IT運維管理：確保無線網(wǎng)絡安全的四秘訣

確保無線網(wǎng)絡安全是每一個網(wǎng)絡管理員所負責的工作之一，大家都知道，對于IT專家來說進行無線網(wǎng)絡安全設置并不困難，但一般用戶碰到了黑客攻擊可真是犯了難，針對無線網(wǎng)絡安全問題，本文從基礎普及。

一、注意AP登陸密碼

首先，要保證你的無線網(wǎng)絡安全就必需更改你的無線AP或無線寬帶路由器的默認設置密碼。

很多無線AP或無線寬帶路由器的登陸用戶名和密碼默認情況下都是“admin”或廠家英文名簡稱如“TP-LINK、SMC等等”，這樣任何一個用戶就可比較輕易的進入您的無線AP或無線寬帶路由器進行設置和資料更改，更利害的是對寬帶較了解的用戶還可獲得你寬帶密碼。所以，最好將默認的登陸密碼改為你自己易記的密碼，以訪非法用戶輕易對你的無線AP或無線寬帶路由器進行控制。

二、注意SSID設置

SSIDSSID全名ServiceSetIdentifier，譯為服務設置識別碼，是無線網(wǎng)絡最基本的身份認證機制。其為一群無線區(qū)域網(wǎng)路裝置所共享的域名，舉凡無線網(wǎng)絡各個節(jié)點皆需設定相同的SSID才能相互傳輸。所以無線工作站必需出示正確的SSID，與無線AP或無線寬帶路由器的SSID相同，才能訪問無線AP或無線寬帶路由器；如果出示的SSID與無線AP或無線寬帶路由器的SSID不同，那么無線AP或無線寬帶路由器將拒絕他通過本服務區(qū)上網(wǎng)。

因此SSID可以提供簡單的口令認證機制，從而實現(xiàn)一定的無線網(wǎng)絡安全。此外，SSID可用來區(qū)分不同的網(wǎng)絡，最多可以有32個字符。網(wǎng)卡設置了不同的SSID就可以進入不同網(wǎng)絡，SSID通常由無線AP或無線寬帶路由器廣播出來，通過無線網(wǎng)卡或WindowsXP自帶的掃描功能都可以自動找到當前無線區(qū)域內(nèi)的SSID。

大家知道，要使無線網(wǎng)絡安全，一般可從訪問控制和數(shù)據(jù)加密兩方面下手。其中訪問控制保證敏感數(shù)據(jù)只能由授權用戶進行訪問，SSID就是這樣。在實際設置時，多數(shù)無線AP或無線寬帶路由器在出廠時都是默認“允許廣播SSID”的，而要使無線局域網(wǎng)更安全，可進入無線AP或無線寬帶路由器的配置頁面，將SSID設為“不廣播SSID”，這樣其它用戶要想自動進入你的這個無線局域網(wǎng)，就要手工輸入正確的“SSID”才能進入網(wǎng)絡，這在一定程度上可保證局域網(wǎng)的無線網(wǎng)絡安全。

當然，SSID控制也不是萬能的，對于多用戶無線系統(tǒng)，特別是公用無線系統(tǒng)而言，其無線網(wǎng)絡安全性同樣難以完全保證，因為用戶要自己配置客戶端系統(tǒng)，就使得SSID可以被很多人知道，這也就容易共享給不懷好意的非法用戶。有些無線網(wǎng)卡功能較強，具有查詢無線網(wǎng)絡上的SSID的功能，而且目前有些廠家的產(chǎn)品已支持ANY這種特殊的登陸方式，這樣，只要其電腦上的無線網(wǎng)卡處在無線AP或無線寬帶路由器的信號覆蓋范圍內(nèi)，其都會自動連接到無線AP或無線寬帶路由器，這對SSID的無線網(wǎng)絡安全性是一種考驗。

三、設置MAC過濾什么是MAC呢？

區(qū)別于IP地址，MAC（MediaAccessControl，介質(zhì)訪問控制）地址是網(wǎng)卡的物理地址，是識別局域網(wǎng)電腦的標識。其長度為48位二進制數(shù)，由12個00~0FFH的16進制數(shù)組成，每個16進制數(shù)之間用“-”隔開，無論是有線網(wǎng)卡還是無線網(wǎng)卡其在全世界的MAC地址是唯一的，所以利用MAC地址和預設網(wǎng)絡ID來限制哪些網(wǎng)卡和接入點可以連入網(wǎng)絡，完全可確保無線網(wǎng)絡安全。對于那些非法的接收者來說，截聽無線局域網(wǎng)的信號是非常困難的，從而可以有效防止黑客和入侵者的攻擊。

利用MAC功能，大家可在無線局域網(wǎng)的每一個無線AP或無線寬帶路由器下設置一個適用于無線網(wǎng)卡許可接入的用戶的MAC地址清單，MAC地址不在清單中的用戶，無線AP或無線寬帶路由器將拒絕其接入請求。

當然，這個地址是需要你一一手工錄入的。所以這種方式要求無線AP或無線寬帶路由器中的MAC地址列表必需隨時更新，擴展能力差，因此只適合小型網(wǎng)絡規(guī)模。

另外，非法用戶利用網(wǎng)絡偵聽手段有很容易竊取MAC地址。當然，如果無線網(wǎng)中的無線AP或無線寬帶路由器數(shù)量太多，為了實現(xiàn)整個企業(yè)當中所有無線AP或無線寬帶路由器統(tǒng)一的無線網(wǎng)卡MAC地址認證，現(xiàn)在的無線AP或無線寬帶路由器也支持無線網(wǎng)卡MAC地址的集中Radius認證。

四、設置WEP加密

要實現(xiàn)無線網(wǎng)絡安全光靠訪問控制肯定不行，數(shù)據(jù)加密也必不可少，數(shù)據(jù)加密可保證發(fā)射的數(shù)據(jù)只能被所期望的用戶所接收和理解，目前常見的數(shù)據(jù)加密方法有WEP等。

WEP（WiredEquivalentPrivacy）加密技術源自于名為RC4的RSA數(shù)據(jù)加密技術，可滿足用戶較高層次的無線網(wǎng)絡安全需求。WEP使用了共享秘鑰RC4加密算法，密鑰長度最初為40位（5個字符），后來增加到128位（13個字符），有些新設備可以支持152位加密。使用靜態(tài)WEP加密可以設置4個WEPKey，使用動態(tài)（Dynamic）WEP加密時，WEPKey會隨時間變化而變化。

WEP加密采用靜態(tài)的保密密鑰，各WLAN終端使用相同的密鑰訪問無線網(wǎng)絡。WEP也提供認證功能，當加密機制功能啟用，客戶端要嘗試連接上AP時，AP會發(fā)出一個ChallengePacket給客戶端，客戶端再利用共享密鑰將此值加密后送回存取點以進行認證比對，只有正確無誤，才能獲準存取網(wǎng)絡的資源。

需要提醒的是，不是所有的無線網(wǎng)卡都支持128位或以上加密方式WEPKEY，有的老無線網(wǎng)卡可能只支持40位方式的加密或64位方式的加密，還有的根本就不支持。所以在設置無線AP或無線寬帶路由器的WEP加密時還需要根據(jù)無線網(wǎng)卡的情況來設置加密位數(shù)。

總之，基于WEP的共享密鑰認證的目的就是實現(xiàn)訪問控制，然而其認證信息易于偽造。但用戶的加密密鑰必須與AP的密鑰相同，并且一個服務區(qū)內(nèi)的所有用戶都共享同一把密鑰，由于同時更換密鑰的費時與困難，所以密鑰通常很少更換，倘若一個用戶丟失密鑰，則會殃及到整個網(wǎng)絡。

此外，因為共享密鑰認證是通過加密認證質(zhì)詢文本來證明自己知曉共享密鑰，RC4算法存在弱點，如果攻擊者監(jiān)聽到認證應答，則可以確定用于加密應答的RC4密碼流。因此，通過監(jiān)聽一次成功的認證，攻擊者就可以偽造認證。而啟動共享密鑰認證實際上降低了總體的無線網(wǎng)絡安全性，使猜中WEP密鑰更為容易。

總之，對于一般用戶而言，雖然SSID、MAC、WEP三種無線網(wǎng)絡安全設置都有其固有的缺點，但對于一般的家用或商用無線網(wǎng)絡用戶而言，通過上述三項無線網(wǎng)絡安全的設置，已能基本確保無線網(wǎng)絡的數(shù)據(jù)安全，所以，其實用性還是很大的。

【編輯推薦】

◆網(wǎng)管軟件專區(qū)

◆網(wǎng)絡管理者最易犯的十大低級錯誤

◆網(wǎng)絡管理基礎知識：網(wǎng)路管理模式

◆學習高效網(wǎng)絡管理技巧三招五式

◆IT運維管理專區(qū)