在家庭和SOHO组网中间我们越来越关注无线网络的安全问题,如何防止外人盗用带宽和下载网内的重要资料目前开始日益成为一个比较突出的问题,下面这篇文章笔者就试图和用户一起来探讨这个方面的主要问题,并给出一点解决之道,希望能有所帮助!
无线网络被盗用(1)
出处:IT168
在家庭和SOHO组网中间我们越来越关注无线网络的安全问题,如何防止外人盗用带宽和下载网内的重要资料目前开始日益成为一个比较突出的问题,下面这篇文章笔者就试图和用户一起来探讨这个方面的主要问题,并给出一点解决之道,希望能有所帮助!
都是“WiFi”惹的祸
盗用网络资源问题是随着“WiFi”(Wireless Fidelity,无线高保真)技术的兴起而自然伴随产生的。这种能为便携式电脑和其他小设备连入互联网络的技术,在使广大劳苦用户摆脱奋战蜘蛛网般的连线和混乱不堪的网络接口之苦的同时,也面临着空前的严重安全隐患。
常见的开放式家庭网络
WiFi从2003年开始进入我国,现在许多城市宽带小区的中都有。只要在机场、车站、咖啡店、图书馆等人员较密集的地方设置wi-fi 接入“热点”,将热点联入互联网中就可以上网了。
什么导致了自己的网络被盗用?
目前Wi-fi的上网方式已经获得了一些居住在一个接入点附近的SOHO族的青睐,但大多数用户并不了解WIFI存在网络安全问题。“共享网络,分担网费”,由于没有网关的限制,很可能是两个上网者同时使用同一频段的同一信道,这样就好像局域网中的共享功能一样,偷窥者很容易就能看到你电脑硬盘上的内容。
据报道,通常无线网络的架设使用者有超过70%的人最基本的WEP安全设定上是关闭的,更有30%的人在无线接入点的设定上完全只用预设值,这相当于把网络上传送的资讯完全曝光,变成不设防网络环境。加上目前无线接入点都使用DHCP,也就是自动分配IP地址的机制,虽然使用及设定上很方便,但是对于怀有恶意的使用者来说,真想不“High”一下都对不起自己了。
不设防的无线网络到处皆是
在传统的有线网络上,恶意的使用者要入侵这个内部网络环境,若非从外部远端进入,就得在这个局域网中找个接口,连上真实的网线才行。但是在空气中,有心人只要稍微靠近无线接入点的讯号发射范围,配合无线网卡和笔记本电脑就可以扫描周围的无线网络,如果完全不做任何防护措施,被偷用带宽事小,若被窃取重要数据,比如信用卡、银行密码资料等等,那可就麻烦大了。
立刻为您的网络架起保护墙
专家指出,为了做好全面安全防范工作,专家建议在路由器中部署防火墙、采取删除设备的缺省服务集标识符等等。
下面笔者就和您一起为我们的无线网络建立基本安全防护,这个过程只需花数分钟,就可以保护重要资料不会外泄。我们把重点放在SSID、WEP及MAC地址绑定上,目前这三种在大部分的无线接入点上都可以轻易设定,而MAC地址绑定方法比较简单,在此我们就不赘述了。
SSID及WEP
SSID是Service Set Identifier的缩写,简单的说就是网卡与无线接入点之间沟通的密码,当两者都设定为相同的密码时,该网卡才能连上无线接入点。比如说无线接入点的SSID设定为PCHOMEUP,若想要使用无线接入点的服务,网卡的 SSID就得设定成PCHOMEUP才能连线。不过SSID的防护力极弱,只要有适当的工具软件就可以轻易查出无线接入点所使用的SSID,但是有总比没有好,至少不要用预设值。更改SSID只须几秒钟,第一层防护就架起来了。
WEP是Wired Equivalent Privacy的缩写,它会对无线传输中每个数据做加密,然后在另一端做解密的动作,使用者只需要设定好加密的等级,并输入一串密码就可以了。目前一般无线接入点都可支持64 或128位加密,但是较高的加密等级,在传输量大时会影响网络速度,但为了安全性,这点牺牲是值得的。
无线协议上的安全性改进
在最近一段时间,无线网络的安全性问题受到了前所未有的重视。虽然现在的802.11b无线协议提供了WEP来保证信号传输的安全,但是WEP在密钥上固有的缺陷,却使得它无法为用户的无线局域网络提供完备的保护。为了提高无线局域网的安全级别,在新一代的802.11g无线产品中,普遍采用了WPA对连入网络的用户进行认证,并对无线传输的数据进行加密。
WPA是802.11i中的一部分,根据WiFi的解释,WPA中包含了802.11x、EAP 、TKIP 、MIC。为了满足不同环境下对无线网络安全级别的不同要求,WAP也提供了两种安全模式,一种适用于对网络安全要求较高的大型企业网络,而另外一种设置更为简单的共享密钥方式则适合家庭或者小型办公环境使用。
WPA认证机制的基础是802.11x和EAP。对于使用WAP的网络,任何一个想要连入网络的用户都要提供自己的身份证明,而WAP会在企业安全认证服务器的数据库中进行搜索并核对。由于这种认证模式需要专用的RADIUS服务器,所以对一些小型网络就不太适用了。WPA的目的是为了全面取代WEP,从而在各种类型的无线局域网中都为用户提供更为安全的网络。为了使更多的人能够更容易地保护自己的网络,WPA也提供了共享密钥方式(WPA-PSK)。
WPA-PSK是在无线局域网的Access Point、Router中设置一个单一的密码,其长度可以从8到64个HEX。任何想要访问无线网络的客户端,都要提交这样的密码,只要密码相符,客户端才能够获得无线网络的访问权限。
以往的WEP可以提供64以及128位的加密模式,而像D-Link则在其产品中提供了256位的WEP加密。从理论上说,破解128位的加密已经是非常困难的事情,但是由于WEP使用的是静态密钥,而且其初始向量只有24位,这使得密钥更容易被破解。WPA中通过TKIP将密钥的初始向量增加到48位,而且可以使用动态产生的多组密钥。TKIP采用了802.1X/ EAP的结构。认证服务器在接受用户的身份证明之后,又使用802.1X来为运算阶段产生一组唯一的主键、又称“配对”密钥。
TKIP将这组密钥分配给客户端以及AP、建立密钥层以及管理系统、使用配对密钥动态来产生唯一的数据加密密钥,并以此加密所有用户在无线传输阶段所传输的数据封包。TKIP的密钥层会把WEP的单一静态密钥换成约500万亿组密钥。信息完整性检查(MIC)用来防止攻击者拦截、篡改甚至重发数据封包。WPA中的MIC则是为了防止黑客的篡改而定制的,它采用Michael算法,具有很高的安全特性。当MIC发生错误的时候,数据很可能已经被篡改,系统很可能正在受到攻击。此时,WPA还会采取一系列的对策,比如立刻更换组密钥、暂停活动60秒等,来阻止黑客的攻击。
安全小技巧
如果你的接入点有SSID broadcast的选项,记得一定要“关闭”。
网友评论