1、修改路由器的初始管理账号(或密码)
SSID(Service Set Identifier,服务设置标志号)类似于无线路由器的识别号,从某种意义上可以认为是无线设备之间的一个简单口令。每个无线路由器内均会设置一个SSID,当笔记本或其他无线终端要连上无线路由器时,其必须出示相同的SSID,不然,将被无线路由器拒绝。
SSID一般默认值为厂商名称或“Default”、“工作组”之类,比如LINKSYS路由器的SSID便统一为“LINKSYS”,所以,如果您和您邻居用的是同一种无线路由器,便极有可能发生连到对方网里的情况。很多时候,使用默认的SSID,用句不好听的话,无异于“插标卖首”,为恶意攻击者指明方向。
SSID更改的原则是在易用的前提下尽量复杂些,比如不要用名字、电话号码之类。尽量同时使用字母与数字,对某些区分大小写的路由器,尽量在SSID中交替使用大小写字母,以提高SSID的强度。
另外,为保证SSID的有效性,应该每隔一段时间重新设定一下SSID。
3、关闭SSID广播
通常情况下,无线路由器会向所有无线工作站广播其无线网络标识(SSID)。这样那些没有无线网络标识(或者无线网络标识设置为“空”)的无线工作站只要启动无线网卡,便可搜寻到本接入点,然后通过选择相应的无线网络标识来连接到本线网络。
从这里也可以看出上一步关于SSID命名的重要性了,相对来说,越复杂的SSID便越难以被猜中的,可以在一定意义上起到保护无线网络的作用。
如果网络并没有广播本身的网络名,那么可用网络(Available networks)列表中不会出现该网络名。(见下图)这时就需要用户自己添加已知的可用网络,在首选网络(Preferred networks)中,点击添加(Add),然后在无线网络属性(Wireless Network Properties)中,指定网络名(SSID),如果需要的话,还可以指定无线网络的关键设置。
路由器出厂时默认使用特定的IP,像Linksys 与Netgear的产品默认值192.168.1.1,这些地址是人所共知的,恶意入侵者只要知道您的设备型号便可轻松地找出无线路由器的IP。因此,我们应该将此值改为其他,如上文所言之Linksys 路由器,我们可以将其由默认的192.168.1.1 改为192.168.10.1之类。虽然改变IP地址本身并不能在真正意义上加强无线网络的安全,但最低程度上为入侵者定位我们的无线网络增加了难度。
5、关闭DHCP(Dynamic Host Configuration Protocol:动态主机配置协议)
在我们上篇文章的点评中,曾对该文中提出的关闭DHCP质疑,因为其所言之理由是不成立的,或者至少说十分牵强,但是,从网络安全的角度,在某种程度上,DHCP则是有必要关闭的。
正如我们在上篇点评中所说的,DHCP服务器监听每一个想连接到网上寻找信息的设备,并给其动态分配一个可用的IP地址。而DHCP协议自身无法判断地址请求者本身是否合法用户,在没有其他安全措施作保证的前提下,将导致其不仅给合法用户分配地址,也给非法用户或入侵者分配地址。
这就要求我们做一些额外的工作,即给每台无线工作站设定一个只属于它的静态IP,不过一般家用网络工作站不多,倒不用费太多的事。
特别是如果第四项中您已经改了路由器的IP,这时就更有必要关闭DHCP了,不然,路由器便主动地把自己的IP告诉入侵者。
6、设置ACL(Access Control List:访问控制列表)
ACL以无线网卡的MAC地址作为是否可以接入的过滤机制。每个无线工作站网卡都由唯一的物理地址标示,该物理地址编码方式与普通网卡物理地址相同,也为一48位的编码。可以通过在无线路由器中设定一组允许访问或不允许访问的MAC地址列表,而实现路由器的访问过滤,在一定程度上提高无线网络安全的可控性。
需要注意的是,如果没有关闭无线路由器的SSID广播功能,设定ACL是没有意义的,最初级的入侵者也可通过简单的抓包工具分析出合法的MAC地址,然后只要修改自己的网卡冒充其便可畅通无阻。
客观地说,上文所言之安全设置都是最初级的,事实上也只不过能避免无意的邻居使用您的无线路由器而矣。从安全防护的角度看,无线网络在给使用者带来便利的同时,也给入侵者带来了极大的便利:其不必像传统的有线网络那样,需要物理上联入我们的内部网,其所需的只不过是基本的数据分析能力。
联系客服