家庭无线网络简明安全指南
上周表妹让我帮忙买个无线路由器,为的是能在两个房间都能上网。这年头家里有两台电脑的越来越多,加上带wifi功能的手机、NDSI、Wii等娱乐设备,不管是电信还是网通给的ADSL猫都没有多余的口再来插网线了,而且如今无线路由器只要120就能搞定54M速率的,所以大家都开始wireless了。
不过我在家直接用笔记本搜索到的无线情况如下:在一共搜索到的7个无线节点中,有1个没有采用任何的加密措施,可以直接连接上。
而且路由器启用了DHCP,我毫不费力的得到了一个IP地址192.168.1.100,通过这个IP地址,那么默认的路由器ip就是192.168.1.1了。
TP-LINK的路由器,默认用户名、密码是admin/admin,别的品牌默认密码不外乎password、changeme(话说回来,这种人人皆知的也不好叫密码了),顺利进入。
看来这个路由器买回来唯一做过的就是按着配置指南,step by step的输入了ADSL的账号,可以打开路由器时自动连接。除此之外,就是一座不设防的空城。
通过上述“入侵”的过程,你也许对如何加强安全性有点头目了:
-
隐藏SSID号SSID(Service Set Identifier)也可以写为ESSID,用来区分不同的网络,最多可以有32个字符,无线网卡设置了不同的SSID就可以进入不同网络,SSID通常由AP广播出来,通过XP自带的扫描功能可以相看当前区域内的SSID。出于安全考虑可以不广播SSID,此时用户就要手工设置SSID才能进入相应的网络。简单说,SSID就是一个无线局域网的名称,只有设置为名称相同SSID的值的电脑才能够连接到同一个无线网络中互相通信。
-
设置非默认管理端口和复杂密码不要使用192.168.X.1的管理端口和admin、admin这样的密码
别人都总结的好好的了 http://www.phpv.net/html/1553.html -
禁用DHCP别一下网段、网关什么的都暴露了
-
MAC地址过滤只允许自己的网卡访问路由,其它一概禁止
以上这些,只要您打开路由器的配置界面,从上到下,每一项都点一遍,就知道在哪里设置了。不过这些“雕虫小技”,除了最后一项会对入侵者设置一些障碍(可以通过伪造mac地址破解),其它的操作只防得了君子,对小人是一点用都没有的。要想把小人赶出门外,只能用加密措施。
安全类型选择WPA/WPA2,安全选项选择WPA2,加密方法选择AES,这三者是现在最安全的无线网络设置组合。
Wired Equivalent Privacy (WEP)的工作原理是用RC4流密码方式用密钥对密文进行安位异或生成密文进行加密。流密码使用的要点就是密钥不能重复,要保证完全的随机性。WEP使用用户设置的密码和一个24bit的初始向量来作为输入的密钥,这样虽然达到了64位(10个十六位进制数*4+24,记得你在连接路由器时输入的10位密码么)或者128位(26个十六进制数*4+24)的加密强度。但是真正随机的只有那24位,我想没几个人会一直修改无线路由的连接密码吧。
这样导致的后果就是入侵者可以先忽视你那“永远不变”的40位或者104位,学名叫“相关密钥攻击(Related-key attack)”,24位的穷举可能性不过16777216种。利用生日悖论,每4096个网络包就可能共享同一个初始向量,从而导致一样的RC4密钥。
有了以上理论基础,网络嗅探工具加上暴力破解工具有了用武之地。按照下面几个帖子里的内容,平均10分钟就可以破解出使用WEP加密方法的密码。
XP系统里利用VMware虚拟机启动BT3破解无线WEP和WPA傻瓜版教程
Intel3945ABG在BT3下破解有(无)客户端wep简明教程
WPA用Temporary Key Integrity Protocol (TKIP)机制避免了WEP的这个重大缺陷,一般支持WEP的无线网卡和路由都能支持WPA。当然更安全的是WPA2加密协议,使用AES来代替TKIP。至于WPA-PSK则是WPA Personal的缩写,一般家庭使用,而WPA Enterprise顾名思义适合企业用户使用。如果你的无线路由器或网卡不支持WPA2,那么试试升级firmware或者驱动,实在不行使用WPA,千万不要再使用WEP了。
参考文章 http://arstechnica.com/security/news/2008/04/wireless-security.ars
最及时的声音