家庭用户使用WLAN的是越来越多,拿着迅驰笔记本在小区随便走一圈就能收到很多无线信号。不过这些无线信号中有不少存在着安全问题,其他非法用户可以通过简单的操作甚至是直接连接就可以访问该无线网络。
一方面自己的带宽被别人非法使用,另一方面容易造成自己的计算机被连接到同一无线网络的其他计算机入侵,自己的隐私也会泄露。那么我们该如何加强WLAN安全呢?实际上只需要五把锁就可以让你塌塌实实的使用WLAN,再也不用为其他人非法连接而担经受怕了。
一、为无线设备加把锁:
可能有的读者会问什么叫为无线设备加把锁?难道是把自己的无线路由器放到带锁的柜子里吗?其实不然,对于大多数无线网络设备来说,出厂时的默认密码基本上大同小异,因此假如你没有更改这个密码,其他人就能轻而易举地用默认的用户名和密码登录到了你的无线网络设备上,获得整个网络的管理权限,最后,你可能会发现自己都不能够登录自己的WLAN了,所以这个密码记得一定要修改,否则就等于自家大门永远向小偷敞开一样。
用户只需要开启无线设备设置,在密码保护上输入自己的密码,就可以完成保护,这点与Windows设置密码是一样的,经过加锁的无线设备就不是任何人都能够随意使用了。
小提示:
如果你已经发现自己的无线设备被其他人加了锁,自己无法正常登录的话,我们还有另外一招,那就是恢复出厂设置(具体方法可参照设备说明书),通过它我们还是可重新获得控制权的。一般需要按无线设备上的reset按钮来完成恢复工作。
下面笔者以自己的无线路由器TP-LINK的TL-WR541G来介绍如何为无线设备买把锁。
第一步:打开自己计算机的IE浏览器,访问无线路由器的管理地址,TP-LINK TL-WR541G说明书中清楚的写到该设备管理地址为192.168.1.1。
第二步:输入默认用户名admin,默认密码保持空,点“确定”按钮进行登录。
498)this.style.width=498;" border=1> |
第三步:进入路由器管理界面后点左边的“系统工具”,然后找到“修改登录口令”。
498)this.style.width=498;" border=1> |
第四步:在“修改登录口令”处输入原用户名admin,原口令为空,然后在新用户名和新口令处输入你要修改的数据,最后点保存按钮即可。
498)this.style.width=498;" border=1> |
第五步:以后再通过路由器进行管理时就输入刚刚修改的用户名和密码即可,这个信息只有你一个人知道,其他非法用户是无法猜测到的。
二、为SSID加把锁:
所谓SSID就是无线网络使用的名字,他只是起到一个标识作用,不过在实际使用过程中如果你的邻居也安装了无线网络,那么你们的网络就有可能互相冲突,导致的结果是客户端就会有一个相当大的偶然机会去连接到不属于自己的无线路由器上。这就是由于你们都没有更改默认SSID名称造成的。
另外如果没有修改SSID的发送方式的话,默认情况下很多无线设备都是开启无线SSID广播的,这时任何一台拥有无线网卡的计算机都可以通过信号扫描发现你的SSID网络,所以说我们应该修改SSID默认值并禁止该SSID信息的广播。笔者从网上收集了常见厂商的默认SSID名称,希望对各位读者有所帮助。
498)this.style.width=498;" border=1> |
小提示:
在一个无线网络中屏蔽SSID广播并不能够彻底阻止别人发现你的SSID网络,因为使用Kismet或其他的无线检测工具都可以发现一个存在的网络即使该网络禁止了SSID广播。
接下来笔者继续以自己的无线路由器TP-LINK的TL-WR541G来介绍如何为SSID加把锁。
第一步:打开自己计算机的IE浏览器,访问无线路由器的管理地址,输入用户名和密码进入管理界面。
第二步:在管理界面左侧找到“无线参数->基本设置”。
498)this.style.width=498;" border=1> |
第三步:你会看到SSID号处是默认参数,我们手动修改这个默认值,防止和其他家的无线网络产生冲突。笔者修改SSID号为softer。
498)this.style.width=498;" border=1> |
第四步:修改完默认的SSID号后我们还需要禁止SSID广播,在“无线参数->基本设置”中有一个“容许SSID广播”的选项,将其前年的对勾去掉即可。
498)this.style.width=498;" border=1> |
第五步:保存后我们的SSID号就被上了把锁,这样一方面不会和其他用户的无线网络产生冲突,另一方面也防止了其他无线设备非法发现我们的SSID网络。
三、为无线数据加把锁:
无线数据在空中飞来飞去,如果不加密的话,任何人都可以捕获和破解。无线加密协议(WEP)是无线网络上信息加密的一种标准方法,它可以对每一个企图访问无线网络的人的身份进行识别,同时对网络传输内容进行加密。
一般无线设备出厂时的设置是“禁止WEP模式”,因此黑客从你的无线网络建成开始就能立即扫描该无线网络上的各类信息。本篇文章介绍的仅仅是初级的网络安全方案,这样的方法可能对于真正的黑客不一定能起到作用,能做到的仅仅是“只防君子、不防小人”,而如果你具有一定电脑知识的话,就可以考虑采用WPA等一些其他加密协议,它们的安全性通常要比WEP高出许多。
笔者继续以自己的无线路由器TP-LINK的TL-WR541G为例介绍如何为无线数据加把锁。
第一步:打开自己计算机的IE浏览器,访问无线路由器的管理地址,输入用户名和密码进入管理界面。
第二步:在管理界面左侧找到“无线参数->基本设置”。
第三步:在无线基本设置处会看到“开启安全设置”选项,将其前的对勾选中。另外在安全类型处选择WEP,安全选项处选择“自动选择”,密钥格式选择设置为“16进制”
498)this.style.width=498;" border=1> |
第四步:设置一个密钥,在下方密钥类型处从“禁用”修改为“启用”,然后在密钥内容处输入一段10位信息,这个信息就是我们的加密数据信息,只有知道了这个信息才能正常连接我们的无线网络。
498)this.style.width=498;" border=1> |
第五步:最后保存退出路由器登录界面,然后我们还需要在自己的网卡上配置WEP加密信息才能够保证其可以正常访问我们的无线网络。在XP系统中我们只要跟着无线网络建立向导就可以顺利完成,这里就不详细介绍了。在XP系统中我们输入的密钥内容和刚才第四步输入的10位信息是一致的。
四、为网卡加把锁:
要想访问我们搭建的无线网络就需要使用无线网卡,无线网卡和有线网卡一样都有一个名为MAC地址的信息进行标识,他也是网卡的唯一ID。所以说如果我们不希望其他计算机连接无线网络,完全可以将自己的无线网卡这个唯一的MAC地址添加到无线路由器容许访问范围内。
通过MAC地址过滤,可以从根本上限制使用网络资源的使用者。基于MAC地址的过滤对交换设备的要求不高,并且基本对网络性能没有影响,配置命令相对简单,比较适合小型网络和家庭使用。MAC地址过滤是通过预先在AP写入合法的MAC地址列表,只有当客户机的MAC地址和合法MAC地址表中的地址匹配,AP才允许客户机与之通信,实现物理地址过滤。这个原理和防火墙有点像,这样可以基本杜绝一般软件的攻击。
笔者继续以自己的无线路由器TP-LINK的TL-WR541G为例介绍如何为网卡加把锁。不过在设置路由器之前需要了解自己计算机网卡的MAC地址信息。我们可以在自己计算机操作系统的命令提示窗口中运行ipconfig /all来查看。
第一步:获得自己计算机的MAC地址后我们继续打开自己计算机的IE浏览器,访问无线路由器的管理地址,输入用户名和密码进入管理界面。
第二步:在左边找到“安全设置”->“MAC地址过滤”。
498)this.style.width=498;" border=1> |
第三步:在MAC地址过滤窗口中我们点“添加新条目”按钮,然后输入自己计算机的MAC地址,状态处选择“生效”,最后点“保存”按钮。
498)this.style.width=498;" border=1> |
第四步:这时候你会看到我们的MAC地址过滤功能并没有开启,仅仅添加一条规则是不够的,我们找到“安全设置->防火墙设置”,然后把其中的“开启MAC地址过滤”前打上对勾,另外还需要注意一点的是下面的“缺省过滤规则”。
由于我们要容许添加的MAC地址对应的无线网卡访问无线网络,所以过滤规则应该设置为“仅容许已设MAC地址列表中已启用的MAC地址访问internet”,这样非法和没有添加MAC地址的网卡就无法正常连接无线网络了,或者说即使连接到无线网络也不能正常访问其他计算机和internet。
498)this.style.width=498;" border=1> |
四、为网卡加把锁:
要想访问我们搭建的无线网络就需要使用无线网卡,无线网卡和有线网卡一样都有一个名为MAC地址的信息进行标识,他也是网卡的唯一ID。所以说如果我们不希望其他计算机连接无线网络,完全可以将自己的无线网卡这个唯一的MAC地址添加到无线路由器容许访问范围内。
通过MAC地址过滤,可以从根本上限制使用网络资源的使用者。基于MAC地址的过滤对交换设备的要求不高,并且基本对网络性能没有影响,配置命令相对简单,比较适合小型网络和家庭使用。MAC地址过滤是通过预先在AP写入合法的MAC地址列表,只有当客户机的MAC地址和合法MAC地址表中的地址匹配,AP才允许客户机与之通信,实现物理地址过滤。这个原理和防火墙有点像,这样可以基本杜绝一般软件的攻击。
笔者继续以自己的无线路由器TP-LINK的TL-WR541G为例介绍如何为网卡加把锁。不过在设置路由器之前需要了解自己计算机网卡的MAC地址信息。我们可以在自己计算机操作系统的命令提示窗口中运行ipconfig /all来查看。
第一步:获得自己计算机的MAC地址后我们继续打开自己计算机的IE浏览器,访问无线路由器的管理地址,输入用户名和密码进入管理界面。
第二步:在左边找到“安全设置”->“MAC地址过滤”。
498)this.style.width=498;" border=1> |
第三步:在MAC地址过滤窗口中我们点“添加新条目”按钮,然后输入自己计算机的MAC地址,状态处选择“生效”,最后点“保存”按钮。
498)this.style.width=498;" border=1> |
第四步:这时候你会看到我们的MAC地址过滤功能并没有开启,仅仅添加一条规则是不够的,我们找到“安全设置->防火墙设置”,然后把其中的“开启MAC地址过滤”前打上对勾,另外还需要注意一点的是下面的“缺省过滤规则”。
由于我们要容许添加的MAC地址对应的无线网卡访问无线网络,所以过滤规则应该设置为“仅容许已设MAC地址列表中已启用的MAC地址访问internet”,这样非法和没有添加MAC地址的网卡就无法正常连接无线网络了,或者说即使连接到无线网络也不能正常访问其他计算机和internet。
498)this.style.width=498;" border=1> |
五、为firmware加把锁:
和windows操作系统一样,无线设备自身也不是万无一失的,他都或多或少存在着一定的漏洞,在windows系统中我们可以通过为系统打补丁来实现弥补漏洞的操作,在无线设备中我们可以通过刷新firmware内部硬件驱动来实现此功能。
网络设备的Firmware(固件)的更新和升级可以通过刷新无线设备最新版本的Firmware,能够提高我们无线路由器的安全性,新版本的Firmware常常会修复已知的安全漏洞,并可能在功能方面添加了一些新的安全措施。而且升级操作并不复杂,对于家用无线路由器来说,只要简单的点击就可检验和升级新版本的固件了。
第一步:进入无线设备的管理界面。
第二步:在左边找到“系统工具->软件升级”。
第三步:在自己计算机上通过TFTP搭建工具建立一个TFTP服务器,例如笔者的计算机的IP地址是192.168.1.100。
第四步:在软件升级设置处输入我们要升级的firmware文件名以及TFTP服务器IP地址——192.168.1.100。关于firmware新版本我们可以到设备厂商的网站去下载。
498)this.style.width=498;" border=1> |
第五步:最后点“升级”按钮即可,如果TFTP服务器工作正常就可以顺利的更新固件新版本了,从而完成无线设备自身的升级操作。新版本的无线设备更加安全更加稳定。
六、总结:
其实无线网络的安全防范措施还有很多,例如不用无线设备时关掉其电源或设置一个定时开关在设定时间里关闭无线功能,尽量用有线网代替无线网络等。
上面仅仅介绍的最基本的五个措施,不过只要你按照本篇文章介绍的方法进行设置,已经可以大大增加自己无线网络的安全了,可以将大部分黑客入侵阻挡在无线网络之外。