避免无线安全威胁不能全靠无线加密
我们曾给大家介绍了目前主流无线加密方式的优劣对比,为用户选择加密方式提供了一些指导,但需要指出的是,仅靠无线加密是不能够完全杜绝外界带来的无线安全威胁,还应该注意无线网络的整体防护,只有在可能出现威胁的地方都加以小心,才能够更有效地保护我们的无线安全,总结一下,主要有以下几个方面。
更改默认设置
每个无线网络产品在刚开始使用时都会有一个默认的用户名和密码,用户在初次使用时一定要记得更改默认的用户名和密码。因为大部分无线网络设备的用户名和密码都是通用的,因此其他人可以轻而易举地通过默认的用户名和密码进入到你的网络,从而获得整个网络的管理权限,甚至有的人会更改你的用户名、密码,让真正的用户都无从登录,虽然通过恢复工厂设置还是可重新获得控制权,但这势必会让人觉得很郁闷。
更改你AP或无线路由器的默认SSID,当你操作的环境附近有其他邻近的AP时,更改默认的SSID就尤其需要了,在同一区域内有相同制造商的多台AP时,它们可能拥有相同的SSID,这样客户端就会有一个相当大的偶然机会去连接到不属于它们的AP上。在SSID中尤其不要使用个人的敏感信息。
屏蔽SSID广播
许多AP允许用户屏蔽SSID广播,这样可防范netstumbler的扫描,不过这也将禁止Windows XP的用户使用其内建的无线Zero配置应用程序和其他的客户端应用程序。尽管不能带来真正的安全,但至少可以减轻受到的威胁,因为很多初级的恶意攻击都是采用扫描的方式寻找那些有漏洞的系统。隐藏了SSID广播,这种可能性就大大降低了。
给WIFI加把锁
关闭机器或无线发射
关闭无线AP,这可能是一般用户来保护他们的无线网络所采用的最简单的方法了,在无需工作的整个晚上的时间内,可以使用一个简单的定时器来关闭我们的AP。不过,如果你拥有的是无线路由器的话,那因特网连接也被切断了,这倒也不失为一个好的办法。
在不能够或你不想周期性地关闭因特网连接的情况下,就不得不采用手动的方式来禁止无线路由器的无线发射了,不管怎样,在网络关闭的时间,安全性绝对是最高的,毕竟没人能够连接不存在的网络。
MAC地址过滤
MAC地址过滤是通过预先在AP在写入合法的MAC地址列表,只有当客户机的MAC地址和合法MAC地址表中的地址匹配,AP才允许客户机与之通信,实现物理地址过滤。这样可防止一些不太熟练的入侵初学者连接到我们的WLAN上,不过对老练的攻击者来说,是很容易被从开放的无线电波中截获数据帧,分析出合法用户的MAC地址的,然后通过本机的MAC地址来伪装成合法的用户,非法接入你的WLAN中。
降低发射功率
一些无线路由器和接入点准许用户降低发射器的功率,从而减少设备的覆盖范围。这是一个限制非法用户访问的实用方法。同时,仔细地调整天线的位置也可有助于防止信号落入其他人的手中。
此外还有一些诸如安装功能强大的防火墙,保证杀毒软件、网络浏览器以及无线网络客户机程序实时级等,都可以帮助用户减少外来入侵所带来的困扰。
手工指定IP
为了方便客户端设置,一般来说无线路由都会带有DHCP功能。其实,对于小规模的无线网络,我们完全可以直接手工为客户端分配IP地址,而不必使用DHCP。因为使用DHCP后,我们不太容易分辩出在线用户中哪些是正常的用户,哪些是非法用户。如果关闭DHCP,那么我们只需要查看当前在线用户,如果发现其IP地址不是分配的,那么则说明其是非法侵入的。
主动搜索无线网络
无线网络的安全更多的时候是来自临近用户的侵入。例如隔壁用户同样使用了无线网络,那么他在连接的时候则可能因为信号的穿透发现周围有一个无线AP,人都是好奇的,这样他就可能会想办法侵入。基于这样的道理,我们可以先关闭自己的无线AP(路由器),然后搜索一下附近是否有发射点,如果确认没有的话再开启自己的无线路由;如果有的话,那么则必须更加注意安全方面的防范。
【编辑推荐】