无线网络安全(提高无线路由器安全技能)
01.更正路由器登录用户名和密码。
一般无线路由器出厂默认登录用户名和密码都是admin。建议修改登录用户和密码,防止非法用户修改无线路由器的配置。
02.修复路由器管理端口。
通常,路由器默认使用端口80作为管理端口。一般情况下,在阅读器中输入I技术资源网的P地址即可登录管理界面。如果修改了管理端口,在登录路由器管理界面时,应该在IP地址后添加端口号,例如:http://192.168.1.1:8080。这样,其他用户只有知道管理端口后才能登录路由器管理,大大加强了路由器管理的安全性。当然,我们也可以稍微修改一下常用的登录IP地址,比如改成http://172.100.0.1。
03.关闭DHCP服务器
DHCP服务器运行在路由器上,负责为内部网中的计算机分配IP地址。出厂时路由器默认开启。如果打开DHCP服务,非法用户无需手动指定即可轻松获取IP地址,进而获得互联网访问权。因此,关闭DHCP服务器会使非法用户难以获得准确的IP地址。
04.将局域网端口修改为不常见的网段。
一般无线路由器局域网端口出厂默认IP为192.168.1.1。如果局域网端口的IP地址没有纠正,即使DHCP服务器关闭,非法用户仍然可以通过指定的IP地址到192.168.1.X网段访问互联网资源,网关设置为192.168.1.1。因此,建议将局域网端口的IP地址修改为不常见的网段。
05.覆盖的无线网络SSID
当无线终端接入时,要求首先输入SSID,即网络名称。但在SSID被隐藏后,网络技术资源的网名就不为他人所知了。不知道无线网络的SSID,无线终端无法连接。
6.打开路由器防火墙。
通过过滤防火墙中的IP地址和MAC地址,只允许一个人自己的IP地址或MAC地址连接到互联网,这样可以防止非法访问者共享带宽。
07.启用WEP或WPA(WPA2)来加密通信数据
目前无线路由器常用的加密技术有三种:WEP(有线等效隐私)、WPA(Wi-Fi覆盖接入)和WPA2。在三种加密技术中,WEP是最弱的加密技术,而WPA或WPA2则采用了更稳健的加密技术和改进的密钥管理技术,因此加密效率更可靠。
WPA和WPA2的区别在于WPA支持TKIP(临时密钥完整性协议)加密,而WPA2支持AES(高级加密标准)加密。采用WPA2加密的无线路由器安全性非常高。除非加密密钥意外泄露,否则在正常情况下,这种方法不可能产生非法访问。
需要说明的是,完整WPA(WPA2)加密的实现比较复杂,需要一个radius服务器来分发和管理密钥,这对于普通用户来说是不可能的,所以普通网络中只采用WPA的简化版WPA-PSK(预共享密钥)。
同时,为了了解长期存在的无线网络加密设置步骤过于复杂的问题,WiFi联盟推出了Wi-Fi Protected Setup,即WPS。用户可以通过无线路由器和无线网卡上的WPS密钥快速加密无线网络,阻止非法用户访问。但应用WPS一键加密的前提是无线路由器和无线网卡必须同时拥有WPS功能键(或软键)。
在无线网络的实际保护和应用过程中,如果我们对无线网络安全有很高的要求,就应该采用上述方法的组合,单一的方法存在“弱点”。理论上,最安全的方法是应用WPA2加密结合MAC地址过滤,这样即使WPA2加密密钥泄露,也可以阻止未指定MAC地址的虚假连接。
采用上述方法,用户可以最大限度地避免自己的无线网络被入侵,让合法用户可以顺利访问,上网的“申卡”一家根本没有办法进入。