让无线使用更安全 无线设置详解

作者: laocai 出处:IT168  ( 0 ) 砖  ( 0 ) 好  评论 ( 0 ) 条  进入论坛
更新时间:2006-08-07 15:04
关 键 词:无线
阅读提示:只要知道该无线网络的SSID,未经授权的用户就可在无线信号覆盖范围内轻松的进入无线网络,如果没有足够的安全措施,非法用户也可能进入自己的无线网络大搞破坏活动或窃取自己的重要资料。

无线网络在带给了我们自由自在生活的同时,安全也越来越引起用户的关注。只要知道该无线网络的SSID,未经授权的用户就可在无线信号覆盖范围内轻松的进入无线网络;如果没有足够的安全措施,非法用户也可能进入自己的无线网络大搞破坏活动或窃取自己的重要资料等等。

所以,对于新手来说,了解无线网络的一些基本安全知识还是很重要的。

加密术语一款无线路由器产品介绍中称“支持64/128/152位WEP加密;支持WPA、IEEE802.1X、TKIP、AES等加密与安全机制”,它们是何意思呢?

AP端的WEP设置

解:无线网络在带给了我们自由自在生活的同时,安全也越来越引起用户的关注。只要知道该无线网络的SSID,未经授权的用户就可在无线信号覆盖范围内轻松的进入无线网络;如果没有足够的安全措施,非法用户也可能进入自己的无线网络大搞破坏活动或窃取自己的重要资料等等。

网卡端的WEP设置

但是WEP仍然存在许多缺陷,例如一个服务区内的所有用户都共享同一个密钥,一个用户丢失或者泄漏密钥将使整个网络不安全。而且由于WEP加密被发现有安全缺陷,可以在几个小时内被破解。

2004年推出的WPA(Wi-FiProtectedAccess)是WEP的增强产品,WPA是继承了WEP基本原理又解决了WEP缺点的一项新技术,是即将推出的802.11i标准的附属标准,它将替代现行的WEP协议,它比现有WEP的密钥更具安全性和保护性,TKIP和AES是WPA的两种主要加密方式。WPA的开发目标有两个,分别是“提高密码强度”和“增加用户认证功能”。

AP和网卡端的WPA设置

为了提高密码强度,WPA采用的是名为“TKIP(TemporalKeyIntegrityProtocol,暂时密钥集成协议)”的协议。TKIP由于在现有的WEP密码认证引擎中追加了“信息包单加密功能”、“信息检测(MIC)”、“具有序列功能的初始向量”和“密钥生成功能”等4种算法,因此提高了安全强度。

AP和网卡端的WPA设置

TKIP能够使用加密的数据动态(比如每10000个数据包)改变密钥,仅这一个改变就使WPA比WEP更安全。WPA的另一个优势就是它把passphrase作为密钥,这比WEP既长又复杂的密码更容易记忆和配置。目前新的无线产品一般都支持WPA技术,如果是2004年前的老产品则需要固件升级才能支持。

而802.1x就是端口访问控制技术,该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为用户打开这个逻辑端口,否则不允许用户上网。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公司的无线接入解决方案。

虚拟专用网一款无线路由器产品介绍中称“支持VPN,可以帮您建立私人网络”,是什么意思呢?

解:VPN(VirtualPrivateNetwork)就是虚拟私人网络,又称为虚拟专用网络或英文简称VPN,VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,它不属于802.11标准定义,它是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。虚拟私人网络的讯息透过公用的网络架构(例如:互联网)来传送内联网的网络讯息。

网络架构

虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术(与一般网络不同的是VPN连接使用“隧道”作为传输通道,这个隧道是建立在公共网络和专用网络基础之上的)。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。

IETF草案理解基于IP的VPN为:“使用IP机制仿真出一个私有的广域网”是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。

网络架构

在公共网络上组建的VPN象企业现有的私有网络一样提供安全性、可靠性和可管理性等。采用虚拟专用网还有以下几方面好处:①可以大幅降低成本,VPN是在Internet上临时建立的安全专用虚拟网络,用户节省了租用专线的费用,同时除了购买VPN设备或VPN软件产品外,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,对于不同地区的客户联系也节省了长途电话费。而且个人或企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备。②容易实现,可随意与合作伙伴联网,并具备完全控制主动权。③可提高WLAN的安全性。

用户控制一款无线路由器产品介绍中称“支持SSID广播控制和基于MAC地址的访问控制,可有效保障用户安全”,是什么意思呢?

解:SSID(ServiceSetIdentifier)也可以写为ESSID,用来区分不同的网络,最多可以有32个字符,无线网卡设置了不同的SSID就可以进入不同网络,SSID通常由AP广播出来,通过XP自带的扫描功能可以相看当前区域内的SSID。出于安全考虑可以不广播SSID,此时用户就要手工设置SSID才能进入相应的网络。简单说,SSID就是一个局域网的名称,只有设置为名称相同SSID的值的电脑才能互相通信。

SSID广播控制

而SSID广播控制可以理解为两方面,一是可以通过更改SSID名称来达到无线用户控制,一是可以禁用SSID广播功能起到对无线用户控制。这是一为主流的无线网卡都支持“唨动搜索(ANY)”SSID方式,只要无线客户端处在AP范围内,它都会自动连接到AP,这将绕过SSID的安全功能。所以在无线局域网接入点AP或无线路由上对此项技术的支持就是可不让AP或无线路由器广播其SSID号,这样无线工作站就必须提供正确的SSID才能与AP或无线路由器连接(将多数无线AP或无线路由器在出厂时默认的“允许广播SSID”设为“不广播SSID”)。

而更改厂家默认的SSID名称,也就是可降低非法用花猜中SSID号的机率。如思科接入点的默认SSID是tsunami;Linksys接入点的默认SSID是linksys;而英特尔和Symbol接入点的默认SSID是101;TP-LINK的默认SSID是TP-LINK。这些默认的SSID无异于把易受攻击的WLAN汇报给了非法用户。

MAC地址就是在媒体接入层上使用的地址,也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。MAC地址与网络无关,也即无论将带有这个地址的硬件(如网卡、集线器、路由器等)接入到网络的何处,都有相同的MAC地址,它由厂商写在网卡的BIOS里。MAC地址可采用6字节(48比特)或2字节(16比特)这两种中的任意一种。但随着局域网规模越来越大,一般都采用6字节的MAC地址。这个48比特都有其规定的意义,前24位是由生产网卡的厂商向IEEE申请的厂商地址,1000美元左右买一个地址块,后24位由厂商自行分配,这样的分配使得世界上任意一个拥有48位MAC地址的网卡都有唯一的标识。

MAC地址

而MAC地址的访问控制就是通常所说的路由器或无线AP的物理地址(MAC)过滤功能。由于每个无线工作站的网卡都有唯一的物理地址,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤(只需进入路由器的MAC过滤功能选中只允许下列MAC的网卡地址连入外网把MAC填入即可)。

大多数企业级接入点可以让你根据对授权用户站的媒体访问控制(MAC)地址进行过滤,以此限制哪些用户站可以连接到接入点。尽管MAC地址过滤并非万无一失,但这种方法对哪些用户站可以连接到网络提供了基本的控制功能。有些规模较大的企业所组建的比较复杂的WLAN允许上百个用户站在接入点之间进行漫游,这时它们可能需要远程验证拨入用户服务(RADIUS)服务器提供更复杂的过滤功能。

MAC过滤

但做为无线的安全功能,MAC过滤更多的应用在私人小型WLAN网络中更好,因为这个方案要求AP中的MAC地址列表必需随时更新,可扩展性差,无法实现机器在不同AP之间的漫游;而且MAC地址在理论上可以伪造,如非法用户可以通过修改注册表,下载专用修改MAC小工具等方法,轻松更改了本机的MAC地址和IP地址,因此MAC过滤在使用中最好能合WPA等安全功能一起使用,以加强WLAN安全性。

 
(责任编辑: 51CTO.com TEL:010-68476606)