“無線一族”的家族成員在日益壯大，無線網(wǎng)絡(luò)的安全關(guān)注度也在提高?？梢哉f，無線比有線網(wǎng)絡(luò)保護難度更大，因為有線網(wǎng)絡(luò)的固定物理訪問點數(shù)量有限，而無線網(wǎng)絡(luò)中信號可以說無限。因此各大品牌廠商把精力花費在無線路由器的配置設(shè)計方面，如增加了密鑰、禁止SSID廣播等手段，但這些安全設(shè)置能否有效?今天就以支持 IEEE 802.11g標(biāo)準(zhǔn)的無線設(shè)備為例，通過實測的方式，帶領(lǐng)大家將疑問剖析。

設(shè)置網(wǎng)絡(luò)密鑰

無線加密協(xié)議(WEP)是對無線網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進行加密的一種標(biāo)準(zhǔn)方法?，F(xiàn)在大多數(shù)的無線設(shè)備只具備WEP加密，更為安全的WPA加密還未被廣泛使用。

目前，無線路由器或AP的密鑰類型一般有兩種。例如，所使用的無線路由器便有64位和128位的加密類型，分別輸入10個或26個字符串作為加密密碼。

在這里要提醒各位，許多無線路由器或AP在出廠時，數(shù)據(jù)傳輸加密功能是關(guān)閉的，如果你拿來就用而不作進一步設(shè)置的話，那么你的無線網(wǎng)絡(luò)就成為了一個“不設(shè)防”的擺設(shè)。因此，為你的無線網(wǎng)絡(luò)進行加密設(shè)置是極為重要的。

測試結(jié)果:選用了64位加密方式，實測中，通過Network Stumbler等軟件發(fā)現(xiàn)了無線網(wǎng)絡(luò)的存在，但由于無法獲取密碼，不能使用該無線網(wǎng)絡(luò)。

禁用SSID廣播

通俗地說，SSID便是你給自己的無線網(wǎng)絡(luò)所取的名字。需要注意的是，同一生產(chǎn)商推出的無線路由器或AP都使用了相同的SSID，一旦那些企圖非法連接的攻擊者利用通用的初始化字符串來連接無線網(wǎng)絡(luò)，就極易建立起一條非法的連接，從而給我們的無線網(wǎng)絡(luò)帶來威脅。因此，建議你最好能夠?qū)SID命名為一些較有個性的名字。

無線路由器一般都會提供“允許SSID廣播”功能。如果你不想讓自己的無線網(wǎng)絡(luò)被別人通過SSID名稱搜索到，那么最好“禁止SSID廣播”。你的無線網(wǎng)絡(luò)仍然可以使用，只是不會出現(xiàn)在其他人所搜索到的可用網(wǎng)絡(luò)列表中。

小提示:通過禁止SSID廣播設(shè)置后，無線網(wǎng)絡(luò)的效率會受到一定的影響，但以此換取安全性的提高，認(rèn)為還是值得的。

測試結(jié)果:由于沒有進行SSID廣播，該無線網(wǎng)絡(luò)被無線網(wǎng)卡忽略了，尤其是在使用Windows XP管理無線網(wǎng)絡(luò)時，達到了“掩人耳目”的目的。

禁用DHCP

DHCP功能可在無線局域網(wǎng)內(nèi)自動為每臺電腦分配IP地址，不需要用戶設(shè)置IP地址、子網(wǎng)掩碼以及其他所需要的TCP/IP參數(shù)。如果啟用了DHCP功能，那么別人就能很容易地使用你的無線網(wǎng)絡(luò)。因此，禁用DHCP功能對無線網(wǎng)絡(luò)而言很有必要。

在無線路由器的“DHCP服務(wù)器”設(shè)置項下將DHCP服務(wù)器設(shè)定為“不啟用”即可。

測試結(jié)果:由于無法獲得IP地址和DNB服務(wù)器信息，既使能找到該無線網(wǎng)絡(luò)信號，仍然不能使用網(wǎng)絡(luò)。

無論公司的政策是否允許使用無線802.11技術(shù)，長期保護無線網(wǎng)絡(luò)防止受到侵?jǐn)_或非法接入都是非常必要的。

除了企業(yè)級的無線接入點，廉價的即插即用消費級設(shè)備的應(yīng)用也越來越多。由于終端用戶將這些設(shè)備加入企業(yè)有線局域網(wǎng)中，安全性遭到了破壞，因此企業(yè)網(wǎng)絡(luò)越來越容易受到攻擊。

非法接入點通常不是由黑客或懷有惡意的員工設(shè)置的，通常情況下它是在IT部門不知情的情況下由員工無意之中安裝的一個接入點。一旦在網(wǎng)絡(luò)上建立了一個接入點，黑客就可以通過使用這一非法接入點輕松地訪問您的企業(yè)網(wǎng)絡(luò)。因此，無線網(wǎng)絡(luò)接入點的檢測就成為很多企業(yè)的一項重要工作。

雖然您可以經(jīng)常使用一臺檢測設(shè)備繞著您所在的建筑進行檢測來識別非法接入點，但這非常乏味且耗時。從您的有線網(wǎng)絡(luò)搜索無線接入點將會更快速更簡便。

使用OptiView集成式網(wǎng)絡(luò)分析儀，簡單地將它連接至網(wǎng)絡(luò)中，從有線網(wǎng)絡(luò)進行高級的主動搜索就可以查找到連接在廣播域中的所有設(shè)備，如果用戶輸入了廣播域外的地址范圍，它還可以搜索到廣播域外的設(shè)備。搜索過程自動通過互相連接的路由器、交換機、服務(wù)器、打印機和主機將設(shè)備分類。

如果您部署了合法的無線網(wǎng)絡(luò)接入點且它們是SNMP使能的，OptiView將會搜索到它們，并可以讓您深入查看詳細(xì)信息。只需簡單地點擊您所感興趣的接入點，然后點 Host Detail(主機詳情)按鈕即可。

使用所選擇的接入點的SNMP分析功能，可以提供圖形化的接入點利用率和錯誤率視圖。

在查看用戶AP接入時，如果您的終端用戶在網(wǎng)絡(luò)上安裝了一個接入點，它不是SNMP使能的，我們?nèi)绾螐挠芯€網(wǎng)絡(luò)來定位它呢?

通常情況下您可能會查看在網(wǎng)絡(luò)上不常見的MAC地址。例如，D-Link、Netgear、LinkSys、Belkin及其它所有廉價接入點提供商的 MAC 地址前綴的所有主機。

讓我們來看看主動搜索功能發(fā)現(xiàn)了什么。搜索的窗口可以根據(jù)DNS名稱、IP地址或 MAC 地址存儲。只需輕觸 MAC地址標(biāo)題就可以自動對地址進行排序，我們還可以簡便地向下滾動窗口來發(fā)現(xiàn)您網(wǎng)絡(luò)上沒有使用的不常見的 MAC 地址前綴。在該示例中，我們可以看到一臺 LinkSys 設(shè)備。由于它不是 SNMP 使能的，盡管搜索將這臺設(shè)備視為主機，但還是很難確定它究竟是集線器還是無線網(wǎng)接入點。

現(xiàn)在我們需要知道這臺設(shè)備的物理位置。如何來發(fā)現(xiàn)它呢?使用OptiView，只需簡單地點一下感興趣的設(shè)備，然后選擇HostDetail(主機詳情)按鈕即可。此時分析儀將會轉(zhuǎn)到工具菜單，您可以從中發(fā)現(xiàn)一個被稱做“Trace SwitchRoute”(交換機路由追蹤)的獨特功能。

當(dāng)我們選擇TraceSwitchRoute標(biāo)簽時，OptiView 將在源設(shè)備和目標(biāo)設(shè)備之間自動確定第二層交換路徑。在該示例中，它是從 OptiView 分析儀到受到懷疑的非法接入點。顯示的信息告訴我們存在問題的設(shè)備連接在名稱為TAC_C_Pod 交換機的端口2 上。選擇有問題的交換機，點擊 Host Detail(主機詳情)按鈕，OptiView 就可以自動訪問所選擇的交換機。

分析儀顯示交換機端口和所連接的設(shè)備。由于有多個設(shè)備連接在交換機端口上，因此可以合理地假設(shè)在交換機端口上連接了一個HUB或接入點。我們?nèi)绾蝸泶_定是非法接入點還是HUB 呢?有兩種選擇：1)到交換機那里，斷掉端口2;2)簡單地點擊 OptiView 上的鏈路或加載菜單，加載交換機上的 WEB 或 TELNET 對話，遠(yuǎn)程地關(guān)掉端口。現(xiàn)在，網(wǎng)絡(luò)是安全的了，節(jié)省了搜尋非法接入點的時間。

（注本文轉(zhuǎn)自暴發(fā)爺?shù)募覉@博客 作者暴發(fā)爺）

【編輯推薦】

1. 無線局域網(wǎng)中的路由器配置方法
2. 無線路由如何配置WPS