詳解無線路由器安全設(shè)置

［一般路由器配置］詳解無線路由器安全設(shè)置對(duì)于無線網(wǎng)絡(luò)用戶來說，很重要的一點(diǎn)就是應(yīng)該懂得：無論使用了多么安全的無線網(wǎng)絡(luò)，除非已經(jīng)部署了端到端的加密技術(shù)，否則都沒有所謂的真正的安全。雖然無線技術(shù)有很多的可用性方面優(yōu)勢，但是無線的安全性永遠(yuǎn)沒有辦法和有線網(wǎng)絡(luò)的安全性相提并論。DHCP-自動(dòng)獲取IP，還是固定IP?DHCP（DynamicHostConfigurationProtocol）動(dòng)態(tài)主機(jī)設(shè)定協(xié)議的功能就是可在局域網(wǎng)內(nèi)自動(dòng)為每臺(tái)電腦分配IP地址，不需要用戶設(shè)置IP地址、子網(wǎng)掩碼以及其他所需要的TCP/IP參數(shù)。它分為兩個(gè)部份:一個(gè)是服務(wù)器端（在這里指的是具有DHCP服務(wù)功能的無線AP或無線路由器），而另一個(gè)是客戶端（用戶的個(gè)人電腦等無線客戶端設(shè)備）。所有的IP網(wǎng)路設(shè)定資料都由DHCP服務(wù)器集中管理,并負(fù)責(zé)處理客戶端的DHCP要求;而客戶端則會(huì)使用從DHCP服務(wù)器分配下來的IP環(huán)境資料。如果無線AP或無線路由器啟用了DHCP功能，為接入無線網(wǎng)絡(luò)的主機(jī)提供動(dòng)態(tài)IP，那么別人就能很容易使用你的無線網(wǎng)絡(luò)。因此，禁用DHCP功能對(duì)個(gè)人或企業(yè)無線網(wǎng)絡(luò)而言很有必要，除非在機(jī)場、酒吧等公共無線"熱點(diǎn)"地區(qū)，則應(yīng)打開DHCP功能。一般在無線路由器的"DHCP服務(wù)器"設(shè)置項(xiàng)下將DHCP服務(wù)器設(shè)定為"不啟用"即可。這樣既使能找到該無線網(wǎng)絡(luò)信號(hào)，仍然不能使用網(wǎng)絡(luò)。我們給出的建議是：采用不是很常用私有網(wǎng)段的靜態(tài)方式，最好不要用192.168.0.0-192.168.0.255這個(gè)常用私有網(wǎng)段，讓人一猜就中。WEP、WPA-WEP加密，還是WPA加密？無線網(wǎng)絡(luò)加密是通過對(duì)無線電波里的數(shù)據(jù)加密提供安全性，主要用于無線局域網(wǎng)中鏈路層信息數(shù)據(jù)的保密。現(xiàn)在大多數(shù)的無線設(shè)備具有WEP加密和WAP加密功能，那么我們使用WEP加密，還是WAP加密呢?顯然WEP出現(xiàn)得比WAP早，WAP比WEP安全性更好一些。WEP采用對(duì)稱加密機(jī)制，數(shù)據(jù)的加密和解密采用相同的密鑰和加密算法。啟用加密后，兩個(gè)無線網(wǎng)絡(luò)設(shè)備要進(jìn)行通信，必須均配置為使用加密，具有相同的密鑰和算法。WEP支持64位和128位加密，對(duì)于64位加密，密鑰為10個(gè)十六進(jìn)制字符（0-9和A-F）或5個(gè)ASCII字符;對(duì)于128位加密，密鑰為26個(gè)十六進(jìn)制字符或13個(gè)ASCII字符。這里提示大家如何讓W(xué)EP更安全：⑴使用多組WEP密鑰，使用一組固定WEP密鑰，將會(huì)非常不安全，使用多組WEP密鑰會(huì)提高安全性，但是請(qǐng)注意WEP密鑰是保存在Flash中，所以某些黑客取得您的網(wǎng)絡(luò)上的任何一個(gè)設(shè)備，就可以進(jìn)入您的網(wǎng)絡(luò)；（2）如果你使用的是舊型的路由器，且只支持WEP，你可以使用128位的WEPKey，這樣會(huì)讓你的無線網(wǎng)絡(luò)更安全。⑶定期更換你的WEP密鑰。⑷你可以去制造商的網(wǎng)站下載一個(gè)固件升級(jí)，升級(jí)后就能添加WPA支持。WPA（Wi-Fi保護(hù)接入）能夠解決WEP所不能解決的安全問題。簡單來說，WEP的安全性不高的問題來源于網(wǎng)絡(luò)上各臺(tái)設(shè)備共享使用一個(gè)密鑰。該密鑰存在不安全因素，其調(diào)度算法上的弱點(diǎn)讓惡意黑客能相對(duì)容易地?cái)r截并破壞WEP密碼，進(jìn)而訪問到局域網(wǎng)的內(nèi)部資源。WPA是繼承了WEP基本原理而又解決了WEP缺點(diǎn)的一種新技術(shù)。由于加強(qiáng)了生成加密密鑰的算法，因此即便收集到分組信息并對(duì)其進(jìn)行解析，也幾乎無法計(jì)算出通用密鑰。其原理為根據(jù)通用密鑰，配合表示電腦MAC地址和分組信息順序號(hào)的編號(hào)，分別為每個(gè)分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用于RC4加密處理。通過這種處理，所有客戶端的所有分組信息所交換的數(shù)據(jù)將由各不相同的密鑰加密而成。無論收集到多少這樣的數(shù)據(jù)，要想破解出原始的通用密鑰幾乎是不可能的。WPA還追加了防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能。由于具備這些功能，WEP中此前倍受指責(zé)的缺點(diǎn)得以全部解決。WPA不僅是一種比WEP更為強(qiáng)大的加密方法，而且有更為豐富的內(nèi)涵。作為802.11i標(biāo)準(zhǔn)的子集，WPA包含了認(rèn)證、加密和數(shù)據(jù)完整性校驗(yàn)三個(gè)組成部分，是一個(gè)完整的安全性方案。在這里要提醒各位，許多無線路由器或AP在出廠時(shí)，數(shù)據(jù)傳輸加密功能是關(guān)閉的，如果你拿來就用而不作進(jìn)一步設(shè)置的話，那么你的無線網(wǎng)絡(luò)就成為了一個(gè)"不設(shè)防"的擺設(shè)。我們給出的建議是：采用WPA加密方式。MAC地址-網(wǎng)絡(luò)世界的DNA由于每個(gè)無線網(wǎng)卡都有世界上唯一的物理地址MAC，因此可以在無線AP(或無線路由器)中手工設(shè)置一組允許訪問的主機(jī)的無線網(wǎng)卡MAC地址列表，實(shí)現(xiàn)物理地址過濾。這要求我們必需隨時(shí)更新AP中的MAC地址列表。設(shè)置MAC地址過濾對(duì)于大型無線網(wǎng)絡(luò)來說工作量太大，但對(duì)于小型無線網(wǎng)絡(luò)則不然，因此我們應(yīng)不怕麻煩°MAC地址在理論上是可以偽造，因此它是較低級(jí)別的認(rèn)證方式。我們給出的建議是：對(duì)于家庭及小型辦公無線網(wǎng)絡(luò)，用戶不是很多，應(yīng)該設(shè)置MAC地址過濾功能。SSID-隱藏自己無線路由器一般都會(huì)提供"允許SSID廣播"功能。如果你不想讓自己的無線網(wǎng)絡(luò)被別人的無線網(wǎng)卡"輕易"搜索到，那么最好"禁止SSID廣播"。SSID通俗地說便是給無線網(wǎng)絡(luò)所取的名字，它的作用是區(qū)分不同的無線網(wǎng)絡(luò)。SSID是無線網(wǎng)卡發(fā)現(xiàn)無線網(wǎng)絡(luò)的第一要素，開啟廣播SSID以后，在無線網(wǎng)絡(luò)的效覆蓋范圍內(nèi)，無線網(wǎng)卡會(huì)自動(dòng)找到該網(wǎng)絡(luò)，并嘗試與之連接。若我們不愿將自己的無線網(wǎng)絡(luò)曝露在大庭廣眾之內(nèi)，我們應(yīng)想到隱藏自己無無線網(wǎng)絡(luò)的SSID，應(yīng)把"廣播SSID"這項(xiàng)功能關(guān)閉。"廣播SSID"關(guān)閉以后，無線網(wǎng)卡不會(huì)自動(dòng)找到無線網(wǎng)絡(luò)，到接入到這個(gè)無線網(wǎng)絡(luò)需要手動(dòng)添加SSID。我們給出的建議是：隱藏SSID。如何讓無線網(wǎng)絡(luò)更安全據(jù)互聯(lián)網(wǎng)的資料，使用以下軟件：NetworkStumbler、WildPacketsAiroPeekNX、OmniPeek4.1和WinAircrack等，這些軟件只要有足夠長的時(shí)間來抓取正在通信中的無線網(wǎng)絡(luò)通信信號(hào)，就可以破解包括WEP加密、WPA加密、MAC過濾、SSID隱藏等無線網(wǎng)絡(luò)安全設(shè)置。這聽起來不免令我們失望，那么如何讓無線網(wǎng)絡(luò)更安全。確保盡可能的讓無線接入網(wǎng)絡(luò)不要依賴于WEP等技術(shù)而盡可能的采取其他更為安全手段，目前實(shí)現(xiàn)這個(gè)目標(biāo)的方法主要有VPN技術(shù)，如：使用安全協(xié)議如點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP)或者第二層隧道協(xié)議(L2TP)，使用IPSec，SSL等VPN技術(shù)。這樣既可以獲得訪問控制功能，也可以獲得端到端(程序至程序)的加密功能。VPN技術(shù)這種端到端的安全解決方案對(duì)小型網(wǎng)絡(luò)和個(gè)人應(yīng)用來說可能部署起來過于復(fù)雜和沒有技術(shù)方面的支持，這是我們小型用戶感到為難的地方，但基于WEB方式SSLVPN技術(shù)相對(duì)來說較容易一些。相對(duì)于有線網(wǎng)絡(luò)來說，通過無線局域網(wǎng)發(fā)送和接收數(shù)據(jù)更輕易被竊聽。設(shè)計(jì)一個(gè)完善的無線局域網(wǎng)系統(tǒng)，加密和認(rèn)證是需要考慮的的安全因素。1.加密無線局域網(wǎng)中應(yīng)用加密技術(shù)的最根本目的就是使無線業(yè)務(wù)能夠達(dá)到與有線業(yè)務(wù)同樣的安全等級(jí)。針對(duì)這個(gè)目標(biāo)，IEEE802.11標(biāo)準(zhǔn)中采用了WEP(WiredEquivalentPrivacy:有線對(duì)等保密)協(xié)議來設(shè)置專門的安全機(jī)制，進(jìn)行業(yè)務(wù)流的加密和節(jié)點(diǎn)的認(rèn)證。它主要用于無線局域網(wǎng)中鏈路層信息數(shù)據(jù)的保密。WEP采用對(duì)稱加密機(jī)理，數(shù)據(jù)的加密和解密采用相同的密鑰和加密算法。WEP使用加密密鑰(也稱為WEP密鑰)加密802.11網(wǎng)絡(luò)上交換的每個(gè)數(shù)據(jù)包的數(shù)據(jù)部分。啟用加密后，兩個(gè)802.11設(shè)備要進(jìn)行通信，必須啟用加密并具有相同的加密密鑰。WEP加密默認(rèn)是禁用，也就是不加密。無線安全參數(shù)是可選的設(shè)置，一般有三個(gè)參數(shù)，分別如下：WEP密鑰格式：十六進(jìn)制數(shù)位；ASCII字符。WEP加密級(jí)別：禁用加密功能；40(64)比特加密；128比特加密。默認(rèn)值為DisableEncryption(禁用加密功能)。WEP密鑰值：由用戶設(shè)定。無線路由器與支持加密功能的無線網(wǎng)卡相互配合，可加密傳輸數(shù)據(jù)，使他人很難中途竊取你的信息。WEP加密等級(jí)有40(64)比特和128比特兩種，使用128比特加密較為安全。WEP密鑰可以是一組隨機(jī)生成的十六進(jìn)制數(shù)字，或是由用戶自行選擇的ASCII字符。一般情況我們選用后者，由人工輸入。每個(gè)無線寬帶路由器及無線工作站必須使用相同的密鑰才能通訊。但加密是可選的，大部分無線路由器默認(rèn)值為禁用加密。加密可能會(huì)帶來傳輸效率上的影響。如需啟用加密功能，請(qǐng)選擇"ASCII字符"的WEP密鑰格式，在WEP加密方法(方式)下選擇40(64)比特或128比特WEP密鑰。在使用40(64)比特加密方式時(shí)，可以輸入四"把"不同的WEP密鑰，但同一時(shí)刻只能選一把來使用。每把密鑰由10個(gè)十六進(jìn)制字符組成。保存在無線寬帶路由器中。在缺省下，選擇四把密鑰的其中一把來使用。在使用128比特加密方時(shí)，請(qǐng)輸入26個(gè)十六進(jìn)制字符作為WEP密鑰。這種情況只能輸入一把密鑰。某些無線網(wǎng)卡只能使用40(64)比特加密方法，因此你可能要選較低的加密級(jí)別。假如您所有的客戶機(jī)均可支持128比特加密通訊，請(qǐng)選擇128比特；假如有客戶機(jī)只能支持40(64)比特加密通訊，請(qǐng)選擇40(64)比特。信息來自"歲月聯(lián)盟"若要啟用加密，請(qǐng)為網(wǎng)絡(luò)上的所有無線路由器、訪問點(diǎn)和工作站選擇加密類型和WEP密鑰。為了增加網(wǎng)絡(luò)安全性，可經(jīng)常更改密鑰。在更改某個(gè)無線設(shè)備所使用的密鑰時(shí)，請(qǐng)記得同時(shí)更改網(wǎng)絡(luò)上所有無線電設(shè)備和訪問點(diǎn)的密鑰。2.關(guān)閉廣播SSID為了能夠進(jìn)行通訊，無線路由器和主機(jī)必須使用相同的SSID。在通訊過程中，無線路由器首先廣播其SSID，任何在此接收范圍內(nèi)的主機(jī)都可以獲得SSID，使用此SSID值對(duì)自身進(jìn)行配置后，若沒有加密等安全設(shè)置就可以和無線路由器進(jìn)行通訊。SSID的使用暴露了路由器的位置，這會(huì)帶來潛在的安全問題，因此目前大部分無線路由器都已經(jīng)支持禁用自動(dòng)廣播SSID功能。但是禁用SSID在提高安全性的同時(shí)，也在某種程度上帶來不便，進(jìn)行通訊的客戶機(jī)必須手動(dòng)進(jìn)行SSID配置。當(dāng)然對(duì)于家用或小型商用來說，為客戶機(jī)配SSID工作量不大，也不復(fù)雜，所以應(yīng)可以不必為這個(gè)設(shè)置操心。3.MAC地址過濾MAC是每塊網(wǎng)卡固定的物理地址，它在網(wǎng)卡出廠時(shí)就已經(jīng)設(shè)定好。MAC地址過濾的策略就是使無線路由器只答應(yīng)部分MAC地址的無線客戶端可以與它互相通信。MAC地址的過濾策略是無線通訊網(wǎng)絡(luò)的一個(gè)基本的而且有用的措施，它必須是手動(dòng)輸入MAC地址。啟用MAC地址過濾，無線路由器獲取數(shù)據(jù)包后，就會(huì)對(duì)數(shù)據(jù)包進(jìn)行分析。假如此數(shù)據(jù)包是從所答應(yīng)的MAC地址列表中發(fā)送而來的，那么無線路由器就會(huì)轉(zhuǎn)發(fā)此數(shù)據(jù)包，否則丟棄不進(jìn)行任何處理。除了無線路由器的設(shè)置，要使我們的電腦能訪問到它，我們還得對(duì)電腦的無線網(wǎng)卡進(jìn)行設(shè)置。必須相應(yīng)的更改每個(gè)客戶機(jī)的無線網(wǎng)卡的SSID、信道的設(shè)置；若無線路由器已啟用了無線加密，還要做加密選項(xiàng)的相應(yīng)項(xiàng)目的相應(yīng)設(shè)置?，F(xiàn)在很多人買了無線路由器以后在進(jìn)行無線設(shè)置的時(shí)候都不知所措，面對(duì)那么多的選項(xiàng)，有什么是必須選的，有什么是可以默認(rèn)的，本文作一個(gè)簡單講解。無線路由器的無線設(shè)置主要有：無線設(shè)置和無線安全設(shè)置兩方面，下面作一個(gè)簡單的介紹。無線設(shè)置無線路由器的出廠時(shí)有些默認(rèn)值，可以延續(xù)使用，但在設(shè)置無線路由器時(shí)，你必須設(shè)定的兩個(gè)參數(shù)值：SSID和信道。1.SSIDSSID（ServiceSetIdentifier）是"業(yè)務(wù)組標(biāo)識(shí)符"的簡稱，是無線網(wǎng)絡(luò)的標(biāo)志符，用來識(shí)別在特定無線網(wǎng)絡(luò)上發(fā)現(xiàn)到的無線設(shè)備身份。所有的工作站及訪問點(diǎn)必須使用相同的SSID才能在彼此間進(jìn)行通訊。SSID是一個(gè)32位的數(shù)據(jù)，其值區(qū)分大小寫。它可以是無線局域網(wǎng)的物理位置標(biāo)識(shí)、你的名稱、公司名稱、或公司名稱和部門、偏好的標(biāo)語等你喜歡的字符。2.信道信道也稱作"頻段（Channel）"，其是以無線信