论文部分内容阅读
当今计算机网络覆盖全球,在有线网络广泛应用的同时,组网灵活、方便快捷的无线网络技术也在逐渐普及,现在不少单位、家庭也能自己组建小型的无线局域网。无线局域网(Wireless Local Area Networks;WLAN)是比较方便的数据传输系统,不需要传统网线,用无线电波和红外线技术进行信号传输,大大提升了信息交换的效率,为用户带来了更加方便快捷的网络服务,但也存在着许多网络安全的问题,并制约了无线网络的发展。
一、无线网络存在的安全问题
1.数据的泄露,如窃听、截取甚至篡改
我们知道,无线信号通过空气便能传输,正因为无线介质信号传播的开放性特性,信号会被传输到一些意外到达的地方。加上很多无线网络没有使用加密功能,或者加密了但没有关闭无线基站(Wireless Access Point)得广播信息功能,一些非法用户只要使用一个笔记本电脑或者安装有无线网卡的计算机就很容易搜索到附近的无线信号。如果使用专门用来搜索无线网络的软件,如NetStumbler、AiroPeek等,就可以对无线信号进行监听、截取,甚至进行其他非法的入侵操作。
2.网络资源被窃取
有些用户也许并没有恶意,但就是喜欢从邻近的无线网络访问互联网,或者是想尝试网上流传较多的“无线蹭网”秘笈是否有效,使得合法用户大量的网络带宽被占用,网络性能严重受到影响。
3.用户欠缺安全防范意识
一些家庭组建的无线网络没有采取安全措施,或者只采用了无线对等协议(Wired Equivalent Privacy,WEP)加密功能,这样会给“蹭网”者或者黑客的入侵带来极大的便利。也有一些单位既组建了有线网络也组建了无线网络,但因为对无线网络不常使用或很少使用而忽视对其管理。这样容易与有线网络脱节,既不能充分发挥无线网络的作用,也会引起整个网络的安全隐患。
二、无线网络的安全防护
1.修改用户名及密码
当我们购买了无线路由器后,可以通过制造商提供的页面管理工具设置该设备的网络地址、用户名、密码等。因为,这些设备出厂时的默认信息都是一样或者类似的,甚至不同厂家的默认信息也有相同的情况。笔者曾用过T-LINK、D-LINK、腾达无线路由器,它们由不同厂家生产,但默认用户名都是admin或者是adminstrer,密码同上或者是没有密码。如果没有修改这些默认信息,无疑是给了黑客可乘之机,他们只要通过简单的扫描工具就能找出这些设备的地址,并尝试用默认的用户名和密码去登陆管理页面,如果成功就会取得该路由器的控制权。
2.隐藏服务标识符
修改了用户名与密码后,登陆管理页面我们便可以设置隐藏服务标识符(Service Set Identifier;SSID)。SSID用来区分不同的网络,就像人的姓名一样。无线终端接入无线网路时必须提供匹配的SSID,否则不能接入。一般来说,无线路由器会广播SSID,接入终端可以通过扫描获知附近存在哪些可用的无线网络。现在的无线网卡基本上都有自动扫描功能,将能联系到的所有无线网络SSID罗列出来。所以,我们可以设置隐藏SSID,并将SSID名字修改成一串难以猜解的长字符串。这样,由于SSID被隐藏起来了,接入端通过系统自带的扫描功能也难以搜索到这个实际存在的无线网络,即便别人知道有一个无线网络存在,但猜不出SSID全名也无法接入到这个网络中去的。
3.过滤MAC地址
每一个网卡在出厂时都有一个唯一、固定的物理地址(MAC地址),就像每个人的身份证号码一样。无线路由器一般都有过滤MAC地址的功能,只要将可信任的MAC地址输入到无线路由器的访问控制表(Access Control)里,MAC地址不在控制表内的设备就会被拒绝。但这种方法只能对付黑客新手,因为MAC地址在传输时没有经过加密,经验丰富的黑客只要探测或监控网络上传输的数据包,就可以知道授权计算机列表上有哪些MAC地址,他就可以为自己的计算机设定一个虚假MAC地址来欺骗路由器。要想网络更加安全,还要进一步采取下面的方法。
4.设置WPA加密
无线路由一般有两种加密方法:无线对等协议(Wired Equivalent Privacy,WEP)与无线保护接入(Wi-Fi Protected Access ,WPA),加密后可以拒绝没有密钥的人登录到无线网络上。而WEP的密钥长度只有128位,固定不变,WPA有256位。在数据包传输过程中,WPA的密钥不断变化,而且在设置加密时还可以包含特殊字符与空格,所以入侵者想通过探测到的数据包来破解WPA密钥,是有很大难度的。目前网络上流行的所谓破解无线网络密码,指的仅只是WEP。笔者曾在网络上搜索多次,目前还没搜到关于破解WPA的有效方法。因此,目前WPA比WEP加密机制更加强大、更加安全,我们最好启用WPA加密。
5.禁用DHCP与SNMP
默认情况下,无线路由器会给每一台联网的计算机分配一个随机IP地址,用户只需设置自动获取IP地址即可。如果是家用无线网络,由于人数不多,可以指定联网计算机的IP地址,或者缩小能够分配的IP地址范围。假设网络中的计算机使用了所有IP地址的话,入侵者就不能被分配到IP地址了。如果在使用人数较多的单位,最好是禁用DHCP(动态主机配置协议),这样无论黑客如何利用访问点,他至少要破译TCP/IP参数、子网掩码等信息。而对于SNMP(简单网络管理协议),要么禁用,要么改变系统默认的字符串。否则,黑客能利用它来获得网络的相关重要信息。以上五点,最好同时实现。笔者从2007年至今,都是在家里使用无线网络并且按以上五点设置,暂时没出现过无线网络安全问题。
6.软硬兼施
软指的就是杀毒软件,建议用户在计算机上安装正版的杀毒软件或者软件防火墙,最好选用能自动更新、扫描速度快并能清理通信程序附件的软件。当然,基本上杀毒软件都会占用计算机的内存。硬指的是路由器内置的硬件防火墙,现在许多路由器都有此项功能,利用自身的处理器进行端口过滤和加密任务。这样基本上不会占用计算机的资源,给用户更好的整体性能,用户在选购路由器时,最好是选择自带这项功能的。
以上所谈的仅是对无线网络进行安全防护的基本措施,且并非万全之策。任何的网络安全技术都要人为发挥作用,所以最重要的还是用户加强无线网络的安全意识、管理意识,防范于未然。一旦发现异常,最好马上断网,并做好数据及重要信息的备份保护工作;需要时重新安装操作系统,争取将损失降到最低。
(作者单位:广东省佛山市三水区技工学校)
一、无线网络存在的安全问题
1.数据的泄露,如窃听、截取甚至篡改
我们知道,无线信号通过空气便能传输,正因为无线介质信号传播的开放性特性,信号会被传输到一些意外到达的地方。加上很多无线网络没有使用加密功能,或者加密了但没有关闭无线基站(Wireless Access Point)得广播信息功能,一些非法用户只要使用一个笔记本电脑或者安装有无线网卡的计算机就很容易搜索到附近的无线信号。如果使用专门用来搜索无线网络的软件,如NetStumbler、AiroPeek等,就可以对无线信号进行监听、截取,甚至进行其他非法的入侵操作。
2.网络资源被窃取
有些用户也许并没有恶意,但就是喜欢从邻近的无线网络访问互联网,或者是想尝试网上流传较多的“无线蹭网”秘笈是否有效,使得合法用户大量的网络带宽被占用,网络性能严重受到影响。
3.用户欠缺安全防范意识
一些家庭组建的无线网络没有采取安全措施,或者只采用了无线对等协议(Wired Equivalent Privacy,WEP)加密功能,这样会给“蹭网”者或者黑客的入侵带来极大的便利。也有一些单位既组建了有线网络也组建了无线网络,但因为对无线网络不常使用或很少使用而忽视对其管理。这样容易与有线网络脱节,既不能充分发挥无线网络的作用,也会引起整个网络的安全隐患。
二、无线网络的安全防护
1.修改用户名及密码
当我们购买了无线路由器后,可以通过制造商提供的页面管理工具设置该设备的网络地址、用户名、密码等。因为,这些设备出厂时的默认信息都是一样或者类似的,甚至不同厂家的默认信息也有相同的情况。笔者曾用过T-LINK、D-LINK、腾达无线路由器,它们由不同厂家生产,但默认用户名都是admin或者是adminstrer,密码同上或者是没有密码。如果没有修改这些默认信息,无疑是给了黑客可乘之机,他们只要通过简单的扫描工具就能找出这些设备的地址,并尝试用默认的用户名和密码去登陆管理页面,如果成功就会取得该路由器的控制权。
2.隐藏服务标识符
修改了用户名与密码后,登陆管理页面我们便可以设置隐藏服务标识符(Service Set Identifier;SSID)。SSID用来区分不同的网络,就像人的姓名一样。无线终端接入无线网路时必须提供匹配的SSID,否则不能接入。一般来说,无线路由器会广播SSID,接入终端可以通过扫描获知附近存在哪些可用的无线网络。现在的无线网卡基本上都有自动扫描功能,将能联系到的所有无线网络SSID罗列出来。所以,我们可以设置隐藏SSID,并将SSID名字修改成一串难以猜解的长字符串。这样,由于SSID被隐藏起来了,接入端通过系统自带的扫描功能也难以搜索到这个实际存在的无线网络,即便别人知道有一个无线网络存在,但猜不出SSID全名也无法接入到这个网络中去的。
3.过滤MAC地址
每一个网卡在出厂时都有一个唯一、固定的物理地址(MAC地址),就像每个人的身份证号码一样。无线路由器一般都有过滤MAC地址的功能,只要将可信任的MAC地址输入到无线路由器的访问控制表(Access Control)里,MAC地址不在控制表内的设备就会被拒绝。但这种方法只能对付黑客新手,因为MAC地址在传输时没有经过加密,经验丰富的黑客只要探测或监控网络上传输的数据包,就可以知道授权计算机列表上有哪些MAC地址,他就可以为自己的计算机设定一个虚假MAC地址来欺骗路由器。要想网络更加安全,还要进一步采取下面的方法。
4.设置WPA加密
无线路由一般有两种加密方法:无线对等协议(Wired Equivalent Privacy,WEP)与无线保护接入(Wi-Fi Protected Access ,WPA),加密后可以拒绝没有密钥的人登录到无线网络上。而WEP的密钥长度只有128位,固定不变,WPA有256位。在数据包传输过程中,WPA的密钥不断变化,而且在设置加密时还可以包含特殊字符与空格,所以入侵者想通过探测到的数据包来破解WPA密钥,是有很大难度的。目前网络上流行的所谓破解无线网络密码,指的仅只是WEP。笔者曾在网络上搜索多次,目前还没搜到关于破解WPA的有效方法。因此,目前WPA比WEP加密机制更加强大、更加安全,我们最好启用WPA加密。
5.禁用DHCP与SNMP
默认情况下,无线路由器会给每一台联网的计算机分配一个随机IP地址,用户只需设置自动获取IP地址即可。如果是家用无线网络,由于人数不多,可以指定联网计算机的IP地址,或者缩小能够分配的IP地址范围。假设网络中的计算机使用了所有IP地址的话,入侵者就不能被分配到IP地址了。如果在使用人数较多的单位,最好是禁用DHCP(动态主机配置协议),这样无论黑客如何利用访问点,他至少要破译TCP/IP参数、子网掩码等信息。而对于SNMP(简单网络管理协议),要么禁用,要么改变系统默认的字符串。否则,黑客能利用它来获得网络的相关重要信息。以上五点,最好同时实现。笔者从2007年至今,都是在家里使用无线网络并且按以上五点设置,暂时没出现过无线网络安全问题。
6.软硬兼施
软指的就是杀毒软件,建议用户在计算机上安装正版的杀毒软件或者软件防火墙,最好选用能自动更新、扫描速度快并能清理通信程序附件的软件。当然,基本上杀毒软件都会占用计算机的内存。硬指的是路由器内置的硬件防火墙,现在许多路由器都有此项功能,利用自身的处理器进行端口过滤和加密任务。这样基本上不会占用计算机的资源,给用户更好的整体性能,用户在选购路由器时,最好是选择自带这项功能的。
以上所谈的仅是对无线网络进行安全防护的基本措施,且并非万全之策。任何的网络安全技术都要人为发挥作用,所以最重要的还是用户加强无线网络的安全意识、管理意识,防范于未然。一旦发现异常,最好马上断网,并做好数据及重要信息的备份保护工作;需要时重新安装操作系统,争取将损失降到最低。
(作者单位:广东省佛山市三水区技工学校)