线网络和有线网络的安全差异
和传统的有线网络相比,有线网络是真实存在的实体,有真实的线材连接。而在一个无线网络环境中,由于无线网络曝露在一个区域的频率段中,理论上任何人都有可能可以通过无线设备劫持到无线数据。这些无线电波可以穿透墙壁,天花板等障碍物,只要接收到的到信号,就可以接入到网络中来。
无线网络基本上不能要求信号只发送到指定的方向或者机器上,因此对于无线网络的安全保护上是和有线网络安全不同,不能只是监控是否有网线连接到网络设备里,更应该着重在用户端到无线中心的身份者确认方面,从不同访问者的不同权限进行分别管理,再加上一些数据加密技术加强传输时的保密性。
目前多数无线网络的是使用者都缺乏安全意识,很少有无线网络进行了加密设置。WIFI无线网络在室内传输距离为100米的半径范围,目前多数人都居住的房子都不足100平方,换言之房子的长度都不顶多10-20米;一般房子楼层高度为3米左右,这样的环境说明我们的无线网络的70%范围都可能在房子之外。有人在其他切入你的网络或者有几个网络互相覆盖在你的房间里都是寻常的事情。增加自身无线网络知识,提高自己网络自保能力相当有必要。
现在我们由浅至深,介绍一些网络自保知识:
号增强同时也提高了网络的危险性:
无线网络是全向性传播,市场上大部分无线设备都配备了小型的天线,通常无线网卡只有1-3dB,(以后我们可以抽出时间专门谈谈天线的增益问题,目前简单地理解,dB的数字越大,天线的收发能力越强)无线路由器则是2-5dB不等。许多人为了让信号传输到一些比较封闭的角落,通常会选择在无线网卡或无线路由器上更换更大增益的天线,或者选用一些输出功率较大的企业级无线路由器,这样增加电波信号的强度,其中也就无形中扩大了电波的传输范围。虽然这样会使得网络更稳定,但与此同时网络的安全问题也更容易出现,如果没有必要的防护措施,别有用心的人就可以自由进出你的电脑了。
食指般粗的天线,大概是5dB
广播SSID存在着危机:
SSID用来区分不同的网络,最多可以有32个字符,如我们用的wep.net.sjtu。网卡设置了不同的SSID就可以进入不同网络,SSID通常由AP广播出来,通过XP自带的扫描功能可以相看当前区域内的SSID。出于安全考虑可以不广播SSID,此时用户就要手工设置SSID才能进入相应的网络。
如果在设置上广播SSID,在网络搜寻中,搜寻者不需要知道SSID名称就可以发现网络的存在,每次发送电波时都会将含SSID的信号广播出去,增加了从网络入侵的危险性。目前大多数的无线路由器出厂都是将广播SSID默认打开,为了网络的隐蔽性,建议在设置时将SSID隐藏。
注意:更换预设的SSID地址,防止他人猜中。
隐藏SSID的具体操作:
进入设置,到无线设置的项目里,将允许SSID的广播的勾去掉,保存退出,这样就搞定。再搜索一下,你会发现如果你的机器之前没有登陆过这个SSID,就没办法出现在你的网络列表中了。
Mac地址,保护网络家园:
每个正常的网卡都有一个少有的Mac地址,如果你在无线路由中只允许你所认识的Mac地址使用,那也大大降低了外人的无线网卡进入网络的机会。目前几乎所有无线路由都有这样的功能,其设置也比较简单,是一个既方便又行之有效的自我保护方法。而如果对某些有入侵记录的Mac地址同样可以进行禁用。
具体使用方法:
在无线选项里的Mac地址过滤的项目,启用后,选择允许/禁止,允许则添加你同意使用网络的Mac地址,通常都是运行家里的几台电脑。禁止的一般都是对一些有入侵过网络的Mac地址进行禁止。
更高阶段的加密WEP和WPA:
将数据加密后由无线路由处发出,接收后再解密的技术也是保护传送资料,使得其他人无法窃听。在802.11标准里两种加密方式可以确保数据的传输,这就是--WEP和WPA。
WEP(Wired Equivalent Privacy):
有线等效保密;为了保证数据能通过无线网络安全传输而制定的一个加密标准,使用了共享秘钥RC4加密算法,密钥长度最初为40位(5个字符),后来增加到128位(13个字符),有些设备可以支持152位加密。使用静态(Static)WEP加密可以设置4个WEP Key,使用动态(Dynamic)WEP加密时,WEP Key会随时间变化而变化。
WPA(Wi-Fi Protected Access):
Wi-Fi联盟制定的过渡性无线网络安全标准,相当于802.11i的精简版,使用了TKIP(Temporal Key Integrity Protocal)数据加密技术,虽然仍使用RC4加密算法,但使用了动态会话密钥。TKIP引入了4个新算法:48位初始化向量(IV)和IV顺序规则(IV Sequencing Rules)、每包密钥构建(Per-Packet Key Construction)、Michael消息完整性代码(Message Integrity Code,MIC)以及密钥重获/分发。WPA较高提升了无线网络数据传输的安全性但还没有一劳永逸地解决解决无线网络的安全性问题,因此厂商采纳的积极性似乎不高。目前Windows XP SP1可以支持WPA。
尽管WEP的加密技术其实已经有破解的计算公式,但是这始终只有高水平的黑客才可以完成,我们要做的是设置好更高位数的加密方式,不要让平平无奇的网络小偷闯进我们的网络来,所以设置了连通后的无线网络就应该进行WEP或者WPA的设置。这里先介绍WEP的设置。
WEP的设置:
在无线设置里选择共享密钥,其实通常应该是WEP……之类的选项。页面就会有出现几个密钥的填写栏目,选择密钥的位数。64bit、128bit等等,如果你的记忆力够好,可以选择更高的位数。我们以64位为例子,密钥为:12345。
不要忘记了密钥,否则可以在有线网络里清除。
保存后路由会重新启动,再搜索就可以发现搜索出来的网络是已经加密了的,图片上有把锁。
连接时会提醒要输入key,这就是指密钥了。依次填写密钥,刚才的是12345,再connect一下。
确认了连接就会出现这样的图标,也就是你加密成功了。
每次连接电脑都要向无线路由发出WEP key,这串密钥就好象QQ的密码,越长越复杂越好,因此,选择64bit和选择256bit的加密方式差别就很大,通常64bit就可以满足家庭用户的需要,大约只要记得6个符号。而企业的用户则另算。
网络提倡共享,做人却应该厚道:
最后,在我们使用无线网络的过程中,我们除了做好对他人网络安全的防范之外,亦应该克制自己的网络行为。你的盗用人家网络时,可能同样有人在盗用还你的网络。
不过你也不要太过于忧心,写此文章并不是想引起无线网络用户的恐慌,只是指出使用者对无线网络的一些错误使用习惯,让大家将无线网络被入侵的机会降到最低。
