2023年12月18日发(作者:)
一、禁用Ad-Hoc(点对点)网络
你的启用无线功能的计算机有两个基本的通信模式:infrastructure(基础架构)网络和Ad-hoc(点对点)网络。在infrastructure(基础架构)模式中,网络中的所有计算机必须通过一个路由器来进行通话。也就是说,无论你是浏览互联网,还是与同一局域网下的其他计算机通信,你的所有的通信数据都经过路由器。大多数无线家庭网络都属于这种网络。
在Ad-hoc(点对点)模式下,计算机与计算机之间的通信可以直接进行,无需通过一个路由器或其他设备。在某些情况下,这是非常方便的,例如你想与别人快速共享文件。但是比较糟糕的是,一旦你启用这种模式,别人可以在你不知不觉中直接访问你的所有文件。
为了避免这种糟糕的情况的发生,我们强烈建议你禁用这个功能,实在需要使用它的时候,再打开它,一旦用完,马上再禁用该功能。
通过本文的介绍,相信大家对加固无线网络的几个步骤都已经有了一个比较理性的认识,下面的文章我们将以实际的例子来和大家看一些具体的设置过程,从而有一个感性的直观认识。
如果你的操作系统是Windows XP的话,它可以帮助我们管理大多数无线网卡,需要简单几步就可,下面我们看一下在Windows XP中如何禁用无线网卡的ad-hoc网络功能。
1、首先打开无线网卡的属性窗口。点击无线网络配置标签,在首选网络部分,点击高级按钮。
2、选择仅访问结构(infrastucute)网络;
3、点击关闭。
OK,假若我们的笔记本碰到了一个试图与我们建立ad-hoc连接的计算机,我们的无线网卡将对这种连接不再理会,这样可以保证我们的无线网络处于一种安全状态。
二、修改默认密码
现在很多无线宽带路由器的默认出厂密码都非常简单,类似“admin”“0000”、或“1234”等等。
假若你不修改这些默认密码就把你的无线设备连接到互联网上,一旦有人利用工具得知你的无线路由器的厂家和型号,你的密码无疑就已经被人掌握。
因此你在把无线设备连接到互联网上之前,应该参看说明书,在管理界面中将默认密码修改为一个比较强壮的密码。这是最基本的一步。
三、不要广播你的无线家庭网络服务器标识符(SSID)
每一个无线路由器都有一个名字用于允许客户端(启用无线网卡的计算机)来发现并连接它。这个名称通常被叫做服务器标识符,或SSID。如果要大大提高无线网络的安全性,首先要禁用SSID的广播。
大多数无线宽带路由器出厂默认设置都是打开SSID广播的。这个功能向无线覆盖范围内的所有无线客户端宣布你的无线网络的名称。尽管这个功能让你可以很方便的连接到无线网络中,它也让你的其他邻居也同样能发现你的无线网络。关闭这个广播功能。
此外,你要记住,一旦谁知道你的无线网络的服务集标识符(即使你的无线路由器的广播功能已经关闭),他就可以连到你的无线网络上来,因此你应该选择一个自己的服务集标识符(SSID),取名原则和起密码的原则类似,忌太简单太脆弱,可以取一个别人不容易猜到的名字。
通过此步,可以阻挡那些无意中发现你的无线网络的好奇的邻居,让你的无线网络穿上一身隐身衣,但是并不会真正提高无线网络自身的安全性。
注:要提醒大家的是,绝不要使用无线路由器出厂的默认服务集标识符SSID。(对于TPLink无线设备来说,就是TP-LINK)。假若你只是禁用了无线网络的服务集标识符SSID,攻击者还是很容易能猜到你的服务集标识符SSID,因此你的无线家庭网络依然是脆弱的。切记要把它修改成一个其他的名称,可以使随机的大写字母、小写字母和数字的组合。你可以把它记下来,以免忘记
三、加密你的无线信号: WPA(Wi-Fi Protected Access)
即使为你的无线网络穿上隐形衣,一个更具有经验的攻击者依然能通过各种手段来追查到你的SSID,并想办法获得访问,因此你还需要更多的安全设置。加固无线家庭网络的下一步就是启用加密。默认情况下,出厂后的无线设备是禁用了加密功能的。为了启用加密功能,我们必须设置一个安全密钥,该密钥只被无线路由器和你的无线家庭网络中的无线网卡所掌握。为了实现通讯,必须知道该安全密钥。
一般来说,无线路由器和家庭网络中的所有无线网卡必须运行同样的加密方法。但是,根据网络产品的年代不同,他们所支持的加密方法可能会有所不同。所以,关键是找到所有无线网卡和无线路由器都支持的最高安全级别的加密方法。也就是说,如果你的所有硬件都支持WPA2的话,那么可以选择它,如果有一个设备不支持,那么或者替换这个设备,或者降低所有的加密方法到该设备所支持的加密方法。
注:你要相信即使是128位的WEP加密也是不错的,它完全可以阻挡那些“好奇”的邻居,但是它不会阻挡一个真正的黑客攻击。WPA2的安全性已经非常高,很多大型企业都使用它来加密无线网络。
一旦选定了加密方法后,接下来你需要设置无线路由器和你的无线网络中的所有网卡。每一个设备都要被“告知”使用什么超级密钥来加入会话。
1、在无线路由器上启用WEP加密
首先,让我们举一个例子来说明实施128位WEP加密。现在让我们来看一下如何使用这个WEP密钥来设置无线路由器。
注:配置这一部分的时候,最好也使用有线来连接到无线路由器,因为如果你一旦输错了无线密钥的话,你将不能使用正确的密钥连接到无线路由器上。
如前面的无线路由器设置一样,使用你的Web浏览器来访问无线路由器,并点击无线参数标签。点击基本设置,如下图。先开启安全设置,在标有安全类型的一行,选择WEP。在密钥格式中选择16进制,输入密钥,点击保存。记下这个密钥。
在你点了保存设置后,此前连接到该无线路由器的任何计算机将失去连接。这是正常的,因为你已经修改他们与无线路由器之间的通信方式,但是你还没有告诉它们要使用什么安全密钥来访问无线路由器。
2、在无线路由器上启用WPA加密
为了和启用WEP加密做个对比,我们再以一个例子来介绍如何启用WPA加密,启用WPA加密与启用WEP加密很相似,不过有一点不同,在启用WPA加密之前,你必须要先决定这个加密密钥多长时间有效,举例来说,假若你设置成1800秒,也就30分钟,那么该密钥在被使用了30分钟后,无线路由器和无线网卡将产生一个新的密钥。如果一个黑客在30分钟内破解了该密钥,那么这个密钥有价值的时间也就不足30分钟了,因为30分钟后它就已经变成另一个全新的密钥了,黑客将不得不重新开始破解。
下面是一个在无线路由器上设置WPA的例子。
在无线参数中,选择开启安全设置,选择WPA-PSK,选择安全选项WPA-PSK,选择加密方法,输入PSK密码。在标有WPA共享密钥的地方,输入预共享密钥,在标有组密钥更新的地方,输入多长时间该密钥将更新。我们在本例中选择1800秒。点击保存设置。
注:密钥更新时间我们应该设置多长合适?没有一个好的答案,假若你将它设置的过于短的话,例如1-2分钟,的确安全性是提高了,但是对于某些网卡来说,这样有可能导致发生一些连接问题。我们推荐根据厂家的默认值就可以。
对于启用WPA加密,我们还需要把超级密码告诉每一个无线网卡,这样他们才会知道如何解码与无线路由器的通话。依次设置无线家庭网络中的每一台机器,记住每次都要核对一下是否已经连接到无线路由器。
排障小技巧:无线加密
假若有的计算机不能重新建立会话的话,需要检查的项目如下:
确认无线路由器和无线网卡的加密方法一致。
确认无线路由器和无线网卡中,用于生成WEP密钥(或WPA密钥)的密码短语相同。这个密码短语是大小写敏感的,例如,“p”和“P”是不一样的。所以在设置的时候要细心输入,注意大小写字母的区别。
如果还是不行的话,那么在无线路由器和无线网卡中都禁用加密,确认一下不启用加密是否可以建立连接。
仔细阅读厂家所带的手册中的排障部分和无线安全部分。
XP我们该怎么做
××××××××××××××××××××××××××××××××
为了确保你不会不小心连接上黑客创建的ad hoc网络,你可以通过简单的几步保护措施来保护自己,例如,你可以设定你的操作系统永远不会去连接一个ad
hoc网络,步骤如下:
1、点击系统托盘中的无线图标。
2、点击“属性”。
3、点击高级按钮
4、在弹出的窗口中,选择“Access Point(infrastrucure) network only”,并把Automatically connnect to non-preferred networks前面的复选框的勾选去掉。如果勾上这个复选框,你的计算机将在没有任何提示的情况下,就自动连接到附近的无线网络,这实在是一个很大的安全风险。
5、确认、关闭所有窗口。
备注:
假若你个无线图标没有在系统托盘中出现的话,你可以通过以下步骤调出无线连接:开始-设置-控制面板-双击无线连接图标。
还有一个不错的办法,从无线网络配置标签页的首选网络中,你可以看到你曾将连接过的网络。选中你不能确保安全的无线网络,然后点击删除,如此,你的计算机将不会再去尝试连接它们。
从首选网络中删除不熟悉的网络
除此之外,对于首选网络中剩下的网络连接,你应该设置你的计算机不去自动连接它们。你可能要问,这是为何?举个例子来说,如果你的无线家庭网络设备使用了默认的SSID,由于此类网络表示比较通用,那么黑客可以创建一个相同名称的ad hoc网络,那么你的计算机一旦在其覆盖范围之内,就会自动连接到这个欺骗性的无线网络中。
因此在首选网络部分,选中每一个网络,然后点击属性,然后点击连接标签,如下图所示。把“当此网络在区域内的时候自动连接”前面的对勾去掉。
去除自动连接
在Vista中如何保护自己
×××××××××××××××××××××××××××××××××××××
微软花费了巨大的精力来研发Vista,使其比XP具有更高的安全性。但是在无线网络方面,Vsita比XP更容易受到这种来自ad hoc无线网络的攻击。这是因为在Vista中,你不能和在XP中一样可以轻松的识别一个无线网络到底是ad hoc网络还是普通无线网络。但是,如果你知道了其中的窍门,这也不是一件难事。
在Vista中,要连接到一个无线网络,你要点击任务托盘上的网络图标,然后选择“连接或断开”。“连接到一个网络”窗口就会出现,同样显示一些附近的无线网络。从这儿你可以看到无线网络的名称以及该无线网络加密与否,如果你想看更详细的信息,可以把鼠标悬浮在该无线网络条目的上面,会有一个浮动窗口出现。但是其中的信息并不能告诉你这个无线网络到底是一个真正的热点无线网络还是一个ad hoc网络。
不过,如果你够细心的话,可以发现,在每一个无线网络前面都有一个小图标,从这个图标上你可以看出这是一个ad hoc网络还是一个普通的无线网络。如果是一个计算机的话,则是一个普通的无线网络;如果是几台计算机的话,则是一个ad hoc无线网络。
还有一些其他的措施来让你保护自己,包括关闭文件共享,或者在无线热点网络中的时候通过VPN服务来保护自己,不过笔者看来,最安全的办法就是一旦进入热点无线网络,你要保持足够的警惕性。
路由器配置篇
××××××××××××××××××××××××××××××
修改无线路由器密码
合理设置无线上网的参数
无线上网参数也是一个容易产生安全隐患的设置选项,尤其是诸如SSID广播这样的设置选项,以及相关的安全设置,这些都是容易产生安全隐患的地方。合理设置无线上网的参数,就可以将无线局域网的安全漏洞封杀掉。在无线上网参数设置项中,主要有以下几个设置项容易产生安全漏洞,下面将封杀方法分享给用户。
1、关闭SSID广播
SSID(Service Set Identifier)也可以写为ESSID,用来区分不同的网络,最多可以有32个字符,无线网卡设置了不同的SSID就可以进入不同网络,SSID通常由无线路由器广播出来,通过XP自带的扫描功能可以相看当前区域内的SSID。简单说,SSID就是一个局域网的名称,只有设置为名称相同SSID的值的电脑才能互相通信。
在默认情况下,无线路由器的SSID是路由器的品牌名称,而且是默认的,这无疑给了入侵者一个最佳的机会。为此,我们必须将无线路由器默认的SSID更改掉。为了安全,建议用户关闭无线路由器的SSID广播。
2、开启无线上网安全设置
为了增加无线上网的安全性,无线路由器中提供了“无线上网安全设置”选项,而无线路由器出厂时,厂商通常将该功能关闭了。为了提高无线上网的安全性能,可以将此项功能启用。
开启了无线上网安全设置选项之后,用户还必须对“安全类型”、“安全选项”和“密钥格式选择”进行相关的设置。所有的设置完毕之后,用户端必须进行相应的配置才可以与无线路由器进行正常的通讯,而且用户端的设置必须与用户端无线网卡的设置相匹配才行。
经过上述一系列的设置之后,无线路由器的安全性能将会得到很大的提升,无线上网也会更加安全。另外,DHCP服务的相关设置,也是事关无线上网安全的关键设置。
禁用DHCP服务器
从表面看,DHCP服务器与无线上网的安全性能没有丝毫的关系。事实上,无线路由器启用了DHCP服务器之后,无线上网的安全性也受到了很大的威胁。为此,为了提高无线上网的安全性能,必须禁止DHCP服务器。
如果无线路由器中开启了DHCP服务器,无线路由器就会自动分配一个IP地址给无线网络客户端,这样,无线客户端就会从无线路由器中获得IP地址、子网掩码、DNS及网关等信息。获得了IP地址等一系列的信息之后,无线路由器无疑将会暴露于公众之下,别人很轻易的就可以使用无线路由器的资源。为此,启用DHPC服务器会降低无线路由器的安全性能,成为一个有隐患的漏洞。
除了关闭DHCP服务器之外,无线路由器中一些安全设置,对于提高无线上网的安全性能也是非常重要的。
巧用无线路由器安全设置
在无线路由器的设置中,“安全设置”中的一些选项可以有效的封堵安全漏洞,让无线上网更安全,经常用到的安全设置主要有MAC地址过滤和IP地址过滤两项。启用MAC地址过滤功能时,要注意的是,在“过滤规则”中一定要选择“仅允许已设MAC地址列表中已生效的MAC地址访问无线网络”这类的选项,不然设置的MAC地址过滤不会生效。IP地址过滤与MAC过滤相似。
设置了MAC地址过滤和IP地址过滤之后,一些非法入侵者将很难入侵到无线路由器,无线上网也变得更加安全了。
无线网络是一个比有线局域网开放的网络,安全漏洞也相对多一些。为此,我们必须将无线路由器中一些安全设置选项启用,这样才能让无线上网更安全。
1、隐藏你的网络ID
无线网络中的计算机是通过一种双向会话的方式连接的。你的无线网络路由器会不断的发送其名字,通常我们称之为服务设定标识(SSID)。你的无线网卡发现SSID后,然后通过这个名称与无线路由器连接。假若有人知道了你的SSID,就可以很轻松的连接到你的无线网络中来。
当你购买一个无线路由器后,一般他有一个和该厂商生产的数百万个无限路由器相同的默认SSID,一个想成为黑客的人可以搜索大多数主流设备厂家的默认SSID,从而可以迅速的发现无线网络。
修改你的无线网络的默认SSID到一个只有你熟悉的名字,这就是最简单的第一道防线。但是如果仅仅如此操作,并非一个完善的防线,因为有许多工具可以自动发现附近无线网络的SSID。Windows XP中就有这个功能,因此你还需要禁用SSID广播。
修改SSID并禁止其广播的设置方法因路由器而不同,我们以TPlink TL-WR541G为例看一下,在浏览器中输入无线路由器的地址后,输入用户名和口令,从左侧的导航窗口中选择无线参数,我们可以看到一个设置SSID号的文本框,在其中设置上我们要用的SSID号,然后在下面的允许SSID广播的复选框中把对勾去掉,保存即可。
修改SSID及禁用SSID广播
现在你的无线路由器对路人来说是不可见的了,同时也对你的无线网络的合法计算机也不可见了。你需要告诉他们使用什么新的SSID。以Windows XP SP2为例,点击Widnows任务托盘中的无线鼠标,点击查看无线网络按钮。点击左边视图中的修改高级设置链接,然后点击无线网络配置标签。在首选网络部分点击增加按钮,然后输入你的修改后的SSID,点击确认,你就可以连接到你的无线网络中了。
修改客户端PC设置
2、使用加密
加密可以使得没有密钥的人无法登录到你的网络上来,即时有的人通过某些侦听工具截获了网络上的数据,得到的也只是经过加密的没有意义的字符。
目前可以供人们使用的加密标准有两种:无线对等协议(WEP)和Wi-Fi保护接入。WEP要比WPA老,但是不如WPA安全,因此你最好使用WPA加密。但是WEP在很多情况下也足够安全了,因为入侵者或窥探者一般不会花费大量的时间和经理来试图攻破你的加密。使用加密来保护你的无线网络免受一般入侵者已经足够了。
我们以TP-LINK TL-WR541G为例看一下如何设置启用WPA加密。和设置SSID同一个地方,我们在下方勾选上启用安全设置,然后安全类型选择WPA-PSK/WPA2-PSK,加密方法选用TKIP,然后输入PSK密码。保存即可。
启用加密
无线路由器上设置加密后,你需要在你的每一台PC上使用相同的密钥来设置加密参数。
点击Widnows任务托盘中的无线鼠标,点击查看无线网络按钮。点击左边视图中的修改高级设置链接,然后点击无线网络标签。高亮你的无线网络,点击属性按钮,然后点击关联标签,在网络验证下拉菜单中,选择你的加密标准。在数据加密对话框中,选择TKIP,然后在网络密钥对话框中输入密钥,你的PC就可以连接到你的使用WPA加密的无线网络了。
设置客户端密钥
3、使用MAC地址过滤
每一个网络设备都有唯一的被称作MAC地址的ID,一般是这种格式:00-08-A1-00-9F-32。你可以利用他来据入侵者于门外。许多路由器允许你设定一个范围的MAC地址可以接入到互联网。这样你可以告诉无线路由器哪些是你自己的PC的MAC地址,不属于这个范围的一律拒之门外。
在TP-LINK TL-WR541G中,进入管理窗口后,点击安全设置,选择防火墙设置,开启防火墙,并开启MAC地址过滤功能,将缺省的过滤规则设为仅允许已设MAC地址列表中已启用的MAC地址访问Internet,点击保存,如下图。
开启MAC地址过滤
然后从左边导航窗口中选择MAC地址过滤,添加新条目,将允许通过的MAC地址添加上。
添加MAC地址
这样如果你买了一台新计算机,然后想让其连入无线网络的话,只需要查看该计算机的MAC地址,然后在无线路由器的MAC地址表中加入新的MAC地址就可以。
想查看你使用的PC的MAC地址,选择开始-运行,输入command或cmd,回车,会弹出一个DOS窗口,在其中输入ipconfig/all命令,回车,在显示的信息中查找类似00-08-A1-00-9F-32格式的数据,这就是网卡的MAC地址。
查看MAC地址信息
4、限定IP地址
当你的计算机连接到你的网络中的时候,你的无线路由器通常会分给他一个IP地址,用他来浏览网页或连接外部互联网。通常情况下,无线路由器会给每一个连接到无线网络中来的每一台机器分配一个IP。
但是你可以告诉你的无线路由器只分配一定范围的IP地址,假如你的网络中的计算机使用了所有的IP地址的话,你的无线路由器就不会为入侵者再分配IP地址。
5、在每一台PC上部署防火墙
保护你的无线网络的最好的方法之一是保护网络中的每一台计算机。假若一个入侵者想办法连接到你的无线网络中,但是由于防火墙的阻挡,而不能接触到网络中计算机的任何数据,那么唯一的损失可能就是带宽的损失,因此在每一台PC上部署防火墙是很有必要的。
XP的防火墙默认是打开的,但是他不能阻挡外出的链接。你可以借助其他的安全厂商的防火墙来保护你的计算机。
Network Magic是一款家庭网络管理软件
可以帮助我们建立家庭网络、解决网络安全隐患、简化打印共享和网络文件的共享,软件大小为6M多,目前有两个版本,一个免费版一个付费版,虽然付费版功能更强大,不过如果你的目的如果就是为了配置你的无线网络以达到最大安全性的话,免费版功能够用了。
发布评论