原创 ---------南霸天
现在很多家庭都买无线路由器,大大方便了本本的上网移动性,一会在客厅上网,一会在卧室,一会又去书房,省去了到处拉网线的苦恼,方便了上网。至于网速,11g的54Mbps完全满足你的ADSL的2Mbps上网速度,这个大大完全不用担心,如果你用的100M的光纤,真正的100M网络速度,(我看没有几个有,除非你是zf或电信自己,我也是在zf某部门网络上用过,那个速度没的说),你也可以选用11n的300Mbps,记住一句话:有需求就用市场。
言归正传,目前市场上出现了一些所谓的永久免费上网卡,什么卡王,卡皇,吹嘘的无所不能,导致很多用户担心自己的无线网络被破解,窃听,影响自己的网络速度和网络安全,其实大家不要恐慌,当你正确设置你无线路由后,这种担忧就不存在了。在这里,我不去评价所谓的蹭网卡的破解能力和他们的吹嘘之处,实际上这些蹭网卡只能破解WEP有线对称加密方式,我将教大家安全设置你的无线路由器,完全可以防止蹭网卡的破解,做到无线的安全。 简单说一下什么是WEP加密,WEP全称是Wired Equivalent Protocol有线等效协议,是IEEE 802.11的标准加密方式,也就是说是一种标准加密方式,所有的无线产品都支持WEP加密,否则,不符合标准,注定要被淘汰。后来经过一些专家和好事者、爱好者的努力,发现WEP存在很大的漏洞,很容易就被伪装攻击导致密码被破解,之后WiFi联盟就提出了WPA(Wi-Fi Protected Access)加密技术,WPA来自于802.11i,目前有WPA和WPA2。
市面上销售的无线路由器一般都支持WEP 64位/128位/152位,简单的说就是密码的长度,当然越长越安全,破解难度越大,但是WEP的天生不足,即使152位也容易被破解,只是时间的问题。支持WPA,WPA2加密技术,WPA和WPA2用了两种不同的加密算法,从技术上说WPA2比WPA更加安全,WPA和WPA2设置又分为两种,应用于不同的网络环境和网络级别,一种叫PSK(Pre-shared Key)预设共享键值,登陆的无线终端网卡也必须输出这个键值,才能验证通过,PSK是输入预先设置的键值密码,一般长度8到63个可打印字符。这种
WPA-psk适合用于家庭用户和一些安全性不是很高的地方,从技术上说,破解也是可以的,不过时间上比较长一点,已经有破解WPA-psk成功的例子了,很多的爱好者一直在致力于这样的破解工作,你可以看作他们是一群疯子,破坏和谐,也可以看成他们是一群勇士,为了更加安全的加密技术而奋斗。 另一种叫enterprise企业级,就是配合Radius服务器进行端口认证802.1x,需要认证证书,当然对于家庭用户,这种模式过于麻烦,还得专门配一台radius服务器,有点小题大做了。
只要做到以下几点,加强你的无线安全,我想你可以放心了,但是凡事有个度,没有绝对的安全,只有相对的安全.以下主要是针对家庭用户的无线路由器配置,基本上无线路由器都有这些功能设置,从100多元的到1000多元:
1. 尽量避免使用WEP加密,采用WPA2-PSK或是WPA-PSK,键值一般设置越长越好,长了可能不好记住,一般30个可打印字符即可,数字,字母,符号组合最好。设置一般位于安全设置页面,和WEP同在一个下拉选框,选择WPA2-psk,输入你的键值。注意了XP用户的无线网卡不支持WPA2,这里你可以打一个补丁 KB917021-WPA2-PATCH.exe。如果你闲麻烦,就用WPA-psk也可以的。
2. 设置你的开放式认证为共享式认证,开放式认证顾名思义就是任何无线点都可以认证通过,如果设置了加密安全,传输数据的时候就得启用设置的加密技术,比如你看到一个网络时加密的,但是你乱输入一些密码后尝试连接,也可以显示已经连接,这就是开放式认证,但是你传输数据的时候,你给的密匙不对,传输失败。这好比你在我这里登记了,我知道你了,你要我为你做一件事情,我的问问你口令,你给我口令X,我一看口令X不对,对不起,我不能为你做事情,重来,口令,接下来,你就不停的给我口令,我不停的让你重来。共享式认证,好比一开始登记,你就得给我口令,否则我不给你登记,更别说为你做事情了。
3. ACL(Access control list)设置,很多人都不知道这是干吗用的,这个就是依据MAC 地址来控制无线终端设备,简单的说就是是否允许某网卡的地址通过,网卡地址MAC是一个48位6字节的物理网络地址,是网卡在出厂的时候由生产厂家设置好了,这是由IEEE统一分配的,每个网卡MAC地址是全球唯一的地址,前面3个字节是生产厂家名字,后3个字节是值,依次增加。如 00-02-B3-00-00-01 ,00-02-03表示Intel公司的网卡,00-00-01是该网卡的值,那么下一个网卡可以分配00-02-B3-00-00-02,注意很多公司在IEEE不止注册一个标示,具体可以看ieee_public_oui.txt.
ACL就是用来控制MAC地址的动作,在无线路由器设置页面,你可以选择ACL访问控制列表,打开这个功能,选择允许通过,在下面的列表中输入你允许的无线网卡的MAC地址,比如你笔记本无线网卡的MAC地址等,一般最大能支持32个MAC地址输入,无线路由器就允许你输入的MAC地址认证通过,其它的一概拒绝,保证了你无线网络的安全,如果你选ACL的不允许通过功能,意味着你输入的MAC地址认证永远失败,其它允许认证。
获取无线网卡的MAC地址,打开一个ms-dos,输入ipconfig /all 就可以看到你网线网卡的物理MAC地址了。
4. 关闭你的DHCP server服务功能,动态获得IP的确是很方便,也解决了IP冲突问题,但是只要合法进入到你无线网络的点,发出动态获得DHCP IP请求,你的无线路由都会
分配一个IP地址给他,这里面可能还包括了网关,DNS地址等信息。其实802.11是位于MAC第二层,还没有到IP层,即使破解的网卡正确认证通过了你的无线路由器,如果没有正确的IP地址,也是无法和外界通信的。关闭DHCP server功能,是切断了一个容易获得IP信息的通道。
5. 修改你无线路由器的地址和局域网LAN的网段,很多无线路由器的缺省地址为192.168.1.1 或是192.168.10.1 ,同时这个地址作为网关,修改这个地址为不常用的局域网LAN地址,比如10.0.10.1 ,172.16.1.1 等等,避免一下就被猜中。
做到定期修改加密密码和无线路由密码,还是那句话:没有绝对的安全。 如果你发现网络速度变慢,你可以登陆无线路由器,查看连接站点信息,一般无线路由器有显示连接所有站点信息的功能,一旦发现可疑的站点,你必须的加强你的无线网络安全了。 只要做到以上1,2,3点,你的网络还是很很安全的,但是不敢保证有爱好者就无事花大量的时间破解你的无线网络,目睹一下你的尊容,呵呵,玩笑了。
原创 ---------南霸天