Board logo

标题: 如何有效测试无线路由器的安全功能 [打印本页]
作者: 野人e族    时间: 2008-1-28 00:51     标题: 如何有效测试无线路由器的安全功能

  随着越来越多的朋友进入“无线一派” 这个大家庭,无线网络的安全也就备受大家关注了。相对而言,无线比有线网络更难保护,因为有线网络的固定物理访问点数量有限,而无线网络中信号能够达到的任何一点都可能被使用。
, t# D* W! K' b% @
4 o: \. x6 X' n$ O  因此各大品牌厂商在无线路由器的配置设计方面增加了密钥、禁止SSID广播等手段,但这些安全设置是否真的有效?下面以支持 IEEE 802.11g标准的无线设备为例,通过实测的方式,带领大家将疑问逐一解开。
; B7 T" j0 v: c. K8 [2 B: M# d, Z8 b5 p  E5 A: m& B% H
  设置网络密钥 $ g& ?: @! P8 a/ ?8 K: N

' m; j& o5 X# }& P3 c  无线加密协议(WEP)是对无线网络中传输的数据进行加密的一种标准方法。现在大多数的无线设备只具备WEP加密,更为安全的WPA加密还未被广泛使用。
  Q: I$ q- _6 i( ~9 B4 }& w( b( t6 L9 w8 Y/ K7 W
  目前,无线路由器或AP的密钥类型一般有两种。例如,所使用的无线路由器便有64位和128位的加密类型,分别输入10个或26个字符串作为加密密码。
7 r1 K2 a+ \: S$ A) O: P- f( v
4 c$ x, J% S2 j: `" H  在这里要提醒各位,许多无线路由器或AP在出厂时,数据传输加密功能是关闭的,如果你拿来就用而不作进一步设置的话,那么你的无线网络就成为了一个“不设防”的摆设。因此,为你的无线网络进行加密设置是极为重要的。
+ V# z  ?' ?; c6 p4 _% z, u. ~+ Z* D1 g: r

9 R/ z* E' t& L  t  测试结果:选用了64位加密方式,实测中,通过Network Stumbler等软件发现了无线网络的存在,但由于无法获取密码,不能使用该无线网络。 / `$ ?  W! M# l: W9 z
" C' I7 [- @" z
  禁用SSID广播
% v9 @6 v) y: ], k& T: Y1 {3 p2 P* z* H: d# ?
  通俗地说,SSID便是你给自己的无线网络所取的名字。需要注意的是,同一生产商推出的无线路由器或AP都使用了相同的SSID,一旦那些企图非法连接的攻击者利用通用的初始化字符串来连接无线网络,就极易建立起一条非法的连接,从而给我们的无线网络带来威胁。因此,建议你最好能够将SSID命名为一些较有个性的名字。 & v' N/ U( T) _7 N. g$ [. ~; x

) x0 }: j" H9 v! N& s' @  无线路由器一般都会提供“允许SSID广播”功能。如果你不想让自己的无线网络被别人通过SSID名称搜索到,那么最好“禁止SSID广播”。你的无线网络仍然可以使用,只是不会出现在其他人所搜索到的可用网络列表中。   Y( K! O7 K3 C; f2 Z7 d: i: y( B

$ X" z2 k3 F( X! d1 h7 d  小提示:通过禁止SSID广播设置后,无线网络的效率会受到一定的影响,但以此换取安全性的提高,认为还是值得的。
4 t% s, P; h' v6 Z& S' G3 y) F$ a& B7 `: i) ?) |; w
  测试结果:由于没有进行SSID广播,该无线网络被无线网卡忽略了,尤其是在使用Windows XP管理无线网络时,达到了“掩人耳目”的目的。 8 e: Z$ }: J* c7 o

  A# m) u* P% I2 M6 C! h  禁用DHCP
: k7 A! `& q8 b) D# b( H
( `9 a  Y- E7 w5 d% l: a  DHCP功能可在无线局域网内自动为每台电脑分配IP地址,不需要用户设置IP地址、子网掩码以及其他所需要的TCP/IP参数。如果启用了DHCP功能,那么别人就能很容易地使用你的无线网络。因此,禁用DHCP功能对无线网络而言很有必要。
2 m! K: r' ?/ z/ [5 P0 [9 M' n
- D1 R5 g: p/ [, Q  在无线路由器的“DHCP服务器”设置项下将DHCP服务器设定为“不启用”即可。
6 l6 m& r: W" |8 H
' y; }# ?# g6 v( F% M5 [# V  测试结果:由于无法获得IP地址和DNB服务器信息,既使能找到该无线网络信号,仍然不能使用网络。 0 V9 i* n2 J& R0 m: ^0 z& ~

5 i) ?. t" o2 _: K) T. G% G  启用MAC地址、IP地址过滤 4 Z7 F0 |$ |- q! K" x0 G/ D

3 o1 R6 p3 \2 B5 ^  在无线路由器的设置项中,启用MAC地址过滤功能时,要注意的是,在“过滤规则”中一定要选择“仅允许已设MAC地址列表中已生效的MAC地址访问无线网络”这类的选项。 - z( o( W: j# B9 F- x7 L6 O7 J7 _
4 s0 B& Q' t; v! m0 d* O
  另外,如果在无线局域网中禁用了DHCP功能,那么建议你为每台使用无线服务的电脑都设置一个固定的IP地址,然后将这些IP地址都输入IP地址允许列表中。启用了无线路由器的IP地址过滤功能后,只有IP地址在列表中的用户才能正常访问网络,其他人只能干瞪眼了。 # ~7 |4 i$ A: t: L3 Y

9 t  R8 {4 T) [8 N& M  N2 U! z  测试结果:MAC地址过滤和IP地址过滤设置好后,即使有人勉强入侵了无线网络,但由于MAC地址和IP地址被无线路由器的过滤功能禁止掉了,因此无线网络仍然无法使用。 6 v$ E* W) w7 y2 N) _+ E* |
- w6 X8 m) }) l0 Y9 C* l; Q
  总 结 4 n3 A6 L" w; _/ {; O, |" F! C

0 j0 Y  s4 A  M; U& i  实际上在实测的过程中发现,前面提到的任一方式都可以保护好自己的无线网络,所以普通用户无须担忧,可以放心使用。
3 h; S* \4 p# P( C% M2 ]1 O+ P3 y$ f1 Q* ^( X$ T: y
  另外,如果在机场、会议室等公共场合使用一些公用的无线网络,一定要记住关闭自己的文档和打印共享功能,因为这类共享的文档很容易被同一个局域网内的另外一个客户端所访问。* q% ^9 k. u0 Z. \& w4 J




欢迎光临 捌玖网络工作室 (http://89w.org/) Powered by Discuz! 7.2