現(xiàn)在，隨著“兩類(lèi)無(wú)線路由MAC‘裸奔’易被蹭網(wǎng)”的新聞在網(wǎng)上熱傳，無(wú)線網(wǎng)絡(luò)的安全問(wèn)題再次讓我們繃緊了神經(jīng)。經(jīng)驗(yàn)證，前6位MAC地址是C83A35或00B00C的無(wú)線路由器，確實(shí)存在安全漏洞，只需使用一個(gè)特定軟件就可以直接獲得路由器的PIN(個(gè)人識(shí)別密碼)密鑰，這不得不引起廣大無(wú)線路由器用戶(hù)的重視。面對(duì)越來(lái)越多變的蹭網(wǎng)手段，無(wú)線路由器的PIN值正變得越來(lái)越脆弱，那么如何令我們的無(wú)線網(wǎng)絡(luò)更加安全穩(wěn)定呢？下面就同大家分享一些必要的無(wú)線路由器設(shè)定知識(shí)吧。

　　建議用WPA2加密方式、復(fù)雜密碼

　　一些網(wǎng)絡(luò)新人可能還沒(méi)有認(rèn)識(shí)到無(wú)線加密的重要性，在不加密的無(wú)線網(wǎng)絡(luò)中，不僅用戶(hù)的網(wǎng)絡(luò)資源會(huì)被侵占，無(wú)線體驗(yàn)被干擾，而且個(gè)人的網(wǎng)絡(luò)信息也可能遭受泄露，因此一定要通過(guò)正確的無(wú)線加密才能保障網(wǎng)絡(luò)安全，維護(hù)自己的網(wǎng)絡(luò)權(quán)益。

　　那么我們常用的無(wú)線加密都有何種方式呢？一般分為如下三種：

　　首先是WEP加密，它是Wired Equivalent Privacy（有線等效保密）的英文縮寫(xiě)。不了解的朋友，可能會(huì)將WEP誤以為是一個(gè)針對(duì)有線網(wǎng)絡(luò)的安全加密協(xié)議，但事實(shí)上該協(xié)議早在無(wú)線網(wǎng)絡(luò)的創(chuàng)建之初就已成型，它被定義為無(wú)線局域網(wǎng)必要的安全防護(hù)協(xié)議。目前常見(jiàn)的是64位WEP加密和128位WEP加密。

　　其次是WPA加密，它是WiFi Protected Access（WiFi保護(hù)訪問(wèn)）的英文縮寫(xiě)。WPA協(xié)議是一種保護(hù)無(wú)線網(wǎng)絡(luò)安全的系統(tǒng)，它包含兩種方式：Pre-shared密鑰和Radius密鑰，其加密特性決定了它比WEP更難以入侵。其中Pre-shared密鑰有兩種密碼方式：TKIP和AES，而RADIUS密鑰利用RADIUS服務(wù)器認(rèn)證并可以動(dòng)態(tài)選擇TKIP、AES、WEP方式。它產(chǎn)生于WEP加密，并解決了前任WEP的缺陷問(wèn)題。它屬于IEEE 802.11i標(biāo)準(zhǔn)中的過(guò)度方案，但也是現(xiàn)在主流的無(wú)線加密方式。

　　再有就是WPA2，即WPA加密的升級(jí)版。它是WiFi聯(lián)盟驗(yàn)證過(guò)的IEEE 802.11i標(biāo)準(zhǔn)的認(rèn)證形式，WPA2實(shí)現(xiàn)了802.11i的強(qiáng)制性元素，特別是Michael算法被公認(rèn)徹底安全的CCMP(計(jì)數(shù)器模式密碼塊鏈消息完整碼協(xié)議)訊息認(rèn)證碼所取代、而RC4加密算法也被AES所取代。

　　對(duì)于目前的主流無(wú)線路由器，它們大都支持上述的多種加密方式，而其中，WPA2是目前被業(yè)界認(rèn)為最安全的加密方式，建議個(gè)人用戶(hù)使用（雖然在2010年國(guó)外黑客高手已完成了對(duì)WPA2加密的破解，但對(duì)一般想蹭網(wǎng)的不法分子還不能具有破解該加密的能力）。用戶(hù)可選擇“WPA2-PSK [AES]”或“WPA-PSK [TKIP] + WPA2-PSK [AES]”模式加密，密碼越復(fù)雜越好。

建議用WPA2加密方式、復(fù)雜密碼

　　但還需考慮的是，想連入網(wǎng)絡(luò)的無(wú)線網(wǎng)卡或其它設(shè)備是不是能夠支持相同的加密方式，因?yàn)橐恍├峡顭o(wú)線網(wǎng)卡可能不具有最新的加密方式，這時(shí)，建議用戶(hù)更換一款較新的網(wǎng)卡。

　　WPS加密省事不安全

　　對(duì)于現(xiàn)在多數(shù)的主流無(wú)線路由器來(lái)講，都已經(jīng)配備了WPS一鍵加密功能，加密方式是變得簡(jiǎn)單快捷，但隨著去年年底美國(guó)計(jì)算機(jī)應(yīng)急準(zhǔn)備小組(US-CERT) 安全研究員Stefan Viehbock所發(fā)現(xiàn)的安全漏洞，將會(huì)使WPS變得較為容易被暴力窮舉PIN的方法所破解。他稱(chēng)利用該漏洞可以輕易地在2小時(shí)內(nèi)破解WPS使用的PIN碼。隨后其他安全公司也證實(shí)了該漏洞的存在。那么，我們首先了解下什么是WPS一鍵加密吧。

　　WPS（Wi-Fi Protected Setup）是Wi-Fi保護(hù)設(shè)置的英文縮寫(xiě)。WPS是由Wi-Fi聯(lián)盟組織實(shí)施的認(rèn)證項(xiàng)目，主要致力于簡(jiǎn)化無(wú)線局域網(wǎng)安裝及安全性能的配置工作。WPS并不是一項(xiàng)新增的安全性能，它只是使現(xiàn)有的安全技術(shù)更容易配置。

　　對(duì)于一般用戶(hù)，WPS提供了一個(gè)相當(dāng)簡(jiǎn)便的加密方法。通過(guò)該功能，不僅可將都具有WPS功能的Wi-Fi設(shè)備和無(wú)線路由器進(jìn)行快速互聯(lián)，還會(huì)隨機(jī)產(chǎn)生一個(gè)八位數(shù)字的字符串作為個(gè)人識(shí)別號(hào)碼（PIN）進(jìn)行加密操作。省去了客戶(hù)端需要連入無(wú)線網(wǎng)絡(luò)時(shí)，必須手動(dòng)添加網(wǎng)絡(luò)名稱(chēng)（SSID）及輸入冗長(zhǎng)的無(wú)線加密密碼的繁瑣過(guò)程。

無(wú)線路由PIN碼連接

PIN碼認(rèn)證過(guò)程

　　但現(xiàn)在發(fā)現(xiàn)的這個(gè)WPS安全漏洞，讓加密變得雖然省事可是卻不安全了。而且針對(duì)這個(gè)WPS漏洞，目前除了思科在官網(wǎng)上發(fā)出過(guò)警告外，尚未獲得來(lái)自其他方面給出的更好的解決方案。同時(shí)現(xiàn)在極少有無(wú)線路由器具備限制密碼出錯(cuò)次數(shù)的功能，這就令使用WPS加密的路由設(shè)備暴露在黑客的破解攻擊下。

思科在官網(wǎng)上發(fā)出警告

　　當(dāng)然用戶(hù)還是能夠通過(guò)及時(shí)地禁用WPS這項(xiàng)功能，來(lái)避免遭到攻擊或侵入，可是大多數(shù)人目前還沒(méi)意識(shí)到該漏洞的嚴(yán)重性而將之關(guān)閉。

　　在此，我們建議仍在使用WPS進(jìn)行無(wú)線加密的朋友，在你的網(wǎng)絡(luò)密碼還沒(méi)被“蹭網(wǎng)”者覬覦或嘗試攻擊破解之前，馬上禁用WPS功能，并且使用較為安全的WPA2手動(dòng)加密方式進(jìn)行無(wú)線密碼設(shè)置，同時(shí)禁用UPnP（通用即插即用）功能，啟用MAC地址過(guò)濾功能，才能較為有效地保護(hù)你無(wú)線網(wǎng)絡(luò)的安全使用。

禁用SSID廣播 禁用DHCP功能

　　如果是個(gè)人家庭的無(wú)線網(wǎng)絡(luò)應(yīng)用，我們建議在進(jìn)行了無(wú)線加密的同時(shí)，還要禁用SSID廣播和禁用DHCP功能。這是為什么呢？

　　禁用SSID廣播

　　SSID是Service Set Identifier（網(wǎng)絡(luò)名稱(chēng)ID）的英文縮寫(xiě)。當(dāng)我們?cè)谒阉鳠o(wú)線網(wǎng)絡(luò)連接的時(shí)候，會(huì)看到一些無(wú)線網(wǎng)絡(luò)源的名稱(chēng)，如下圖，這些就是SSID了，它們是不同的用戶(hù)給自己的無(wú)線網(wǎng)絡(luò)所取的名字，來(lái)作為用戶(hù)搜索無(wú)線網(wǎng)絡(luò)信號(hào)時(shí)標(biāo)明身份的標(biāo)識(shí)符。

紅框內(nèi)都是搜索到的SSID

　　而一般無(wú)線路由器會(huì)默認(rèn)將使用品牌名加上型號(hào)來(lái)作為SSID，這就為“蹭網(wǎng)”者提供了可乘之機(jī)，因此建議大家最好能將SSID改成較有個(gè)性的名字并將它隱藏起來(lái)。那么如何隱藏SSID呢？

禁用SSID廣播

　　我們只需在無(wú)線路由器的Web配置界面中，找到SSID廣播，并將其禁用，就能將自己的無(wú)線網(wǎng)絡(luò)隱藏了，在他人的搜索名單中，你的無(wú)線網(wǎng)絡(luò)名稱(chēng)便不會(huì)被發(fā)現(xiàn)了。

　　禁用DHCP功能

　　DHCP是Dynamic Host Configuration Protocol（動(dòng)態(tài)主機(jī)分配協(xié)議）的英文縮寫(xiě)，是一個(gè)簡(jiǎn)化主機(jī)IP地址分配管理的TCP/IP 標(biāo)準(zhǔn)協(xié)議，該功能會(huì)讓路由器自動(dòng)給無(wú)線客戶(hù)端分配IP地址。而沒(méi)有IP地址的計(jì)算機(jī)即使將它連到網(wǎng)絡(luò)接口，它也無(wú)法連接到網(wǎng)絡(luò)上。

　　因此，我們只需要禁用DHCP功能，就能讓無(wú)線路由起不再自動(dòng)給無(wú)線客戶(hù)端分配IP地址了。同時(shí)，建議修改無(wú)線路由器的默認(rèn)IP地址，例如默認(rèn)IP地址為：10.0.0.1，可改為192.168.10.1，以防被輕易猜到。

禁用DHCP功能

　　設(shè)置方法很簡(jiǎn)單，找到“局域網(wǎng)IP設(shè)置”菜單，然后修改默認(rèn)IP地址，并取消勾選“將路由器用作DHCP服務(wù)器”，最后點(diǎn)擊應(yīng)用即可。

　　啟用MAC地址過(guò)濾很重要

　　MAC是Media Access Control（介質(zhì)訪問(wèn)控制)的英文縮寫(xiě)，MAC地址是底層網(wǎng)絡(luò)來(lái)識(shí)別和尋找目標(biāo)終端的標(biāo)示，每個(gè)網(wǎng)卡或路由器都有一個(gè)唯一的MAC地址。這樣就可保證所有接入無(wú)線網(wǎng)絡(luò)的終端都有唯一的不同的MAC地址，而MAC地址過(guò)濾技術(shù)就有了理論上的可行性。

　　如何查看自己的MAC地址呢？我們只需在電腦菜單上依次單擊“開(kāi)始”→“運(yùn)行”→輸入“cmd”→回車(chē)，在出現(xiàn)的命令提示符界面中輸“ipconfig /all”→回車(chē)，就可以得到電腦客戶(hù)端的MAC地址了。

MAC地址

　　在這里我們通過(guò)設(shè)置“防火墻 - MAC訪問(wèn)控制”，來(lái)啟用MAC訪問(wèn)控制，然后鍵入上圖的電腦的MAC地址，其他未經(jīng)允許的設(shè)備就無(wú)法連入無(wú)線路由器了。

使用MAC訪問(wèn)控制，鍵入想接入MAC地址

　　MAC地址過(guò)濾的缺點(diǎn)

　　雖然MAC地址過(guò)濾可以阻止非信任的終端設(shè)備訪問(wèn)，但在終端設(shè)備試圖連接路由之前，MAC地址過(guò)濾是不會(huì)識(shí)別出誰(shuí)是可信任的或誰(shuí)是非信任的，訪問(wèn)終端設(shè)備仍都可以連接到路由器，只是在做進(jìn)一步的訪問(wèn)時(shí)，才會(huì)被禁止。而且它不能斷開(kāi)客戶(hù)端與路由器的連接，這樣入侵者就可以探到通信，并從幀中公開(kāi)的位置獲取合法的使用MAC地址。然后通過(guò)對(duì)無(wú)線信號(hào)進(jìn)行監(jiān)控，一旦授權(quán)信任的用戶(hù)沒(méi)有出現(xiàn)，入侵者就使用授權(quán)用戶(hù)的MAC地址來(lái)進(jìn)行訪問(wèn)。

　　由此可見(jiàn)，僅僅依靠MAC地址過(guò)濾是不夠的，我們必須啟用盡可能多方面的安全防護(hù)手段來(lái)保護(hù)我們的無(wú)線網(wǎng)絡(luò)。

　　總結(jié)：多重防護(hù)齊上陣

　　通過(guò)分析我們可以看到，單一的加密防護(hù)手段，能力都是有限的。建議如前面所說(shuō)的禁用WPS功能，采用手動(dòng)設(shè)置WPA2加密，禁用SSID廣播、DHCP功能和啟用MAC地址過(guò)濾等，從多角度全方位進(jìn)行加密才是防止無(wú)線網(wǎng)絡(luò)被蹭的好方法。如果你的路由器MAC地址前6位是C83A35或者00B00C，則可以進(jìn)行MAC訪問(wèn)控制來(lái)綁定你的無(wú)線接入設(shè)備，最好再修改成新的MAC地址。還可以使用低功率無(wú)線路由器，因?yàn)闊o(wú)線覆蓋有個(gè)范圍，只有在范圍內(nèi)，無(wú)線設(shè)備才會(huì)找到信號(hào)接入網(wǎng)絡(luò)?？偟恼f(shuō)，為了維護(hù)自身無(wú)線網(wǎng)絡(luò)的安全，建議大家要盡量多重防護(hù)齊上陣，將防護(hù)做到完善。
 

原文鏈接：http://techbbs.zol.com.cn/2/47_11894.html