作者:it168
http://www.ccw.com.cn 2005-09-06 15:02:23 我要评论(0)
在很多人眼里,安全问题是无线网络的重中之中。的确,如果无线AP不做任何安全设定,则任何一个符合Wi-Fi的网卡都可以登陆到网络上,对无线网络构成威胁。本文主要基于无线网络的SSID和MAC地址安全设定展开。
SSID值的设定
每个无线网络都有一个识别名称,称为服务集标志符(Service Set Identifier即SSID)。 所有无线路由器或无线AP,都有自身的无线网络名称,而且所有无线网络的客户端,都必须提供与之对应的无线网络名称,才能成功建立无线连接。
因此在购买无线产品后,首先需要更改预设的无线网络名称,并关闭无线网络名称广播模式。这样才不至于与同类产品发生信号交替的情况。在浏览器地址栏里输入无线AP的默认IP地址,进入其管理界面后找到类似下图所示界面,取消“广播SSID”前的复选,再点击“保存”按钮即可。
然后将SSID值修改为自己容易记住的值,再打开无线连接计算机上的网卡设置,在高级属性设置下,也将SSID值设为与无线AP一致;这样即可建立安全的无线连接了。
SSID值就像钥匙和锁对应的原理,AP上的SSID就是锁,网卡上的SSID就是钥匙。它需要通信双方设置的配合,属于一种“软”性的设置。其安全性相对较高,因为只要保证自己设置的SSID值够复杂,或者够长度,那么入侵者是很难破解的。
而且实现容易,只需告诉连接端SSID值即可方便地建立连接;也可随时更换SSID值,保证长期安全。此种方式笔者认为更适合在随意性较大的无线环境中,比如经常有客户端接入,又经常有另外的客户端离开的情况。
MAC地址控制
每个工作正常的网卡都有一个独一无二的MAC地址,如果你在无线路由或无线AP中只允许所认识的MAC地址使用,那也大大降低了外来入侵的可能。目前几乎所有无线路由都有这样的功能,其设置也比较简单,是一个既方便又行之有效的自我保护方法。而如果对某些有入侵记录的MAC地址同样可以进行禁用。
设置举例:
STEP 1:获取无线网卡MAC地址
这有很多种方式可以达到目的,比较常用的办法是进入DOS运行环境,输入“ipconfig/all”命令;然后找到“Physical Address”字段,后面列出的6组数值即为网卡MAC地址。
STEP 2:设置无线路由器
无线路由器里设置“MAC地址控制”选项一般在“访问控制”中进行。如下图所示,要进行MAC地址控制,可勾选“只允许选取的无线客户端”选项;然后单击“选择客户端”按钮,输入刚才查到的客户端网卡的MAC地址即可。
MAC地址控制属于一种“硬”性的安全设置。但就笔者认为,它不够SSID设置安全,而且设置相对麻烦一些。有些读者可能会认为,MAC地址还不够安全吗?正是因为它是固化在网卡中的数据,修改起来相对麻烦,而且如果入侵者通过一定方式盗取,你将无法避免!
另外,使用MAC访问控制针对中小企业是很好的安全方案,但是对于大型企业则会存在诸多问题:你要对每个AP进行MAC配置;每个AP接收MAC的数量是有限的,如果MAC太多,会降低速率,同时可能会因为溢出导致系统崩溃;而一但增加或减少用户,则每个AP都需要刷新一次,所以管理起来非常的麻烦。
而且入侵者也可通过MAC欺骗技术来骗取AP的信任,如果AP不做任何安全设定,则任何一个符合Wi-Fi的网卡都可以登陆到网络上,对网络构成严峻威胁。因此笔者认为“MAC地址控制”方式适合在较固定或保密的环境中使用,再通过一些软硬件方面的设置来杜绝修改MAC地址,则可保证此无线网络固若金汤!
知识加油站:比如想获得无线局域网内某台名为“admin”客户机的MAC地址,可先用Ping命令:Ping admin;这样在我们主机上面的ARP表的缓存中就会留下目标地址和MAC映射的记录,然后通过“ARP A”命令来查询ARP表,这样就得到了指定主机的MAC地址;再通过其它方式将这个MAC地址修改,入侵都即可利用修改前的MAC地址登录无线网络了,而那台名为“admin”的客户机则无法连入。
后 记:
以上介绍了两种在无线网络中的安全设置手段,它们的优缺点各参半。在某种无线环境中也可混合使用,但对普通家庭无线网络来说,还是选择SSID设置的方式更方便一些。另外这里也要提一下无线网络中WEP(等同于有线的加密)方式对数据加密的手段,通过这种方式加密后的数据信号即使被人截获,也不易破解。但其也存在不足:这主要是指无线网卡和AP设定WEP 后,要占用系统的CPU资源,如果是采用40位加密,一般将损失5%的带宽;如果采用128位加密则要损失更多的带宽。
作者:it168
http://www.ccw.com.cn 2005-09-06 15:02:23 我要评论(0)
在很多人眼里,安全问题是无线网络的重中之中。的确,如果无线AP不做任何安全设定,则任何一个符合Wi-Fi的网卡都可以登陆到网络上,对无线网络构成威胁。本文主要基于无线网络的SSID和MAC地址安全设定展开。
SSID值的设定
每个无线网络都有一个识别名称,称为服务集标志符(Service Set Identifier即SSID)。 所有无线路由器或无线AP,都有自身的无线网络名称,而且所有无线网络的客户端,都必须提供与之对应的无线网络名称,才能成功建立无线连接。
因此在购买无线产品后,首先需要更改预设的无线网络名称,并关闭无线网络名称广播模式。这样才不至于与同类产品发生信号交替的情况。在浏览器地址栏里输入无线AP的默认IP地址,进入其管理界面后找到类似下图所示界面,取消“广播SSID”前的复选,再点击“保存”按钮即可。
然后将SSID值修改为自己容易记住的值,再打开无线连接计算机上的网卡设置,在高级属性设置下,也将SSID值设为与无线AP一致;这样即可建立安全的无线连接了。
SSID值就像钥匙和锁对应的原理,AP上的SSID就是锁,网卡上的SSID就是钥匙。它需要通信双方设置的配合,属于一种“软”性的设置。其安全性相对较高,因为只要保证自己设置的SSID值够复杂,或者够长度,那么入侵者是很难破解的。
而且实现容易,只需告诉连接端SSID值即可方便地建立连接;也可随时更换SSID值,保证长期安全。此种方式笔者认为更适合在随意性较大的无线环境中,比如经常有客户端接入,又经常有另外的客户端离开的情况。
MAC地址控制
每个工作正常的网卡都有一个独一无二的MAC地址,如果你在无线路由或无线AP中只允许所认识的MAC地址使用,那也大大降低了外来入侵的可能。目前几乎所有无线路由都有这样的功能,其设置也比较简单,是一个既方便又行之有效的自我保护方法。而如果对某些有入侵记录的MAC地址同样可以进行禁用。
设置举例:
STEP 1:获取无线网卡MAC地址
这有很多种方式可以达到目的,比较常用的办法是进入DOS运行环境,输入“ipconfig/all”命令;然后找到“Physical Address”字段,后面列出的6组数值即为网卡MAC地址。
STEP 2:设置无线路由器
无线路由器里设置“MAC地址控制”选项一般在“访问控制”中进行。如下图所示,要进行MAC地址控制,可勾选“只允许选取的无线客户端”选项;然后单击“选择客户端”按钮,输入刚才查到的客户端网卡的MAC地址即可。
MAC地址控制属于一种“硬”性的安全设置。但就笔者认为,它不够SSID设置安全,而且设置相对麻烦一些。有些读者可能会认为,MAC地址还不够安全吗?正是因为它是固化在网卡中的数据,修改起来相对麻烦,而且如果入侵者通过一定方式盗取,你将无法避免!
另外,使用MAC访问控制针对中小企业是很好的安全方案,但是对于大型企业则会存在诸多问题:你要对每个AP进行MAC配置;每个AP接收MAC的数量是有限的,如果MAC太多,会降低速率,同时可能会因为溢出导致系统崩溃;而一但增加或减少用户,则每个AP都需要刷新一次,所以管理起来非常的麻烦。
而且入侵者也可通过MAC欺骗技术来骗取AP的信任,如果AP不做任何安全设定,则任何一个符合Wi-Fi的网卡都可以登陆到网络上,对网络构成严峻威胁。因此笔者认为“MAC地址控制”方式适合在较固定或保密的环境中使用,再通过一些软硬件方面的设置来杜绝修改MAC地址,则可保证此无线网络固若金汤!
知识加油站:比如想获得无线局域网内某台名为“admin”客户机的MAC地址,可先用Ping命令:Ping admin;这样在我们主机上面的ARP表的缓存中就会留下目标地址和MAC映射的记录,然后通过“ARP A”命令来查询ARP表,这样就得到了指定主机的MAC地址;再通过其它方式将这个MAC地址修改,入侵都即可利用修改前的MAC地址登录无线网络了,而那台名为“admin”的客户机则无法连入。
后 记:
以上介绍了两种在无线网络中的安全设置手段,它们的优缺点各参半。在某种无线环境中也可混合使用,但对普通家庭无线网络来说,还是选择SSID设置的方式更方便一些。另外这里也要提一下无线网络中WEP(等同于有线的加密)方式对数据加密的手段,通过这种方式加密后的数据信号即使被人截获,也不易破解。但其也存在不足:这主要是指无线网卡和AP设定WEP 后,要占用系统的CPU资源,如果是采用40位加密,一般将损失5%的带宽;如果采用128位加密则要损失更多的带宽。