一、注意AP登陸密碼
對於網絡高手而言,進行一些無線安全設置並不困難,但對於絕大多數用戶來說,其對這些設置並不是很了解,所以我們先從基礎講起。首先,要保證你的無線局域網安全就必需更改你的無線AP或無線寬帶路由器的默認設置密碼。
大家知道,很多無線AP或無線寬帶路由器的登陸用戶名和密碼默認情況下都是“admin”或廠家英文名簡稱如“TP-LINK、SMC等等”,這 樣任何一個用戶就可比較輕易的進入您的無線AP或無線寬帶路由器進行設置和資料更改,更利害的是對寬帶較了解的用戶還可獲得你寬帶密碼。所以,最好將默認 的登陸密碼改為你自己易記的密碼,以訪非法用戶輕易對你的無線AP或無線寬帶路由器進行控制
二、注意SSID設置
SSIDSSID全名ServiceSetIdentifier,譯為服務設置識別碼,是無線網絡最基本的身份認證機制。其為一群無線區域網路裝 置所共享的域名,舉凡無線網絡各個節點皆需設定相同的SSID才能相互傳輸。所以無線工作站必需出示正確的SSID,與無線AP或無線寬帶路由器的 SSID相同,才能訪問無線AP或無線寬帶路由器;如果出示的SSID與無線AP或無線寬帶路由器的SSID不同,那麼無線AP或無線寬帶路由器將拒絕他 通過本服務區上網。
因此SSID可以提供簡單的口令認證機制,從而實現一定的無線網絡安全。此外,SSID可用來區分不同的網絡,最多可以有32個字符。網卡設置了 不同的SSID就可以進入不同網絡,SSID通常由無線AP或無線寬帶路由器廣播出來,通過無線網卡或WindowsXP自帶的掃描功能都可以自動找到當 前無線區域內的SSID。
大家知道,要對無線網絡進行安全控制,一般可從訪問控制和數據加密兩方面下手。其中訪問控制保證敏感數據只能由授權用戶進行訪問,SSID就是這 樣。在實際設置時,多數無線AP或無線寬帶路由器在出廠時都是默認“允許廣播SSID”的,而要使無線局域網更安全,可進入無線AP或無線寬帶路由器的配 置頁面,將SSID設為“不廣播SSID”,這樣其它用戶要想自動進入你的這個無線局域網,就要手工輸入正確的“SSID”才能進入網絡,這在一定程度上 可保證局域網的使用安全。
當然,SSID控制也不是萬能的,對於多用戶無線系統,特別是公用無線系統而言,其安全性同樣難以完全保證,因為用戶要自己配置客戶端系統,就使 得SSID可以被很多人知道,這也就容易共享給不懷好意的非法用戶。有些無線網卡功能較強,具有查詢無線網絡上的SSID的功能,而且目前有些廠家的產品 已支持ANY這種特殊的登陸方式,這樣,只要其電腦上的無線網卡處在無線AP或無線寬帶路由器的信號覆蓋范圍內,其都會自動連接到無線AP或無線寬帶路由 器,這對SSID的安全性是一種考驗。
三、設置MAC過濾
什麼是MAC呢?區別於IP地址,MAC(MediaAccessControl,介質訪問控制)地址是網卡的物理地址,是識別局域網電腦的標 識。其長度為48位二進制數,由12個00~0FFH的16進制數組成,每個16進制數之間用“-”隔開,無論是有線網卡還是無線網卡其在全世界的MAC 地址是唯一的,所以利用MAC地址和預設網絡ID來限制哪些網卡和接入點可以連入網絡,完全可確保網絡安全。對於那些非法的接收者來說,截聽無線局域網的 信號是非常困難的,從而可以有效防止黑客和入侵者的攻擊。
利用MAC功能,大家可在無線局域網的每一個無線AP或無線寬帶路由器下設置一個適用於無線網卡許可接入的用戶的MAC地址清單,MAC地址不在清單中的用戶,無線AP或無線寬帶路由器將拒絕其接入請求。
當然,這個地址是需要你一一手工錄入的。所以這種方式要求無線AP或無線寬帶路由器中的MAC地址列表必需隨時更新,擴展能力差,因此只適合小型網絡規模。
另外,非法用戶利用網絡偵聽手段有很容易竊取MAC地址。當然,如果無線網中的無線AP或無線寬帶路由器數量太多,為了實現整個企業當中所有無線 AP或無線寬帶路由器統一的無線網卡MAC地址認證,現在的無線AP或無線寬帶路由器也支持無線網卡MAC地址的集中Radius認證。
四、設置WEP加密
要實現無線網絡安全光靠訪問控制肯定不行,數據加密也必不可少,數據加密可保證發射的數據只能被所期望的用戶所接收和理解,目前常見的數據加密方法有WEP等。