近年來,無線網卡、無線ADSL路由器等無線網絡產品迅速普及,越來越多的人采用無線上網的方式。特別是通過有線接入Internet,局域網采用無線方式組建的方式,由於它低廉的價格和較高的網速,受到使用者的普遍歡迎。但是,如果設置不當,那麼我們就可能為別人上網買單!www.sq120.com推薦文章
無線上網面臨入侵威脅
當我們在享受無線網絡帶來便捷的同時,無線路由(或無線AP)發射的信號越過門縫,穿過牆壁,覆蓋了我們的左鄰右捨。如果你鄰居的電腦也裝有無線網卡,那麼,無線網被非法接入,鄰居“搭便車”上網的風險就不期而至。
有人說,不用擔心,我的無線網有安全防護措施,比如不廣播SSID,起用WEP加密安全機制等等。然而,這些安全手段,在網上隨處可得的黑客工具面前,根本就不堪一擊。
例如著名的NetStumbler軟件,運行後可以捕捉到覆蓋本區域的所有無線信號,並列出SSID、使用頻道、是否加密等重要參數。
而WinAirCrackPack工具包,就是專門用來破解WEP密碼的。在收集了足夠數量的數據幀後,以下的事情只要操作者簡單地點幾下鼠標,就能很輕松地得到你費盡心機設置的WEP密碼。
巧設IP 防搭“順風車”
那麼,是不是就沒有辦法了呢?也不是。想一想平時配置有線網絡時,連好網線後要做的事情?對,就是設置正確的IP地址。tW.WIngwIT.cOM只有連接好網線,同時為路由器、主機都設置了正確的IP,才能正常上網。
別人破解了你的WEP密碼,連接到你的無線路由,也僅僅是相當於連接好了網線,如果不能設置正確IP,同樣不能上網。這樣的話,即使破解了你的WEP密碼,也是毫無意義的。
然而,很多人並沒有意識到這一點,只是絞盡腦汁在密碼設置上下功夫,無線路由的IP地址十有八九是192.168.1.1,子網掩碼255.255.255.0,主機則設置為該網段的任一地址。有的更干脆,直接在無線路由上啟用DHCP服務,為接入主機動態分配一個IP。動態分配方式就不用說了,而192.168.1.0往往是“不速之客”猜測的第一個網段。這樣的設置,對侵入者來說,無疑是城門大開。
安全的IP設置方式,首先一定要禁用無線路由的DHCP服務,改用手工為主機設置IP。其次,根據上網主機數量,利用子網劃分技術,在適合主機數量的網段中隨意選擇一個使用。不僅可以使用 192.168.1.0網段,其他的私有IP地址網段都可以用來劃分子網。
例如,家庭上網只有1台主機,以192.168.1.0(255.255.255.0)網段為例劃分子網,使用掩碼255.255.255.252,得到可用的子網有62個,每個子網可用IP有2個。如使用第一個子網,那麼,無線路由局域網口設置如下(圖2)。
IP地址:192.168.1.5
子網掩碼:255.255.255.252
主機局域網口設置如下:
IP地址:192.168.1.6
子網掩碼:255.255.255.252
缺省網關:192.168.1.5
那麼,這種情況的安全性可以說是“固若金湯”。即使對方通過其他途徑知道你的IP設置也沒用,因為整個網段可用IP地址只有2個,無線路由、主機各占一個,沒有其他IP可用了。
如有2~5台主機上網,仍以192.168. 1.0(255.255.255.0)網段為例劃分子網,使用掩碼255.255.255.248,得到可用的子網有30個,每個子網可用IP有6個。如使用第一個子網(實際中可以隨機挑選一個子網,以增加安全性),那麼,無線路由局域網口設置如下:
IP地址:192.168.1.9
子網掩碼:255.255.255.248
主機局域網口設置如下:
IP地址:192.168.1.10~14
子網掩碼:255.255.255.248
缺省網關:192.168.1.9
這種情況下,如果對方破解了WEP密碼(靈敏數據保密傳輸安全系統,為無線網絡提供傳輸加密),還要同時猜測出你使用的網段掩碼,無線路由地址等參數,同時網段內還要有剩余IP可用,才能成功連接。
得到這些參數僅靠猜測幾乎是“不可完成任務”,但如果對方使用了其他包捕獲工具,加上足夠的耐心,有可能得到你使用的網段以及網段內的IP,此時如果有剩余IP,怎麼辦呢?
很簡單,大部分的無線路由都有簡單的防火牆功能,通過配置,可以禁止特定的IP訪問。因此,可以通過配置訪問控制列表,將網段內剩余的IP禁用,你鄰居本事再大,總不至於跑到你家來更改你的路由配置吧^_^
總結
上面的方法,實際上避開物理層的接入問題,轉而在網絡層加強安全控制,不讓非法接入者得到正確的IP地址,從而使得接入者即使成功接入,也變得毫無意義,除了枉費心機外,得不到任何好處也不能造成任何危害。
From:http://tw.wingwit.com/Article/Network/201309/463.html