一、基本安全设置

1、修改路由器的初始管理帐号（或密码）

　　

大部分无线路由器的默认管理帐号几乎可以说是公开的“秘密”，所以，在开始使用无线路由器之前，首先记得把路由器的默认管理密码


（当然，如果管理用户名可以改的话更好）。不然，就会让别人轻而易举地得到您的路由器的控制权。


尽管事后您也可以恢复出厂设置，但一则可能造成的损失已无法挽回；二则会丢掉您对路由器所做的配置，带来不便。


修改初始密码是对无线路由器的第一道防线。

2、修改SSID


　　SSID(Service Set Identifier,服务设置标志号)类似于无线路由器的识别号，从某种意义上可以认为是无线设备之间的一个简单口令。


     每个无线路由器内均会设置一个 SSID，当笔记本或其他无线终端要连上无线路由器时，其必须出示相同的SSID，不然，将被无线路


由器拒绝。


　　SSID一般默认值为厂商名称或“Default”、“工作组”之类，比如LINKSYS路由器的SSID便统一为“LINKSYS”，所以，如果您和您邻居


用的是同一种无线路由器，便极有可能发生连到对方网里的情况。很多时候，使用默认的SSID，用句不好听的话，无异于“插标卖首”，


为恶意攻击者指明方向。

Windows XP搜寻到的无线网络，无线信号灯右的黑体字即为相应无线路由器的SSID。

　SSID更改的原则是在易用的前提下尽量复杂些，比如不要用名字、电话号码之类。尽量同时使用字母与数字，对某些区分大小写的路


由器，尽量在SSID中交替使用大小写字母，以提高SSID的强度。


　另外，为保证SSID的有效性，应该每隔一段时间重新设定一下SSID。


3、关闭SSID广播


　　通常情况下，无线路由器会向所有无线工作站广播其无线网络标识（SSID）。这样那些没有无线网络标识（或者无线网络标识设置


为“空”）的无线工作站只要启动无线网卡，便可搜寻到本接入点，然后通过选择相应的无线网络标识来连接到本线网络。


     如果我们关闭了SSID广播，无线路由器便不会出现在可用网络列表上。用户只有输入了正确的 SSID 后才能连接，这就为不知道


SSID 的其他非指定用户连入这个接入点设置了障碍。

　　从这里也可以看出上一步关于SSID命名的重要性了，相对来说，越复杂的SSID便越难以被猜中的，可以在一定意义上起到保护无线


网络的作用。


　　如果网络并没有广播本身的网络名，那么可用网络（Available networks）列表中不会出现该网络名。这时就需要用户自己添加已知


的可用网络，在首选网络（Preferred networks）中，点击添加（Add），然后在无线网络属性（Wireless Network Properties）中，指


定网络名（SSID），如果需要的话，还可以指定无线网络的关键设置。

4、修改默认IP

      路由器出厂时默认使用特定的IP，像Linksys 与Netgear的产品默认值192.168.1.1，这些地址是人所共知的，恶意入侵者只要知道您


的设备型号便可轻松地找出无线路由器的IP。因此，我们应该将此值改为其他，如上文所言之Linksys 路由器，我们可以将其由默认的


192.168.1.1 改为192.168.10.1之类。虽然改变IP地址本身并不能在真正意义上加强无线网络的安全，但最低程度上为入侵者定位我们


的无线网络增加了难度。

5、关闭DHCP(Dynamic Host Configuration Protocol：动态主机配置协议)

      从网络安全的角度，在某种程度上，DHCP则是有必要关闭的。

　　正如我们在上篇点评中所说的，DHCP服务器监听每一个想连接到网上寻找信息的设备，并给其动态分配一个可用的IP地址。而


DHCP协议自身无法判断地址请求者本身是否合法用户，在没有其他安全措施作保证的前提下，将导致其不仅给合法用户分配地址，也给


非法用户或入侵者分配地址。


　　这就要求我们做一些额外的工作，即给每台无线工作站设定一个只属于它的静态IP，不过一般家用网络工作站不多，倒不用费太多


的事。


　　特别是如果第四项中您已经改了路由器的IP，这时就更有必要关闭DHCP了，不然，路由器便主动地把自己的IP告诉入侵者。


6、设置ACL(Access Control List：访问控制列表)


　　ACL以无线网卡的MAC地址作为是否可以接入的过滤机制。每个无线工作站网卡都由唯一的物理地址标示，该物理地址编码方式与普


通网卡物理地址相同，也为一48位的编码。可以通过在无线路由器中设定一组允许访问或不允许访问的MAC地址列表，而实现路由器的


访问过滤，在一定程度上提高无线网络安全的可控性。

在命令行下使用Ipconfig /all可找到无线网卡的MAC地址。


需要注意的是，如果没有关闭无线路由器的SSID广播功能，设定ACL是没有意义的，最初级的入侵者也可通过简单的抓包工具分析出合


法的MAC地址，然后只要修改自己的网卡冒充其便可畅通无阻。


　  客观地说，上文所言之安全设置都是最初级的，事实上也只不过能避免无意的邻居使用您的无线路由器而矣。从安全防护的角度看，


无线网络在给使用者带来便利的同时，也给入侵者带来了极大的便利：其不必像传统的有线网络那样，需要物理上联入我们的内部网，


其所需的只不过是基本的数据分析能力。


无线网络基本概念：


1、WEP的基本概念


　　WEP（Wired Equivalent Privacy：有线等效保密）是由802.11 标准定义的，用于在无线局域网中保护链路层数据，是最基本的无


线安全加密措施，WEP采用RSA开发的RC4对称加密算法，在链路层加密数据。WEP加密采用静态的保密密钥，各WLAN终端使用相同的


密钥访问无线网络，WEP也提供认证功能，当加密机制功能启用，客户端要尝试连接上AP时，AP会发出一个 Challenge Packet给客户


端，客户端再利用共享密钥将此值加密后送回存取点以进行认证比对，如果正确无误，才能获准存取网络的资源。早期使用40位密钥，


后来逐渐发展为64位、128位，目前主流的无线路由器均支持128位的密钥，以求提供更高等级的安全加密。


由上文何见，WEP设计的主要目的为用于访问控制的身份验证、信息的保密和私有性及数据的完整性，即：


提供接入控制，防止未授权用户访问网络；


WEP 加密算法对数据进行加密，防止数据被攻击者窃听；


防止数据被攻击者中途恶意纂改或伪造。


2、WEP的缺陷


WEP设计的初衷是美好的：通过把所有数据包由共享密钥加密，如果没有密钥，任何非法入侵者或企图入侵者都无法解密数据包。


但是，在IEEE的规范中并没有涉及到其它的安全服务，如审核、授权和确认，同时， WEP 除了向连接的无线连接部分提供安全服务


外，并不提供端对端的安全服务，即使是在 WEP 协议能够起作用的范围以内。这样，对于专业的入侵者而言，其仍是十分脆弱的安全


机制：


　　1、使用了静态的 WEP 密钥。由于在 WEP 协议中不提供密钥管理，用户的加密密钥必须与 AP 的密钥相同，并且一个服务区内的


所有用户都共享同一把密钥。WEP 标准中并没有规定共享密钥的管理方案，通常是手工进行配置与维护。如果用户数量较多的话，更换


密钥将相当费时且困难，这种情况下，倘若一个用户丢失密钥，则将殃及到整个网络。


　WEP 没有对加密的完整性提供保护。在WEP对加密数据的传输中，使用未加密循环冗余码校验（CRC）检验数据包的完整性。但未加


密的检查和加上密钥的数据流一起使用会带来安全隐患，因为CRC 是在某种意义上说只是相对简单的线性函数，这意味着攻击者可以篡


改加密信息，并很容易地修改信息使其表面上看起来是可信的。能够篡改即加密数据包使各种各样的非常简单的攻击成为可能。

　　最根本的，RC4 算法存在弱点：在 RC4产生24位长的字符串密钥，相对而言，这样的长度不足以用于加密，人们发现了弱密钥。所


谓弱密钥，就是密钥与输出之间存在超出一个好密码所应具有的相关性，在24位的密钥中，已发现9000多个弱密钥，这样，攻击者收集


到足够的使用弱密钥的包后，就可以对它们进行分析，只须尝试很少的密钥就可以接入到网络中。另一点，在 802.11 规范中，相同厂


商提供的不同无线网卡所产生的密钥序列也是相同的，这就更降低了破解的难度。


3、WEP的设置


虽然WEP并不能保证绝对的网络安全，但是，如果您的无线路由器不支持WPA的话，WEP还是必需的选择。

WEP的设置并不复杂，以笔者使用的NetGear WGR614为例，进入无线设置，在“安全选项”选择WEP，加密强度选128位。密钥的产生


可以直接在密钥1－4栏中选中要使用的一个，然后直接输入 26位的16进制数字，也可以在“密码”栏中直接输入一组可打印字符，由系统


自动生成WEP密钥。

二、WPA


1、WPA的介绍


　　鉴于WEP的安全性相当脆弱，IEEE制订了802.11i以弥补，在802.11i正式投入实用前，Wi-Fi联盟发布了一个过渡协议，相当于


802.11i的简化版本，这即是WPA（Wi-Fi Protected Access：Wi-Fi保护访问）。


　　WPA主要完成了以下工作：解决了WEP的主要安全问题，尤其是它在共享密钥上的漏洞；添加了用户级的认证措施；解决了系统的


升级问题，传统的802.11b的接入点和无线网卡只需要简单的软、硬件升级，就可以应用WPA协议了。


　　Wi-Fi联盟给出了WPA的定义，即，WPA=TKIP + MIC +802.1x + EAP，其中802.1x 与 EAP实现认证，TKIP 与 MIC则强化加密。


　　当然，对我们的家用无线路由器来说，其执行的只是针对中小办公室/家庭用户的WPA-PSK，而非完全版的WPA-Enterprise。不


过，即使没有认证功能，WPA算法上的改进也解决了WEP在加密和数据校验上的缺陷：它采用了密钥轮转，针对每一个包它都改变密


钥，同时把初始矢量的大小加倍，这样使得网络更安全。


2、WPA的弱点


　　严格说起来，从专业的入侵者角度来看，单一的WPA-PSK对于字典攻击(Dictionary attack)仍然是防不胜防的。所以我们在设置


WPA-PSK时，尽量选择强度大的PSK，至少20字符长的或者是很难猜破的字符串。


　　同时，WPA-PSK，包括 WPA-Enterprise ，对DOS（拒绝服务）攻击仍然无能为力。即使入侵者无法进入网络，其也可以通过故意


发送大量无法通过数据校验的数据包，以使路由器断掉与用户的连接。


3、WPA的设置


WPA的设置与WEP类似。

在“安全选项”中选中WPA-PSK，然后在“密码”框中输入字符串即可。

相对于家庭无线网络，企业级无线网络还有WPA2、RADIUS / 802.1x、VPN等安全防护策略，可以提供更强化的保护，不过，那就不是

我们这里要讨论的范畴了。

三、正确认识无线网络安全

修改SSID与关闭SSID广播

　修改SSID与关闭SSID广播在技术上统称为SSID隐藏(SSID Hiding)，即试图通过“隐藏”SSID而让攻击者无从下手。但是，这种“隐藏


SSID”的方法在很多入侵者看来只是一厢情愿的：


  对于未关闭SSID广播的无线网络，只需一个简单的Sniffer工具便可将修改后的SSID找出来。


　而对于关闭SSID广播的无线网络呢？事实上，我们在无线路由器中所设置的“SSID广播”并不能真正起到隐藏SSID的目的。


因为，在 802.11规范中，SSID共有五种方式的广播：BEACONs（灯塔，这也即是我们在路由器设置中所关闭的“SSID广播”，其所起的


作用主要是在多路由器环境下无线工作站从一个路由器漫游到另一个时可无缝切换，当然，对家庭无线网络而言一般只有一个路由器，


关闭其也不会带来太多不便。）、PROBE Requests、PROBE Responses、ASSOCIATION Requests、REASSOCIATION Requests，


只关闭其中一项（BEACONs）并没有真正关闭“SSID广播”，也不可能起到隐藏SSID的作用。


　　对入侵者而言，找到设置 “关闭SSID广播”的无线路由器的SSID是相当简单的：由于在ASSOCIATION 中始终包含SSID信息，入侵者


只需伪装成路由器向某台无线工作站发一条DISASSOCIATION信息，不超过30秒，该工作站便会返回 REASSOCIATION请求重新连接，


当然，REASSOCIATION信息包括SSID名称。


　设置ACL(Access Control List：访问控制列表)

ACL的实现依赖的是无线路由器以无线网卡的MAC地址作为是否可以接入的过滤机制。理论上，每个无线工作站网卡都由自己的唯一


的物理地址，通过设置ACL，可以将未被允许的无线工作站拒之门外。


　　这就类似于我们常见的办公大楼：门卫通过检查每个人的胸牌上的名字是不是与其名单上的名字相符来决定是否放行，比如，


“HighDiy”在名单上，那么，看到某人胸牌上的名字是“HighDiy”，可以进入；反之，“IT技术点评”不在名单上，则，门外呆着吧。那么，


“IT技术点评”要进去的方法也很简单啊，只要他看到“HighDiy”在被允许之列，将自己胸牌上的名字改成“HighDiy”不就得了么？


　　入侵者要进入设置了ACL的无线网络同样这么简单，MAC地址只是48位的编码，在随便一个Sniffer工具下都一览无余，入侵者要做

的工作只是将自己无线网站的MAC地址改成某个被许可的地址即可。而这，只需要几秒钟的工夫。

修改无线路由器IP与关闭DHCP

　修改无线路由器IP与关闭DHCP对于初级入侵者还是有些效果的。但对于高级入侵者而言，也许在几秒钟之内就能摸清我们无线网络的


IP体系，设置一下IP即可在我们的无线网络内畅通无阻。


WEP

　　对WEP的不足已经在前面分析了，其中最致命的是由于RC4算法本身的设计缺陷，使其存在弱密钥，这样，即便对128位密钥而言，


入侵者只需要截获几百万个数据包便可轻易接入任何一个WLAN。而依目前电脑的计算能力，这甚至只需几分钟的时间。

无线路由器摆放位置与信号强度


　　如果说以上所谈论的多多少少还有些正面因素的话，那么象无线路由器摆放位置与信号强度之类的说法就有些胡说八道了。时常看


到某些无线网络安全专家告诫大家：要把无线路由器放到远离窗户的地方，或放到房间中央或置于某一角落，同时，减小无线信号强


度，云云，以防信息泄露，保护无线网络。这种说法之所以产生的唯一原因恐怕源于这些专家们认为当无线网络的信号弱到一定程度后


入侵者便会无能为力，但专家们忽略了现在高增益天线的效能：一款很便宜的高增益天线便可以让入侵者在几百米外得到比离路由器几米远的专家们质量还要高的信号。

　　如果用户按这种说法实施，恐怕最终的结果只能是给自己的日常使用带来不便：连接速度降低或连接不稳定，而不会带来安全上的


好处。天线的位置的选择应该基于是否能够提高覆盖范围减小干扰来考虑。


切换到802.11b或升级到802.11a


　　这就更莫名其妙了，而且更奇怪的是，部分专家建议用户降级到802.11b使用，以提高无线网络的安全；另一部分专家则建议用户


考虑投资升级到 802.11a，以提高无线网络的安全。所谓802.11 a/b/g，所不同的只是数据传输的物理机制，其间在安全机制上没有什


么不同。对这些专家除了BS没别的好说的了。


在享受无线带来的便利的同时尽可能地保护无线网络


　　看了上文后，相信大家对无线网络的安全有了更全面的了解。当然，也不要因噎废食，毕竟无线网络能给我们的使用带来诸多的便


利。对家用无线网络来说，没有企业级的没有802.1x认证与VPN支持，即便是WPA2，其安全也是相对的，我们所能做的也就是尽可能


的提高保护的强度。


更新路由器的的Firmware


　　有时，通过刷新最新版本的Firmware能够提高路由器的的安全性，新版本的Firmware常常修复了已知的安全漏洞，并在功能方面可


能添加了一些新的安全措施。而且，目前大多数无线路由器Firmware的升级也比较简单，只需点击几下即可完成。


　　对于使用较长时间的无线路由器，有些可能厂家不再支持不再推出更新的Firmware版本，对这类产品，如果发现其最后版本的


Firmware 并不支持提升了WPA(Wi-Fi Protected Access)，那就需要考虑一下是否要更换设备了。当然，更好的版本是WPA2。总的说


来，当前的802.11g 设备至少应支持WPA，并在技术上有更新到WPA2的能力。


不用的时候关闭无线路由器


　　这个理由相信大家都能明白，另一方面，适时关闭无线路由器在节能省电包括ADSL猫、路由器散热诸方面都是可取的，而对不熟练


的初级入侵者来说，当其采用字典攻击时，适时关闭无线路由器则让其前功尽弃。

采用SSL安全连接

　　由于我们的无线网络不能保证数据的绝对私密，那么，对敏感数据就要考虑在我们的无线工作站与要连接的服务器之间实施端到端


加密机制，这就是 SSL（安全套接层）加密。平时，在我们登录Web Mail或网卡购物时，如果服务器支持SSL，那么，一定要坚持使用


它。大多数购物网站支持SSL，当然并非全部。如果不是安全网站，你无异于把信用卡号码发送给附近的潜在入侵者。SSL正确的连接的


标志是形似挂锁的小图标出现在网络浏览器的状态栏上，同时，在浏览器的地址栏显示https而非http。


SSL：请留意地址栏的 https 与状态栏的挂锁标志


及时更新，为系统打上补丁


这属于网络安全的基本准则，而非仅仅针对无线网络而言。


特别是Windows 系统，由于其用户占有量大，往往是最主要的攻击对象，及时保持系统的更新能够帮助您保护计算机，防范可能通过


Internet 或网络传播的新病毒和其他安全威胁，将数据泄露的隐患大大降低。


使用及正确配置防火墙


当然，这也不仅仅限于无线网络安全的话题。


可以将防火墙视为一道屏障，它检查来自 Internet 或网络的信息（常常被称为“通信”），然后根据您的防火墙设置，拒绝信息或允许信


息到达本地计算机。防火墙有助于提高计算机的安全性，其限制从其他计算机发送到本地计算机上的信息，这使您可以更好地保护数


据，并针对那些未经邀请而尝试连接到本地计算机的用户或程序（包括病毒和蠕虫）提供了一条防御线。

　　

对Windows Xp sp2用户来说，可以使用系统内置的Windows 防火墙或其他第三方的防火墙。


未来：802.11i


　为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容， IEEE802.11工作组目前正在开发作为新的安全标准的


IEEE 802.11i，并且致力于从长远角度考虑解决IEEE 802.11无线局域网的安全问题。也许，只有到了那时候，才会有真正意义上的无线


网络安全。