你的IP地址。因而,你應該把更改IP地址作為配置過程的一部分。我們繼續以Linksys為例,你可以把缺省的IP地址192.168.1.1更改為192.168.10.1。盡管更改IP地址並不能保護路由器,但它能夠使偷聽者不容易猜到IP地址。
DHCP在每一個路由器上缺省狀態也是激活的。DHCP提供客戶機器的IP地址信息。通常, DHCP服務器分發2-254范圍內的IP地址。所以,有253個客戶機可以從你的路由器得到IP地址。你在家裡可能沒有那麼多的系統,所以,最好縮減 DHCP的范圍為你所期望你的網絡中所包含機器的數量。根據我的經驗,我設置我的路由器處理的地址數量為我網絡中機器的數量,在額外加上兩個為來訪的親朋好友准備的地址。
步驟4:配置你的路由器啟用加密
路由器缺省的配置是不包含加密的。因為加密能夠給你的無線通訊提供安全保護,你必須激活它。不管怎樣,在配置加密之前,你必須了解一些關於無線加密的情況和不同類型加密標准的保護程度,特別是WEP(有線等效加密)和WPA(WiFi保護訪問)。
WEP是802.11標准中的一個可選加密方式。大多數的NIC和AP廠商都支持WEP,也是家庭無線網絡安全中采用最普通的方式。然而,WEP有兩方面的局限性。第一,普通用戶很難記住它的長密鑰。對這樣的用戶來講,配置網絡就是一個挑戰。第二,WEP最嚴重的問題在於惡意用戶能夠使用一些免費的工具(比如AirSnort、WEPCrack)輕易地破譯WEP加密的數據。通過在一個頻繁使用的無線網絡sniff大約5個小時(比如截取傳輸的數據包等),入侵者使用工具就可以確定WEP密鑰並且能夠訪問網絡。
WEP的漏洞是眾所周知的。在2001年1月,UC Berkeley出版了關於WEP漏洞的白皮書,在同年3月,馬裡蘭州大學的計算機科學系三位教授發表了一篇叫做《Your 802.11 Wireless Network Has No Clothes》的論文,裡面列出了WEP的漏洞。
盡管WEP不是可使用的最安全的方法,那它也比不使用加密要好。家庭網絡不像公司網絡那樣使用繁忙,所以入侵者要想破譯WEP密鑰,就不得不花費比從公司網絡收集數據更多的時間來sniff家庭無線網絡。
WPA是繼承了WEP基本原理又解決了WEP缺點的一項新技術,是即將推出的802.11i標准的附屬標准,它將替代現行的WEP協議。WPA被設計用來使用802.1X認證。
WPA比起WEP來一個最大的提昇就是附加了TKIP(臨時密鑰完整性協議),它能夠使用加密的數據動態(比如每10,000個數據包)改變密鑰。僅這一個改變就使WPA比WEP更安全。WPA的另一個優勢就是它把pass phrase作為密鑰,這比WEP既長又復雜的密碼更容易記憶和配置。圖1顯示了Linksys路由器的pass phrase密鑰配置界面。
WPA僅僅是從2004年2月份纔變成一種標准的。從那時起,必須支持WPA的設備纔能通過認證,但是,舊的系統如果沒有經過固件昇級的話將不能支持WPA。如果你是在2004年2月以前購買的設備,你就需要昇級你的固件纔能夠獲得WPA支持。
對於舊的路由器除了必要的昇級外,客戶端的軟件昇級也是必要的。比如,如果你沒有安裝過Windows XP SP2,那麼你就不能下載安裝WPA的補丁。
步驟5:使用MAC地址過濾
每一個NIC都有一個惟一的MAC地址。你能夠配置大多數的無線路由器基於這些地址進行過濾。要顯示XP下的包含MAC地址在內的IP配置信息(如圖2 所示),需要鍵入C:\>ipconfig /all命令。當你知道了MAC地址後,你可以登錄到路由器,然後把MAC地址加入到過濾中。圖3顯示了如何將MAC地址加入到Linksys路由器中。
在增加MAC地址之前,你必須首先激活MAC過濾。大多數的路由器能夠讓你要麼允許指定的特定PC訪問網絡,要麼拒絕特定的PC訪問網絡。圖4(圖4)展示了Linksys路由器允許列出的PC訪問網絡的配置。一般情況下,你不需要知道誰被拒絕訪問,因此,最好使用僅允許特定客戶訪問選項。
過濾MAC地址也不是十分牢固的。入侵者能夠根據MAC地址過濾改變設備的MAC地址。但是不要忘了,黑客在行動之前必須知道你的網絡中設備的MAC地址。
就像鎖住你的房間一樣
就像緊鎖你的房門和窗戶使你家得到安全保護一樣,你也必須緊鎖你的無線網絡以達到安全。通過改變你的路由器缺省管理員密碼、改變缺省的SSID和禁止 SSID廣播、改變你的IP地址配置、設置你的路由器使用加密,同時使用MAC地址過濾,你就能夠容易地保護你的家庭無線網絡,就像我的朋友所做的那樣。盡管這樣並不能阻止瘋狂的就想侵入你的系統的人,但它還是能夠阻止大多數惡意用戶。
欲知更多詳情請登陸WWW.buynow.com.cn或親臨天津市南開區鞍山西道百腦匯3F-3E16席位,或電話諮詢:022-58697868。