“無(wú)線一族”的家族成員在日益壯大，無(wú)線網(wǎng)絡(luò)的安全關(guān)注度也在提高。可以說(shuō)，無(wú)線比有線網(wǎng)絡(luò)保護(hù)難度更大，因?yàn)橛芯€網(wǎng)絡(luò)的固定物理訪問(wèn)點(diǎn)數(shù)量有限，而無(wú)線網(wǎng)絡(luò)中信號(hào)可以說(shuō)無(wú)限。因此各大品牌廠商把精力花費(fèi)在無(wú)線路由器的配置設(shè)計(jì)方面，如增加了密鑰、禁止SSID廣播等手段，但這些安全設(shè)置能否有效?今天就以支持 IEEE 802.11g標(biāo)準(zhǔn)的無(wú)線設(shè)備為例，通過(guò)實(shí)測(cè)的方式，帶領(lǐng)大家將疑問(wèn)剖析。

設(shè)置網(wǎng)絡(luò)密鑰

無(wú)線加密協(xié)議(WEP)是對(duì)無(wú)線網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行加密的一種標(biāo)準(zhǔn)方法?，F(xiàn)在大多數(shù)的無(wú)線設(shè)備只具備WEP加密，更為安全的WPA加密還未被廣泛使用。

目前，無(wú)線路由器或AP的密鑰類型一般有兩種。例如，所使用的無(wú)線路由器便有64位和128位的加密類型，分別輸入10個(gè)或26個(gè)字符串作為加密密碼。

在這里要提醒各位，許多無(wú)線路由器或AP在出廠時(shí)，數(shù)據(jù)傳輸加密功能是關(guān)閉的，如果你拿來(lái)就用而不作進(jìn)一步設(shè)置的話，那么你的無(wú)線網(wǎng)絡(luò)就成為了一個(gè)“不設(shè)防”的擺設(shè)。因此，為你的無(wú)線網(wǎng)絡(luò)進(jìn)行加密設(shè)置是極為重要的。

測(cè)試結(jié)果:選用了64位加密方式，實(shí)測(cè)中，通過(guò)Network Stumbler等軟件發(fā)現(xiàn)了無(wú)線網(wǎng)絡(luò)的存在，但由于無(wú)法獲取密碼，不能使用該無(wú)線網(wǎng)絡(luò)。

禁用SSID廣播

通俗地說(shuō)，SSID便是你給自己的無(wú)線網(wǎng)絡(luò)所取的名字。需要注意的是，同一生產(chǎn)商推出的無(wú)線路由器或AP都使用了相同的SSID，一旦那些企圖非法連接的攻擊者利用通用的初始化字符串來(lái)連接無(wú)線網(wǎng)絡(luò)，就極易建立起一條非法的連接，從而給我們的無(wú)線網(wǎng)絡(luò)帶來(lái)威脅。因此，建議你最好能夠?qū)SID命名為一些較有個(gè)性的名字。

無(wú)線路由器一般都會(huì)提供“允許SSID廣播”功能。如果你不想讓自己的無(wú)線網(wǎng)絡(luò)被別人通過(guò)SSID名稱搜索到，那么最好“禁止SSID廣播”。你的無(wú)線網(wǎng)絡(luò)仍然可以使用，只是不會(huì)出現(xiàn)在其他人所搜索到的可用網(wǎng)絡(luò)列表中。

小提示:通過(guò)禁止SSID廣播設(shè)置后，無(wú)線網(wǎng)絡(luò)的效率會(huì)受到一定的影響，但以此換取安全性的提高，認(rèn)為還是值得的。

測(cè)試結(jié)果:由于沒(méi)有進(jìn)行SSID廣播，該無(wú)線網(wǎng)絡(luò)被無(wú)線網(wǎng)卡忽略了，尤其是在使用Windows XP管理無(wú)線網(wǎng)絡(luò)時(shí)，達(dá)到了“掩人耳目”的目的。

禁用DHCP

DHCP功能可在無(wú)線局域網(wǎng)內(nèi)自動(dòng)為每臺(tái)電腦分配IP地址，不需要用戶設(shè)置IP地址、子網(wǎng)掩碼以及其他所需要的TCP/IP參數(shù)。如果啟用了DHCP功能，那么別人就能很容易地使用你的無(wú)線網(wǎng)絡(luò)。因此，禁用DHCP功能對(duì)無(wú)線網(wǎng)絡(luò)而言很有必要。

在無(wú)線路由器的“DHCP服務(wù)器”設(shè)置項(xiàng)下將DHCP服務(wù)器設(shè)定為“不啟用”即可。

測(cè)試結(jié)果:由于無(wú)法獲得IP地址和DNB服務(wù)器信息，既使能找到該無(wú)線網(wǎng)絡(luò)信號(hào)，仍然不能使用網(wǎng)絡(luò)。

無(wú)論公司的政策是否允許使用無(wú)線802.11技術(shù)，長(zhǎng)期保護(hù)無(wú)線網(wǎng)絡(luò)防止受到侵?jǐn)_或非法接入都是非常必要的。

除了企業(yè)級(jí)的無(wú)線接入點(diǎn)，廉價(jià)的即插即用消費(fèi)級(jí)設(shè)備的應(yīng)用也越來(lái)越多。由于終端用戶將這些設(shè)備加入企業(yè)有線局域網(wǎng)中，安全性遭到了破壞，因此企業(yè)網(wǎng)絡(luò)越來(lái)越容易受到攻擊。

非法接入點(diǎn)通常不是由黑客或懷有惡意的員工設(shè)置的，通常情況下它是在IT部門(mén)不知情的情況下由員工無(wú)意之中安裝的一個(gè)接入點(diǎn)。一旦在網(wǎng)絡(luò)上建立了一個(gè)接入點(diǎn)，黑客就可以通過(guò)使用這一非法接入點(diǎn)輕松地訪問(wèn)您的企業(yè)網(wǎng)絡(luò)。因此，無(wú)線網(wǎng)絡(luò)接入點(diǎn)的檢測(cè)就成為很多企業(yè)的一項(xiàng)重要工作。

雖然您可以經(jīng)常使用一臺(tái)檢測(cè)設(shè)備繞著您所在的建筑進(jìn)行檢測(cè)來(lái)識(shí)別非法接入點(diǎn)，但這非常乏味且耗時(shí)。從您的有線網(wǎng)絡(luò)搜索無(wú)線接入點(diǎn)將會(huì)更快速更簡(jiǎn)便。

使用OptiView集成式網(wǎng)絡(luò)分析儀，簡(jiǎn)單地將它連接至網(wǎng)絡(luò)中，從有線網(wǎng)絡(luò)進(jìn)行高級(jí)的主動(dòng)搜索就可以查找到連接在廣播域中的所有設(shè)備，如果用戶輸入了廣播域外的地址范圍，它還可以搜索到廣播域外的設(shè)備。搜索過(guò)程自動(dòng)通過(guò)互相連接的路由器、交換機(jī)、服務(wù)器、打印機(jī)和主機(jī)將設(shè)備分類。

如果您部署了合法的無(wú)線網(wǎng)絡(luò)接入點(diǎn)且它們是SNMP使能的，OptiView將會(huì)搜索到它們，并可以讓您深入查看詳細(xì)信息。只需簡(jiǎn)單地點(diǎn)擊您所感興趣的接入點(diǎn)，然后點(diǎn) Host Detail(主機(jī)詳情)按鈕即可。

使用所選擇的接入點(diǎn)的SNMP分析功能，可以提供圖形化的接入點(diǎn)利用率和錯(cuò)誤率視圖。

在查看用戶AP接入時(shí)，如果您的終端用戶在網(wǎng)絡(luò)上安裝了一個(gè)接入點(diǎn)，它不是SNMP使能的，我們?nèi)绾螐挠芯€網(wǎng)絡(luò)來(lái)定位它呢?

通常情況下您可能會(huì)查看在網(wǎng)絡(luò)上不常見(jiàn)的MAC地址。例如，D-Link、Netgear、LinkSys、Belkin及其它所有廉價(jià)接入點(diǎn)提供商的 MAC 地址前綴的所有主機(jī)。

讓我們來(lái)看看主動(dòng)搜索功能發(fā)現(xiàn)了什么。搜索的窗口可以根據(jù)DNS名稱、IP地址或 MAC 地址存儲(chǔ)。只需輕觸 MAC地址標(biāo)題就可以自動(dòng)對(duì)地址進(jìn)行排序，我們還可以簡(jiǎn)便地向下滾動(dòng)窗口來(lái)發(fā)現(xiàn)您網(wǎng)絡(luò)上沒(méi)有使用的不常見(jiàn)的 MAC 地址前綴。在該示例中，我們可以看到一臺(tái) LinkSys 設(shè)備。由于它不是 SNMP 使能的，盡管搜索將這臺(tái)設(shè)備視為主機(jī)，但還是很難確定它究竟是集線器還是無(wú)線網(wǎng)接入點(diǎn)。

現(xiàn)在我們需要知道這臺(tái)設(shè)備的物理位置。如何來(lái)發(fā)現(xiàn)它呢?使用OptiView，只需簡(jiǎn)單地點(diǎn)一下感興趣的設(shè)備，然后選擇HostDetail(主機(jī)詳情)按鈕即可。此時(shí)分析儀將會(huì)轉(zhuǎn)到工具菜單，您可以從中發(fā)現(xiàn)一個(gè)被稱做“Trace SwitchRoute”(交換機(jī)路由追蹤)的獨(dú)特功能。

當(dāng)我們選擇TraceSwitchRoute標(biāo)簽時(shí)，OptiView 將在源設(shè)備和目標(biāo)設(shè)備之間自動(dòng)確定第二層交換路徑。在該示例中，它是從 OptiView 分析儀到受到懷疑的非法接入點(diǎn)。顯示的信息告訴我們存在問(wèn)題的設(shè)備連接在名稱為T(mén)AC_C_Pod 交換機(jī)的端口2 上。選擇有問(wèn)題的交換機(jī)，點(diǎn)擊 Host Detail(主機(jī)詳情)按鈕，OptiView 就可以自動(dòng)訪問(wèn)所選擇的交換機(jī)。

分析儀顯示交換機(jī)端口和所連接的設(shè)備。由于有多個(gè)設(shè)備連接在交換機(jī)端口上，因此可以合理地假設(shè)在交換機(jī)端口上連接了一個(gè)HUB或接入點(diǎn)。我們?nèi)绾蝸?lái)確定是非法接入點(diǎn)還是HUB 呢?有兩種選擇：1)到交換機(jī)那里，斷掉端口2;2)簡(jiǎn)單地點(diǎn)擊 OptiView 上的鏈路或加載菜單，加載交換機(jī)上的 WEB 或 TELNET 對(duì)話，遠(yuǎn)程地關(guān)掉端口?，F(xiàn)在，網(wǎng)絡(luò)是安全的了，節(jié)省了搜尋非法接入點(diǎn)的時(shí)間。

（注本文轉(zhuǎn)自暴發(fā)爺?shù)募覉@博客 作者暴發(fā)爺）

【編輯推薦】

1. 無(wú)線局域網(wǎng)中的路由器配置方法
2. 無(wú)線路由如何配置WPS