引:古有“凿壁取光”的读书郎,今有“隔墙上网”的不速客。当家庭无线网络日益兴盛时,安全问题也越发严重,没有谁愿意为别人提供免费的网络大餐,私人信息被窃取的后果就更让人无法想象了。
保护无线网络的安全性对大多数家庭用户来说恐怕不算件新鲜事,但这项工作又往往让人沮丧,因为黑客手段层出不穷,因此必须学习及了解各种最新的信息。连公司的网络管理员也应当有防范意识,因为如果员工使用不安全的无线网络在家办公,这就为有人侵入贵企业提供了可趁之机。
传统防范手段
在以往,最常使用的解决办法有:
·禁用SSID广播:让别人无法通过SSID名称搜索到你的无线网络,但黑客完全可以通过其他手段找到、并闯入你的网络。
·启用MAC地址认证:你可以阻止未经认证的MAC地址进入你的网络,但黑客仍可以通过假冒你的MAC地址来绕多你的防御屏障。
·禁用DHCP服务器:不让外人轻易获得你网络IP地址信息也能给入侵者制造些麻烦,但黑客得到你的IP却并不困难。
·WEP密码:设定WEP密码听起来应该很安全,高科技嘛!但黑客只要截取你一个足够长度的WEP加密帧,就可以在短短几分钟之内轻易查明你的WEP密钥,入主你的无线网络。
实际上,许多网站仍在建议家庭用户采用上述办法。不过对任何高级用户而言,单单这些方法是远远不够的。
启用WPA吧!
那么,想更有力地保护家庭网络安全的用户该如何是好呢?幸好,还有WPA (WiFi Protected Access) 和WPA2。
WPA是属于 IEEE 制定中的 802.11i 安全标准的子集合,其中包括了 802.1x 的认证系统(EAP)与 TKIP(Temporal Key Integrity Protocol),WPA 并非 IEEE的标准协议,而是 WiFi 联盟各公司在 802.11i 未完成前的暂时解决方案。与一般用户相关的地方是有预共享密钥(PSK,Pre-shared Key )机制,需要在 AP 与客户端分别输入预设密码,之后才可以使用。用 Pre-shared Key 计算出要对封包加密的密钥,并且在用户使用当中,定时重新产生加密所需密钥,以避免重复使用加密密钥的弱点。完整的 TKIP 除了 Pre-shared Key 以外,还包括 Per-packet Key mix、讯息完整性检查(Michael Message Integrity Check)、有序规则的 Extended Initialization Vector(IV)、重新产生加密密钥Re-keying等功能,弥补已知的 WEP 协议弱点。
当然,你最好使用强密钥,这样可以减小攻击者对你的网络实行离线式字典攻击得逞的可能性。你只要访问可以自动生成强密钥的网站,就很容易获得一把强密钥。当然,你还应当根据AP的配置接口,更改默认的SSID和口令。最后,如果员工在家使用笔记本电脑,公司还要考虑安装现有的客户软件,并执行无线安全策略,譬如使用虚拟专用网(VPN),这样可以减小丢失宝贵数据或者网络留有后门的可能性。
如果你的无线设备(AP、无线路由器和客户端)都具备WPA功能,那还等什么呢?