随着无线技术的发展,越来越多的人开始使用无线上网,安装一个无线路由器或者AP,就可以自由自在的移动上网,不受线缆的约束。然而当蹭网一族出现后,你是否还觉得自己一手建立的无线网络在安全范围内唯你独享呢。答案有可能是否定的。
一般我们现在的无线路由器或者AP都支持WEP/WPA/WPA2三种加密方式,如果你没有为无线网络设置加密,或者自以为存在侥幸心理而使用WEP加密,那么很有可能你周围的人正在偷偷的与你共享资源。
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/diannaorumen/)目前也有很多关于WPA被破解的报道,但就实际而言,要破解WPA-PSK不是和WEP一样抓很多包就能破解的,关键是要获取握手包。在获得了 WPA握手验证包后,攻击者会通过暴力破解模式来进行WPA密码破解,同时也可以通过事先建立有针对性的字典,然后再进行字典破解攻击。那么是不是可以 说,只要有足够空间、考虑周全的字典,破解WPA实际也就是时间的问题了。按照目前主流单机配置,在WPA破解速率上也就维持在100-300k/s(k /s为破解时每秒调用Key的数量),以这样的破解速率要把一个以小写字母和数字组合的5位WPA密码破开,需要的时间约为2-7天;这是一个5位的 WPA密码,如果采用的WPA密码长度更长,或者采用字母+数字+特殊字符的话,那么破解时间就会呈几何级增长变成天文数字,而破解时间的单位也会以年计 算。
根据前面的内容我们已经知道在WPA体系比WEP更为安全。那么我们在对无线路由器的实际使用中,如何确保无线网络安全呢。其实只需要几个步 骤,几分钟的时间,就可以让我们免于被蹭。下面我们以D-LINK无线路由器为例,来看都需要进行哪些设置。其它型号无线路由器可能配置界面有所差异,但 需要配置的功能都是一样的。
第一步,修改SSID
登陆路由器配置界面后,点击无线安装?手动无线因特网安装
从下图可见,路由器默认状态下的SSID为dlink,同时SSID为广播状态。
修改SSID名称为testWPA,之所以修改SSID,可以避免与使用同类产品的SSID冲突导致无线网络连接受阻,并且可以避免攻击者轻易猜出SSID。
第二步,隐藏SSID
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/diannaorumen/)趁热打铁,修改完SSID后,将下方的启用隐藏无线勾选上。这样的话,一般我们使用Windows自带无线管理程序再搜索无线网络时就不会搜到您的无线网络了。
第三步,设置无线安全加密
一般来说路由器出厂设置无线安全模式是不启用的,也就是说默认情况下这个无线网络是没有加密的,任何PC只要带有无线网卡就可以连接上。那么我 们现在做的至关重要的一步就是为我们的无线网络加密,上文中也提到了,目前WPA/WPA2的加密方式最为安全,在这里我们选择启用WPA/WPA2无 线安全(增强)。
启用后会看到下面需要填写WPA/WPA2的相关信息,此时密码类型选择最高安全级别的AES,另外在网络密钥处填写您要设置的密码,密码要求 8-63位ASCII,也就是说您填写8位以上的字母、数字或者特殊字符均可以,密码复杂度越高,破解起来就更加的困难。其余选项保持默认状态。
以上SSID修改并隐藏,无线加密也做好后,就可以通过保存设置按钮来使这些功能生效。如果您所使用的路由器这些功能不在一个配置界面下,也可以逐项设置并保存以生效。
第四步,管理员密码修改
在上面第三步我们也看到了,配置界面的无线网络密钥填写后并不是呈现原点或者*状字符,因此如果其他人连接到您的局域网内就可以登录到您的路由 器里面查看配置信息,包括无线密钥,除了共享您的网络资源外,还很有可能使得您的ADSL账号密码等泄露出去。为了避免这一情况的发生,我们再给您的路由 器管理权限增加一个密码。路由器一般默认情况下密码为空,或者为admin等,那么您可以在维护?设置管理中,填写新的密码,并再进行确认 密码的填写,最后点击保存设置使其生效就可以了。
以上内容配置完成后,您再次登陆路由器时,就需要填写您刚才设置的密码后才可以登录了。
第五步,加入MAC地址过滤
MAC地址即每一个硬件设备的唯一网络标识,这里的需要填写的MAC地址即为您PC网卡或者无线网卡的MAC地址。以WindowsXP操作系统为例,您可以通过下面步骤查看PC的MAC地址。点击开始?运行,敲入cmd,然后点击确定。
在如下弹出的MS-DOS界面中,敲入命令ipconfig/all并回车。
回到路由器配置界面,找到MAC过滤规则一项,选择打开MAC过滤,允许列表上的计算机访问网络,将您确定要连接到DIR-605上的各台 PC的MAC地址逐一添加进来,一共可以添加25条,最后点击保存设置以使其生效。配置完该功能后,没有出现在MAC过滤规则中的PC均无法正常连接到 DIR-605上。
附录:
那么对于隐藏了SSID的无线网络,您如何连接到上面呢,下面以WinXP系统为例进行演示。
刚才我们设置了SSID为testWPA的无线网络,但是隐藏了它的SSID,因此我们在使用XP的查看可用的无线网络时,并不能搜索到它的身影。
这时候点击更改高级设置后出现无线网络连接属性对话框,在这里我们手动建立一个无线网络以便我们连接到DIR-605上。
(1)在网络名(SSID):填写我们设置在DIR-605中的SSID------testWPA;
(2)无线网络密钥:网络验证选择WPA2-PSK;数据加密选择AES;然后再填写在路由器上设置好的无线网络密钥并予以确认。
另外需要注意的一点,查看验证选项卡,确保启用此网络的IEEE802.1x验证没有被勾选。
上述内容填写完毕确定后,就可以发现在无线网络连接属性------首选网络中看到我们刚才建立的一个可用网络testWPA。
再次点击确定,同时确保您的无线网络连接可以自动获取IP,此时无线网络就会自动连接到DIR-605上。
