文章作者:大海
在目前的Wi-Fi技术中,安全性还存在着一些先天的缺陷。更为安全的IEEE802.11i标准的普及化应用、无线网络的安全性仍然得不到完全的保证。此外,诸如VPN虚拟网络以及AES加密算法等安全技术也受到成本的限制,对于家庭用户并不现实。事实上,在现有的低成本技术基础上,如果能够采取多种安全的策略和技巧,我们仍然可以大大增加入侵者攻击Wi-Fi无线局域网络的难度,设置重重障碍来导致其最终放弃入侵计划。
WEP技术仍可信赖
IEEE802.11b、IEEE802.11a以及IEEE802.11g协议中都包含有一个可选安全组件,名为无线等效协议(WEP),它可以对每一个企图访问无线网络的人的身份进行识别,同时对网络传输内容进行加密。尽管现有无线网络标准中的WEP技术遭到了批评,但如果能够正确使用WEP的全部功能,那么WEP仍提供了在一定程度上比较合理的安全措施。这意味着需要更加注重密钥管理、避免使用缺省选项,并确保在每个可能被攻击的位置上都进行了足够的加密。
WEP使用了RC4加密算法,该算法是由著名的解密专家Ron Rivest开发的一种流密码。发送者和接受者都使用流密码,从一个双方都知道的共享密钥创建一致的伪随机字符串。整个过程需要发送者使用流密码对传输内容执行逻辑异或(XOR)操作,产生加密内容。尽管理论上的分析认为WEP技术并不保险,但是对于普通入侵者而言,WEP已经是一道难以逾越的鸿沟。大多数无线路由器都使用至少支持40位加密的WEP,但通常还支持128位甚至256位选项。对于家庭无线网络,具备128位加密功能的设备应该视为最低配置。在试图同网络连接的时候,客户端设置中的SSID和密钥必须同无线路由器的匹配,否则将会失败。作为家庭网络部署者而言,使用WEP是十分简单的。购买AP时自然认准具有128位WEP的产品,然后通过浏览器登录到WEP设置一栏,将WEP指定为128位,再分别填上四组密码即可。
MAC是每块网卡固定的物理地址,它在网卡出厂时就已经设定。MAC地址过滤的策略就是使无线路由器只允许部分MAC地址的网络设备进行通讯,或者禁止那些黑名单中的MAC地址访问。MAC地址的过滤策略是无线通讯网络的一个基本的而且有用的措施,它惟一的不足是必须手动输入MAC地址过滤标准。
启用MAC地址过滤,无线路由器获取数据包后,就会对数据包进行分析。如果此数据包是从所禁止的MAC地址列表中发送而来的,那么无线路由器就会丢弃此数据包,不进行任何处理。因此对于恶意的主机,即使不断改变IP地址也没有用。如果有条件的话,在家庭无线网络内,我们还可以把MAC地址和IP地址进行绑定,并对其MAC地址分配一定的权限。这样的做法将大大增强通讯的安全过程,不足之处只是降低了一定程度的灵活性。
禁用SSID广播
SSID是无线网络用于定位服务的一项功能,为了能够进行通讯,无线路由器和主机必须使用相同的SSID。在通讯过程中,无线路由器首先广播其SSID,任何在此接收范围内的主机都可以获得SSID,使用此SSID值对自身进行配置后就可以和无线路由器进行通讯。
毫无疑问,SSID的使用暴露了路由器的位置,这会带来潜在的安全问题,因此目前大部分无线路由器都已经支持禁用自动广播SSID功能。但是禁用SSID在提高安全性的同时,也在某种程度上带来不便,进行通讯的客户机必须手动进行SSID配置。不过一般可通过配套的软件来实现,Windows XP操作系统也对SSID配置提供了部分支持功能。
最直接的物理防护
无线网络侵入者在实现嗅探时首先设置用于嗅探的计算机,即在嗅探机上装好无线网卡,并把网卡设置为混杂模式。在混杂模式下,网卡能够接收一切通过它的数据包,进而对数据包解析,实现数据窃听。其次实现循环抓取数据包,并将抓到的数据包送入下一步的数据解析模块处理。最后进行数据解析,依次提取出以太帧头、IP包头、TCP包头等,然后对各个报头部分和数据部分进行相应的分析处理。根据这一远程的原理,我们可以采取物理防护方法,而且对于家庭应用环境十分有效。
按照以上的步骤设置以后,基本上可以保证自己的无线网络免受入侵者的骚扰。但现在黑客软件种类繁多,一不小心打开一些可执行性的文件或者网页就会中招。我们可以通过一些小技巧来杜绝黑客软件的入侵。可以利用《金山网镖6》提供的网络安全漏洞检查功能,查找出自己由于大意而没有关闭的共享文件夹,或者哪些端口存在安全隐患。 笔者在以往使用无线网络时,有段时间觉得机器运行速度变得非常慢,而笔记本硬盘灯闪个不停,当打开网络状态时,发现发出的数据量已经多达两百多兆,这明显已经超出了正常的数据流量。经过多种软件检测,可以探测到是有人侵入了系统,解决的办法是马上断网,并用其它的机器马上进行网上银行密码,以及常用的QQ和信箱等常用密码,争取将损失减到最低。最好重新安装操作系统,并立即安装好放火墙和杀毒软件,争取御敌于城门之外。
