一、什么是SSID如何配置
SSID/ESSID(Service Set Identifier)也就是“服务区标识符匹配”、“业务组标识符”的简称,最多可以有32个字符,通俗的说,它就好比有线局域网中的“工作组”标识一样或好比是无线客户端与无线路由器之间的一道口令一样,只有在完全相同的前提下才能让无线网卡访问无线路由器,这也是保证无线网络安全的重要措施之一。
配备无线网卡的无线工作站必须填写正确的SSID,并与无线访问点(AP或无线路由器)的SSID相同,才能访问AP;如果出示的SSID与AP或无线路由器的SSID不同,那么AP将拒绝他通过本服务区/工作组上网。因此可以认为SSID是一个简单的口令,从而提供口令认证机制,实现一定的安全。要更改无线网卡的SSID除了在无线网卡配置程序中更改外,还可再操作系统中直接更改。
以Windows98为例,进入Windows系统中,右键“网上邻居”,点击“属性”。在“网络配置”中选定要修改的网卡,在“网络”中选中在使用的无线网卡适配器名称,选中该网卡之后,单击“属性”,再选择“高级”栏。在“高级”选项中的SSID/ESSID选项中填入无线AP或路由的SSID名称,再在SSID/ESSID选项中填入键值也是SSID名称即可。
填入SSID名称(点击看大图) |
然而无线接入点AP向外广播其SSID,使安全程度下降。另外,一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。 标准工作组还表示:有的厂家支持“任何(ANY)”SSID方式,只要无线客户端处在AP范围内,它都会自动连接到AP,这将绕过SSID的安全功能。所以在无线局域网接入点AP或无线路由上对此项技术的支持就是可不让AP或无线路由器广播其SSID号,这样无线工作站就必须提供正确的SSID才能与AP或无线路由器相联。
二、SSID是否能保障无线使用安全
SSID的安全问题主要来自两类用户群:一是初接触无线网络的个人用户、办公用户,以及对安全不太关心的此类用户,他们一般采用无线AP或路由所默认使用SSID的允许广播方式;一是用于公共无线网络的无线热点(也就是无线接入点,亦由无线AP或无线路由组成,如宾馆、图书馆、酒吧、大中学校园等等),为了让服务区内所有公众或用户使用无线接入,其同样使用开启SSID广播方式。
在最近两年里,WLAN无线局域网正普遍受到主流用户的青睐,从家庭、校园一直到咖啡店之中,各种无线接入点都可能会存在。无线局部网络设备本身具有的高性价比的特点,也让任何人都可以建立一个无线接入点。对于一个需要任意广播其SSID的无线接入点来说,不怀好意或黑客都可以使用相同SSID进入任一个802.11接入点,并轻而易举的盗取用户的有价值资料。
此外,另一种问题就是,如果一个公共无线接入广播了其SSID,只要懂一点技术的人都知道使用同一个SSID便可以设置另一个802.11接入点,如果此信号比热点的信号强或者不比其差的时候,一般用户都会很容易的选择强者并根据熟悉的SSID而进入,你在“免费”享用它的服务的同时,您的一切更是在该“evil twin真假孙悟空”一样的假悟空无线接入点的掌握之中。为了方便性,而在Windows操作系统中,由于用户在设置无线网络时一般设置无线网络自动连接到相同的无线网络,DHCP不会真正地关心你连接的是哪个热点,这更让用户不知不觉的进入与公共无线接入点类同的SSID无线接入点中。
所以,对于一般用户来说,在通过无线接入点免费“服务”大众的同时,如果自己有较重要的资料需要安全保障(比如各种用户名和密码等等),还是在实际设置时,将大多数无线AP或无线路由器在出厂时默认的“允许广播SSID”设为“不广播SSID”。这样其它用户要想自动进入你的无线接入点,就要先手工输入正确的“SSID”才能进入网络,这先在一定程度上可保证了WLAN的使用安全,防止不怀好意的用户在并不太安全或并不太懂安全的个人WLAN里随意乱逛。
除此而外,除了Windows XP等操作系统(802.11i标准扩展了SSID广播的定义,可以在原有的广播包内部放入扩展SSID的信息;Windows XP SP2 的WPA2/802.11i相关补丁,都可以查看到扩展的SSID)中可自动扫描无线接入点外,大家会发现在主流无线网卡的驱动/配置程序中的“SSID”选项中也会有一个“ANY(First Available Access Point)”,这个是干什么用的呢?其实它就是自动侦测信号最强的无线网络SSID的意思,当你在有多个无线网络或无线网络情况不明的区域使用无线网卡时,可选中此项,其将自动侦测SSID并连入无线网络。这就是广播SSID后能被几乎所有配有无线网卡的移动设备轻易进入的原因。
所以对于需要安全的用户来说,可以采用MAC地址访问控制、WEP、802.11x、WPA等安全标准来实现无线接入点的安全。但事物的优/劣也多半是相辅相成的,首先是WEP本身就容易被破解,而且并不是所有的无线网卡都支持128位或以上加密方式WEP KEY乃至802.11x、WPA,有的老无线网卡可能只支持40位方式的加密或64位方式的加密,还有的根本就不支持。也并非所有网卡都能支持802.11x和WPA标准,部分网卡通过升级驱动可以支持,而多数早期网卡根本就不能支持。
所以在设置无线AP或无线路由器的WEP、802.11x、WPA加密时还需要根据无线网卡的情况来计划进行设置,而对于公无线热点来说,进行这些无线安全设置根本就不可能(MAC地址访问控制更不现实),因为它本身就是服务性质的。所以个人计算机用户在进入无线热点时还是少设共享文件必需安装防火墙软件(设成高级别)等等。
三、SSID常见问题实例解答
● 问:家里新装了无线路由器并通过其共享上网,但近来发现邻居也在共享我的网络,造成网络高峰期上网速度变慢或打不开网页,该怎么办?
答:可通过基础的无线安全设置便能杜绝非法共享,以下两点比较实用:
①禁用SSID广播,进入无线路由器的配置页面中将允许SSID广播选为禁用,就可杜绝无线网卡中一个特殊的SSID“ANY”,ANY可使其它用户在无线网卡配置SSID时接入周边性能最好的AP或无线路由器中,关闭了SSID之后其自然就扫不到了。
②由于家庭无线网络是小型网络,所以MAC地址访问控制(MAC过滤)功能相当有用,你可在无线AP或无线路由器的WEB配置页面中启用MAC过滤功能,然后手工录入你家里几台电脑无线/有线网卡的MAC地址,这时就算是广播SSID非法用户也不能通过无线路由器共享接入了。
● 问:关闭无线AP或无线路由器的广播SSID功能,在无线客户端网卡中也没选中“ANY”,但客户端只要处在另一个广播SSID的AP或无线路由器范围之内,系统仍然会自动切换到该无线路由器,怎么办?
答:可能跟你的Windows XP中的设置有关,Windows中选择了“自动连接非首选的网络”其也会自动接入。所以你可打开“控制面板”→“网络连接”,打开“无线网络连接”的“属性”。点击“无线网络”→“高级”,将“自动连接到非首选网络”复选框中的勾去掉即可。
● 问:我是一个写字楼用户,SSID问题最近困扰着我,关闭SSID广播后(也经常SSID被泄露),本公司机器太多一一设置很是不方便,而不关闭便经常有非法用户使用我公司的无线接入点,该怎么办?
答:让每个无线网卡客户端用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户,所以对于这种情况防范的办法并不多,可做以下选择:
①关闭SSID广播后,更改厂方默认SSID设置,并定义一套复杂的SSID命名规则,并定期更改。如思科的默认SSID是tsunami、Linksys的默认SSID是linksys、TP-LINK的SSID就是TP-LINK,如果不更改这些设置,就算关闭了SSID广播未授权用户就比较容易获得访问。
②禁用DHCP服务器(动态主机配置协议),改用除192.168.0.1、192.168.1.1之类的常用IP地址外的静态IP地址,以防止DHCP服务器自动向访问无线网络的任何人自动分配IP地址。
③如果公司无线设备比较统一,可开启无线网卡支持的最高加密技术。