网络安全 频道

连载:无线网络安全防护配置与讲解(一)

我已经写过一些文章,说的是无线网络没有正确配置而导致被攻击的相关事例。那些攻击者比较喜欢的工具是Netstumbler、Airsnort等工具,他们使用这些工具来攻击无线网络。你的无线网络被入侵到什么程度决定于你所做的防护工作有多少。如果入侵者使用一条枪而你仅仅拥有一个苍蝇拍的话,那么你的网络就很危险了。你必须不遗余力的利用技术手段来提高你的防护能力,这篇文章就是讨论这些的。
当前有两种特点不同的无线网络分别面向一般用户和企业用户,而每一种都存在安全隐患。最开始的也是迄今为止部署最广的无线网络面向一般用户,诸如家庭、校园、咖啡厅等。但是,大多数企业在是否安装无线网络的问题上很犹豫,因为已经安装无线网络的企业在应用过程中存在很多安全隐患。其实,无论是面向一般用户还是企业用户的无线网络所采用的安全措施仅仅能够抵挡住一般的攻击,但是对于水平比较高的攻击者却形同虚设。本篇文章主要讨论如何提高一般用户无线网的安全防护水平。我会以一个SoHo无线路由器为基础去讲,这些内容也适合小型企业用户网络。

图-1
第一步,你必须确保你能够按照SoHo路由器的使用说明连接到路由器的Web接口上。然后通过Web登录此路由器进行安全性配置和其他配置。如图-1。
我使用Web浏览器访问192.168.1.1后出现登录窗口,输入用户名和密码之后就进入路由器的启动界面,图-1是该启动界面的上半部分。界面第一行就是一个下拉菜单,第一项内容为“Automatic Configuration - DHCP”(“使用DHCP自动分配IP”)。如果你选中此选项,那么就会出现另外几个选项让你选择。你认为是否应该选中此选项呢?我的意见是不使用此选项,而使用静态IP分配方式。为什么?其实答案很简单,答案就在DHCP协议本身的工作机制上。假设你的无线路由器上使用DHCP自动分配IP地址,那么任何掌上电脑或者无线设备只要能够连接到你的无线网中就都可以获得一个IP地址,从而完全进入你的无线网络中。这不是一个理想的无线网络配置。毕竟,在这种配置下只要一个攻击者获得了你的WEP密码之后就可以很方便的获得一个IP地址从而完全进入你的无线网络获得他想要的东西,你为什么要给他们打开这个方便之门呢?
如果你在自己的小型无线网络中使用静态IP分配方式则要好得多。静态IP分配方式在企业无线网络中很少使用,因为他们的计算机数量和流动性太大。如果在企业中使用静态IP地址分配方式则需要会花费很长的时间。使用静态IP地址分配方式看起来很乏味,但是你要记住如果你要保证你的网络安全的话这种代价是值得的。
图-1中,下一项就是“Router Name”(“路由器名称”)。你可以看到,“路由器名称”默认为“WRT54G”。这里,我们也不需要保留这个默认的名称,把它改为完全不相同的另外一个即可。
其他选项诸如“Host Name”(“主机名”)、“Domain Name”(“域名”)等如果你不愿意设置也没有关系,这不会影响到无线路由器的工作,也不会降低它的安全性。

图-2
图-2是你路由器启动界面的下半部分。你可以看到用户IP地址范围和子网掩码。你尽量不要去修改这些内容,修改这些内容会导致一定的错误。
下一选项“DHCP Server”(“DHCP服务器”)中我们选择“Disabled”,即不启用DHCP服务器。
记得你需要为你的用户计算机分配静态的IP地址。“Starting IP address”(“IP地址起始值”)选项保留默认值即可,不需要修改。这就意味着用户的IP地址分配从192.168.1.100开始,家庭无线网络用户中爸爸使用192.168.1.100,妈妈使用192.168.1.101,以此类推。
下一步,我们设置“Maximum Number of DHCP Users”(“DHCP分配的最大用户数量”)项为0,下边的“Client Lease Time”(“客户端租借时间”)保留默认值即可。
下一步,你必须手工输入DNS服务器的IP地址,而不是靠使用DHCP协议来自动获取。读到现在,你可能想了解更多的DHCP协议的内容,这个协议很灵巧并且和BOOTP协议由共同之处,你可以去网上搜索其内容进行学习。
一旦完成了相关修改,必须进行保存,否则前功尽弃。这一点听起来有点杞人忧天,但是经常有很多人忘记保存,还非常不解的不知道为什么自己的修改没有生效。
这一部分我就进行到这儿吧。下一部分《无线网络安全防护配置与讲解-2》中我会继续介绍Web界面登录SoHo无线路由器的其他配置选项。尽管这样的介绍看起来有些教条而且你可能觉得介绍的太慢,但是我认为这样的介绍方式是必需的。很多系统管理员都有有线网络的相关配置经验,但是无线网络和有线网络差别太大,你必须从头学习。如果你能够按照我们的介绍,学会正确的管理一个SoHo无线路由器,那么你就掌握了一门非常重要的技能。并不是所有的企业网络能够给你提供一个可用于学习和实验的无线路由器。
只有通过学习相关技能,你才能保护你的无线网络。现在的无线通讯技术已经成为一种成熟的技术,但是相关的标准和安全措施却有缺陷,需要继续完善。基于此现状,你必须采用可行的安全手段来保护你的无线网络。第一步就是正确的安装无线路由器。如果这一点没有做好,使用再多的其他手段也无法保证你的网络安全。
在本篇文章的第二部分《无线网络安全防护配置与讲解-2》中,我会继续介绍其他的相关配置。到时候见。
0
相关文章