防止网络被蹭,如何让你的无线网络更安全? 如何知道无线网络被别人蹭了
时间:2019-04-11 03:22:24 来源:柠檬阅读网 本文已影响 人 
现在,随着“两类无线路由MAC‘裸奔’易被蹭网”的新闻在网上热传,无线网络的安全问题再次让我们绷紧了神经。经验证,前6位MAC地址是C83A35或00B00C的无线路由器,确实存在安全漏洞,只需使用一个特定软件就可以直接获得路由器的PIN(个人识别密码)密钥,这不得不引起广大无线路由器用户的重视。面对越来越多变的蹭网手段,无线路由器的PIN值正变得越来越脆弱,那么如何令我们的无线网络更加安全稳定呢?下面就同大家分享一些必要的无线路由器设定知识。
建议用WPA2加密方式、复杂密码
一些网络新人可能还没有认识到无线加密的重要性,在不加密的无线网络中,不仅用户的网络资源会被侵占,无线体验被干扰,而且个人的网络信息也可能遭受泄露,因此,一定要通过正确的无线加密方式才能保障网络安全,维护自己的网络权益。
那么我们常用的无线加密都有何种方式呢?一般分为如下三种:
首先是WEP加密,它是Wired Equivalent Privacy(有线等效保密)的英文缩写。不了解的朋友,可能会将WEP误以为是一个针对有线网络的安全加密协议,但事实上该协议早在无线网络的创建之初就已成型,它被定义为无线局域网必要的安全防护协议。目前常见的是64位WEP加密和128位WEP加密。
其次是WPA加密,它是WiFi Protected Access(WiFi保护访问)的英文缩写。WPA协议是一种保护无线网络安全的系统,它包含两种方式:Pre-shared密钥和Radius密钥,其加密特性决定了它比WEP更难以入侵。其中Pre-shared密钥有两种密码方式:TKIP和AES,而Radius密钥利用Radius服务器认证并可以动态选择TKIP、AES、WEP方式。它产生于WEP加密,并解决了前任WEP的缺陷问题。它属于IEEE 802.11i标准中的过渡方案,但也是现在主流的无线加密方式。
再有就是WPA2,即WPA加密的升级版。它是WiFi联盟验证过的IEEE 802.11i标准的认证形式,WPA2实现了802.11i的强制性元素,特别是Michael算法被公认彻底安全的CCMP(计数器模式密码块链消息完整码协议)信息认证码所取代,而RC4加密算法也被AES所取代。
对于目前的主流无线路由器,它们大都支持上述的多种加密方式,而其中,WPA2是目前被业界认为最安全的加密方式,建议个人用户使用(虽然在2010年国外黑客高手已完成了对WPA2加密的破解,但对一般想蹭网的不法分子还不能具有破解该加密的能力)。用户可选择“WPA2-PSK[AES]”或“WPA-PSK[TKIP]+WPA2-PSK[AES]”模式加密,密码越复杂越好。
但还需考虑的是,想连入网络的无线网卡或其他设备是不是能够支持相同的加密方式,因为一些老款无线网卡可能不具有最新的加密方式,这时,建议用户更换一款较新的网卡。
WPS加密省事不安全
对于现在多数的主流无线路由器来讲,都已经配备了WPS一键加密功能,加密方式变得简单快捷。但去年年底美国计算机应急准备小组(US-CERT)安全研究员Stefan Viehbock所发现的安全漏洞,将会使WPS变得较为容易被暴力穷举PIN的方法所破解。他称利用该漏洞可以轻易地在2小时内破解WPS使用的PIN码。随后其他安全公司也证实了该漏洞的存在。那么,我们首先了解一下什么是WPS一键加密吧。
WPS(Wi-Fi Protected Setup)是Wi-Fi保护设置的英文缩写。WPS是由Wi-Fi联盟组织实施的认证项目,主要致力于简化无线局域网安装及安全性能的配置工作。WPS并不是一项新增的安全性能,它只是使现有的安全技术更容易配置。
对于一般用户,WPS提供了一个相当简便的加密方法。通过该功能,不仅可将都具有WPS功能的Wi-Fi设备和无线路由器进行快速互联,还会随机产生一个8位数字的字符串作为个人识别号码(PIN)进行加密操作。省去了客户端需要连入无线网络时,必须手动添加网络名称(SSID)及输入冗长的无线加密密码的繁琐过程。
但现在发现的这个WPS安全漏洞,让加密变得虽然省事可是却不安全了。而且针对这个WPS漏洞,目前除了思科在官网上发出过警告外,尚未获得来自其他方面给出的更好的解决方案。同时现在极少有无线路由器具备限制密码出错次数的功能,这就令使用WPS加密的路由设备暴露在黑客的破解攻击下。
当然用户还是能够通过及时地禁用WPS这项功能,来避免遭到攻击或侵入,可是大多数人目前还没意识到该漏洞的严重性而将之关闭。
在此,我们建议仍在使用WPS进行无线加密的朋友,在你的网络密码还没被“蹭网”者觊觎或尝试攻击破解之前,马上禁用WPS功能,并且使用较为安全的WPA2手动加密方式进行无线密码设置,同时禁用UPnP(通用即插即用)功能,启用MAC地址过滤功能。这样才能较为有效地保护你的无线网络的安全使用。
禁用SSID广播,禁用DHCP功能
如果是个人家庭的无线网络应用,我们建议在进行了无线加密的同时,还要禁用SSID广播和禁用DHCP功能。这是为什么呢?
禁用SSID广播
SSID是Service Set Identifier(网络名称ID)的英文缩写。当我们在搜索无线网络连接的时候,会看到一些无线网络源的名称,如下图,这些就是SSID,它们是不同的用户给自己的无线网络所取的名字,来作为用户搜索无线网络信号时标明身份的标识符。
而一般无线路由器会默认将使用品牌名加上型号来作为SSID,这就为“蹭网”者提供了可乘之机,因此建议大家最好能将SSID改成较有个性的名字并将它隐藏起来。那么如何隐藏SSID呢?
我们只需在无线路由器的Web配置界面中,找到SSID广播,并将其禁用,就能将自己的无线网络隐藏了,在他人的搜索名单中,你的无线网络名称便不会被发现了。 禁用DHCP功能
DHCP是Dynamic Host Configuration Protocol(动态主机分配协议)的英文缩写,是一个简化主机IP地址分配管理的TCP/IP标准协议,该功能会让路由器自动给无线客户端分配IP地址。而没有IP地址的计算机即使将它连到网络接口,它也无法连接到网络上。
因此,我们只需要禁用DHCP功能,就能让无线路由器不再自动给无线客户端分配IP地址了。同时,建议修改无线路由器的默认IP地址,例如默认IP地址为:10.0.0.1,可改为192.168.10.1,以防被轻易猜到。
设置方法很简单,找到“局域网IP设置”菜单,然后修改默认IP地址,并取消勾选“将路由器用作DHCP服务器”,最后点击“应用”即可。
启用MAC地址过滤很重要
MAC是Media Access Control(介质访问控制)的英文缩写,MAC地址是底层网络识别和寻找目标终端的标识,每个网卡或路由器都有一个唯一的MAC地址。这样就可保证所有接入无线网络的终端都有唯一的不同的MAC地址,而MAC地址过滤技术就有了理论上的可行性。
如何查看自己的MAC地址呢?我们只需在电脑菜单上依次单击“开始”→“运行”→输入“cmd”→回车,在出现的命令提示符界面中输“ipconfig /all”→回车,就可以得到电脑客户端的MAC地址了。
在这里我们通过设置“防火墙-MAC访问控制”来启用MAC访问控制,然后键入上图中电脑的MAC地址,其他未经允许的设备就无法连入无线路由器了。
MAC地址过滤的缺点
虽然MAC地址过滤可以阻止非信任的终端设备访问,但在终端设备试图连接路由器之前,MAC地址过滤是不会识别出谁是可信任的或谁是非信任的,访问终端设备都可以连接到路由器,只是在做进一步的访问时,才会被禁止。而且它不能断开客户端与路由器的连接,这样入侵者就可以从帧中公开的位置获取并合法地使用MAC地址。然后通过对无线信号进行监控,一旦授权信任的用户没有出现,入侵者就使用授权用户的MAC地址来进行访问。
由此可见,仅仅依靠MAC地址过滤是不够的,我们必须启用尽可能多方面的安全防护手段来保护我们的无线网络。
总结:多重防护齐上阵
通过分析我们可以看到,单一的加密防护手段,能力都是有限的。建议如前面所说的禁用WPS功能,采用手动设置WPA2加密,禁用SSID广播、DHCP功能和启用MAC地址过滤等,从多角度全方位进行加密才是防止无线网络被蹭的好方法。如果你的路由器MAC地址前6位是C83A35或者00B00C,则可以进行MAC访问控制来绑定你的无线接入设备,最好再修改成新的MAC地址。还可以使用低功率无线路由器,因为无线覆盖有个范围,只有在范围内,无线设备才会找到信号接入网络。总之,为了维护自身无线网络的安全,建议大家要尽量多重防护齐上阵,将防护做到完善。(中关村在线)
