像大多数人一样,我的朋友也是按照产品的安装说明和安装向导架起了他的路由器并做了初始化。按照安装向导,他能够通过改变管理员口令来保护路由器。不管怎样,尽管通过路由器的配置软件设置一个管理员口令是一个好的开端,但它仅仅能提供一个基本的安全保护。这在我朋友所提出的两个要求中,仅仅是第一个。
如果你像我的朋友一样,无线网络保持大开状态,那么,你的无线路由器范围内的任何人都可以通过你的网络访问互联网和你的家庭PC。如果你正处于这样的境地,那么你需要做一些事情。你只要按照下面的五个步骤就可以为你的家庭无线网络提供保护了。
步骤1:改变路由器的缺省管理员口令
基本上所有的路由器都提供一个缺省的用户ID和口令。因为这个口令是众所周知的,你必须更改这个缺省的口令。你可以通过运行路由器安装和配置向导来更改它,这个操作很简单。
如果你使用的路由器没有提供这样的向导,你可以通过使用浏览器连接到路由器来改变它。比如说,要连接到Linksys路由器,在路由器加电并且连接以太网网线之后,打开一个Web浏览器,在地址栏中键入192.168.1.1,使用缺省的用户ID和口令就可以登录到路由器中,然后就可以更改缺省的口令。
步骤2:改变缺省的SSID,禁止SSID广播
所有的路由器都绑定了一个由制造商提供的SSID,也就是服务设置识别码。SSID是由32位字母或者数字组合成的,包含了一个无线局域网的ID或名字。例如,Linksys路由器的缺省SSID名字就是Linksys。缺省的SSID是众所周知并且公开发布的。因此,无线路由器的制造商建议你更改缺省的SSID以便它是唯一的。此外,他们还建议尽可能的经常更改你的SSID,因为黑客们知道,为了加入一个无线网络,无线网络产品都首先监听周期性广播信标消息(beacon messages),这些消息是不加密的,并且,这些消息包含了网络的信息,比如网络的SSID和访问网络的IP地址等。
同样的,一个路由器广播它的路由器SSID。你需要禁止掉这个属性。尽管这样做并不能提供级别很高的保护(一些常用的工具,比如NetStumbler就能够探测隐藏的SSID),禁止掉SSID广播能够为你增加一层保护措施。不过,如果你禁止了SSID广播,可能会引起一些设备的使用不便,比如HP Palmtops,可能就不能连接网络或者经常断线。
步骤3:更改IP地址设置
路由器制造商为每一个路由器都设置了相同的IP地址。比方说Linksys路由器的初始化IP地址为192.168.1.1。这些地址是公开的,众所周知的,这样,不怀好意的用户如果知道了你所使用的路由器的制造商和类型,他们就可以轻易地获取你的IP地址。因而,你应该把更改IP地址作为配置过程的一部分。我们继续以Linksys为例,你可以把缺省的IP地址192.168.1.1更改为192.168.10.1。尽管更改IP地址并不能保护路由器,但它能够使偷听者不容易猜到IP地址。
DHCP在每一个路由器上缺省状态也是激活的。DHCP提供客户机器的IP地址信息。通常,DHCP服务器分发2-254范围内的IP地址。所以,有253个客户机可以从你的路由器得到IP地址。你在家里可能没有那么多的系统,所以,最好缩减DHCP的范围为你所期望你的网络中所包含机器的数量。根据我的经验,我设置我的路由器处理的地址数量为我网络中机器的数量,在额外加上两个为来访的亲朋好友准备的地址。
步骤4:配置你的路由器启用加密
路由器缺省的配置是不包含加密的。因为加密能够给你的无线通讯提供安全保护,你必须激活它。不管怎样,在配置加密之前,你必须了解一些关于无线加密的情况和不同类型加密标准的保护程度,特别是WEP(有线等效加密)和WPA(WiFi保护访问)。
WEP
WEP是802.11标准中的一个可选加密方式。大多数的NIC和AP厂商都支持WEP,也是家庭无线网络安全中采用最普通的方式。然而,WEP有两方面的局限性。第一,普通用户很难记住它的长密钥。对这样的用户来讲,配置网络就是一个挑战。第二,WEP最严重的问题在于恶意用户能够使用一些免费的工具(比如AirSnort、WEPCrack)轻易地破译WEP加密的数据。通过在一个频繁使用的无线网络sniff大约5个小时(比如截取传输的数据包等),入侵者使用工具就可以确定WEP密钥并且能够访问网络。
WEP的漏洞是众所周知的。在2001年1月,UC Berkeley出版了关于WEP漏洞的白皮书,在同年3月,马里兰州大学的计算机科学系三位教授发表了一篇叫做《Your 802.11 Wireless Network Has No Clothes》的论文,里面列出了WEP的漏洞。
尽管WEP不是可使用的最安全的方法,那它也比不使用加密要好。家庭网络不像公司网络那样使用繁忙,所以入侵者要想破译WEP密钥,就不得不花费比从公司网络收集数据更多的时间来sniff家庭无线网络。
WPA
WPA是继承了WEP基本原理又解决了WEP缺点的一项新技术,是即将推出的802.11i标准的附属标准,它将替代现行的WEP协议。WPA被设计用来使用802.1X认证。
WPA比起WEP来一个最大的提升就是附加了TKIP(临时密钥完整性协议),它能够使用加密的数据动态(比如每10,000个数据包)改变密钥。仅这一个改变就使WPA比WEP更安全。WPA的另一个优势就是它把pass phrase作为密钥,这比WEP既长又复杂的密码更容易记忆和配置。图1显示了Linksys路由器的pass phrase密钥配置界面。
WPA仅仅是从2004年2月份才变成一种标准的。从那时起,必须支持WPA的设备才能通过认证,但是,旧的系统如果没有经过固件升级的话将不能支持WPA。如果你是在2004年2月以前购买的设备,你就需要升级你的固件才能够获得WPA支持。
对于旧的路由器除了必要的升级外,客户端的软件升级也是必要的。比如,如果你没有安装过Windows XP SP2,那么你就不能下载安装WPA的补丁。
步骤5:使用MAC地址过滤
每一个NIC都有一个惟一的MAC地址。你能够配置大多数的无线路由器基于这些地址进行过滤。要显示XP下的包含MAC地址在内的IP配置信息(如图2所示),需要键入C:\>ipconfig /all命令。当你知道了MAC地址后,你可以登录到路由器,然后把MAC地址加入到过滤中。图3显示了如何将MAC地址加入到Linksys路由器中。
在增加MAC地址之前,你必须首先激活MAC过滤。大多数的路由器能够让你要么允许指定的特定PC访问网络,要么拒绝特定的PC访问网络。图4(图4)展示了Linksys路由器允许列出的PC访问网络的配置。一般情况下,你不需要知道谁被拒绝访问,因此,最好使用仅允许特定客户访问选项。
过滤MAC地址也不是十分牢固的。入侵者能够根据MAC地址过滤改变设备的MAC地址。但是不要忘了,黑客在行动之前必须知道你的网络中设备的MAC地址。
就像锁住你的房间一样
就像紧锁你的房门和窗户使你家得到安全保护一样,你也必须紧锁你的无线网络以达到安全。通过改变你的路由器缺省管理员密码、改变缺省的SSID和禁止SSID广播、改变你的IP地址配置、设置你的路由器使用加密,同时使用MAC地址过滤,你就能够容易地保护你的家庭无线网络,就像我的朋友所做的那样。尽管这样并不能阻止疯狂的就想侵入你的系统的人,但它还是能够阻止大多数恶意用户。