家庭无线网络简明安全指南

hashei — Tue, 04 Aug 2009 14:39:54 +0000

上周表妹让我帮忙买个无线路由器，为的是能在两个房间都能上网。这年头家里有两台电脑的越来越多，加上带wifi功能的手机、NDSI、Wii等娱乐设备，不管是电信还是网通给的ADSL猫都没有多余的口再来插网线了，而且如今无线路由器只要120就能搞定54M速率的，所以大家都开始wireless了。

不过我在家直接用笔记本搜索到的无线情况如下：在一共搜索到的7个无线节点中，有1个没有采用任何的加密措施，可以直接连接上。

而且路由器启用了DHCP，我毫不费力的得到了一个IP地址192.168.1.100，通过这个IP地址，那么默认的路由器ip就是192.168.1.1了。

TP-LINK的路由器，默认用户名、密码是admin/admin，别的品牌默认密码不外乎password、changeme（话说回来，这种人人皆知的也不好叫密码了），顺利进入。

看来这个路由器买回来唯一做过的就是按着配置指南，step by step的输入了ADSL的账号，可以打开路由器时自动连接。除此之外，就是一座不设防的空城。

通过上述“入侵”的过程，你也许对如何加强安全性有点头目了：

隐藏SSID号

SSID（Service Set Identifier）也可以写为ESSID，用来区分不同的网络，最多可以有32个字符，无线网卡设置了不同的SSID就可以进入不同网络，SSID通常由AP广播出来，通过XP自带的扫描功能可以相看当前区域内的SSID。出于安全考虑可以不广播SSID，此时用户就要手工设置SSID才能进入相应的网络。简单说，SSID就是一个无线局域网的名称，只有设置为名称相同SSID的值的电脑才能够连接到同一个无线网络中互相通信。
设置非默认管理端口和复杂密码

不要使用192.168.X.1的管理端口和admin、admin这样的密码
别人都总结的好好的了 http://www.phpv.net/html/1553.html
禁用DHCP

别一下网段、网关什么的都暴露了
MAC地址过滤

只允许自己的网卡访问路由，其它一概禁止

以上这些，只要您打开路由器的配置界面，从上到下，每一项都点一遍，就知道在哪里设置了。不过这些“雕虫小技”，除了最后一项会对入侵者设置一些障碍（可以通过伪造mac地址破解），其它的操作只防得了君子，对小人是一点用都没有的。要想把小人赶出门外，只能用加密措施。

安全类型选择WPA/WPA2，安全选项选择WPA2，加密方法选择AES，这三者是现在最安全的无线网络设置组合。

为什么不要选择WEP的加密方式？

Wired Equivalent Privacy (WEP)的工作原理是用RC4流密码方式用密钥对密文进行安位异或生成密文进行加密。流密码使用的要点就是密钥不能重复，要保证完全的随机性。WEP使用用户设置的密码和一个24bit的初始向量来作为输入的密钥，这样虽然达到了64位（10个十六位进制数*4+24，记得你在连接路由器时输入的10位密码么）或者128位（26个十六进制数*4+24）的加密强度。但是真正随机的只有那24位，我想没几个人会一直修改无线路由的连接密码吧。

这样导致的后果就是入侵者可以先忽视你那“永远不变”的40位或者104位，学名叫“相关密钥攻击（Related-key attack）”，24位的穷举可能性不过16777216种。利用生日悖论，每4096个网络包就可能共享同一个初始向量，从而导致一样的RC4密钥。

有了以上理论基础，网络嗅探工具加上暴力破解工具有了用武之地。按照下面几个帖子里的内容，平均10分钟就可以破解出使用WEP加密方法的密码。

BackTrack 使用全解

XP系统里利用VMware虚拟机启动BT3破解无线WEP和WPA傻瓜版教程

Intel3945ABG在BT3下破解有（无）客户端wep简明教程

WPA用Temporary Key Integrity Protocol (TKIP)机制避免了WEP的这个重大缺陷，一般支持WEP的无线网卡和路由都能支持WPA。当然更安全的是WPA2加密协议，使用AES来代替TKIP。至于WPA-PSK则是WPA Personal的缩写，一般家庭使用，而WPA Enterprise顾名思义适合企业用户使用。如果你的无线路由器或网卡不支持WPA2，那么试试升级firmware或者驱动，实在不行使用WPA，千万不要再使用WEP了。

参考文章 http://arstechnica.com/security/news/2008/04/wireless-security.ars

Copyright © 2008 This feed is for personal, non-commercial use only
聚沙成塔-小哈的记事薄 by hashei 如果喜欢，欢迎订阅feed.hashei.com
Digital Fingerprint: 10f920a9f2bae51c3c73c4f5fb50a949

每个网民都该知道的安全知识

hashei — Fri, 31 Jul 2009 14:57:27 +0000

当今网络世界，每台电脑都有人惦记着，刚学会使用工具的小伙子们惦记着拿你的QQ来练练手，放两个木马在你的电脑里满足一下“成就感”，有明确利益诉求的则看看你没有什么热门的网络游戏帐号，再高级一点的犯罪团伙则瞄着你的银行帐号、支付宝帐号，可以说是充满着腥风血雨。除了这些无差别攻击，要是你被人“盯”上，而电脑还缺少必要的保护，那么就是新一出“我家家门常打开”了。

想不到霍炬在谈论高级编程之余还为广大网民考虑的如此周到，写了一篇《匿名网民的安全指南》，现在连载到第二部分，大家可以点击下面链接去看看。

匿名网民的安全指南(1) 匿名网民的安全指南(2)

内容很入门，当然是对于我这样的IT从业人员来说，一般人，特别是小姑娘看到估计还是会头大。不过像现在报纸、电台里一直宣传的反电话、短信诈骗一样，讲的多了大家自然也会慢慢注意，特别是对于“急需提高自己的安全级别的”人来说，应该会有帮助。

因为“6 本文会时常修补增加内容”，所以我就不转载了，不过这个系列的文章应该还没完，因为现在最重要的无线安全没有介绍到。既然如此，那我就贴上关于无线安全的文章。

配置无线的方法 Geek to Live: Set up a home wireless network

加固无线的方法 The ABCs of securing your wireless network

否则的话，就等着 How to Crack a Wi-Fi Network’s WEP Password with BackTrack

如果你认为无线密码被破了大不了让别人蹭蹭网，只要那小子不下BT也没啥关系，那你可要注意了你们已经在同一个局域网中，你的共享资源都在别人的眼皮底下，你的C盘、D盘、E盘过不了多久也会对别人开放，你发送的每一个网络包别人都可以截取。

当然避免的方法很多，如果你对霍炬的两篇文章看的云里雾里，那么最简单的就是下载个360安全卫士，做一下“安全体检”，这样本机的安全至少有了保证，但是在公共计算机上的安全主要靠安全意识了。如果你看不明白无线安全的那三篇文章（或者你懒得看英文），那么等俺有空了，会翻译一下。当然时间也许要个几天，因为我喜欢每步步骤都做一下，确认文章中的操作可行，才会发出来。

聚沙成塔-小哈的记事薄 » 网络安全

家庭无线网络简明安全指南

Related posts:

每个网民都该知道的安全知识

Related posts: