在前面介紹WEP加密破解的文章中，你會(huì)發(fā)現(xiàn)WEP的破解比你想像的輕易得多，誰(shuí)都可以用這些工具破譯這種加密方法，只要觀察網(wǎng)絡(luò)上足夠數(shù)量的流量，就能弄明白加密密鑰。不過(guò)無(wú)線網(wǎng)絡(luò)并不是就如此不堪一擊，布署嚴(yán)密的保護(hù)措施，應(yīng)用最新的加密技術(shù)，能夠充分保護(hù)我們的網(wǎng)絡(luò)免于來(lái)自內(nèi)部與外部的攻擊。本文就是對(duì)怎樣保護(hù)無(wú)線網(wǎng)絡(luò)的方法作一些比較基礎(chǔ)的介紹。

　　對(duì)某些人來(lái)說(shuō)，他們可能認(rèn)為無(wú)線網(wǎng)絡(luò)的安全性問(wèn)題顯得很復(fù)雜，設(shè)置一個(gè)安全的無(wú)線網(wǎng)絡(luò)可能需要十分專業(yè)的基礎(chǔ)知識(shí)和進(jìn)行復(fù)雜的設(shè)置，也有人會(huì)講:“我只是用電腦上上網(wǎng)而已，并沒(méi)有干其他什么重要的事情，為什么我還要為安全問(wèn)題費(fèi)心呢?”，所以他們會(huì)放棄在安全方面的打算，這樣就導(dǎo)致自己的網(wǎng)絡(luò)“門戶大開(kāi)”。對(duì)于這個(gè)問(wèn)題的回答，各位看了下面的內(nèi)容后可能就不會(huì)產(chǎn)生這樣的想法了。

　　注:WLAN為Wireless LAN的簡(jiǎn)稱，即無(wú)線局域網(wǎng)。無(wú)線局域網(wǎng)是利用無(wú)線技術(shù)實(shí)現(xiàn)快速接入以太網(wǎng)的技術(shù)。

　　一、無(wú)安全措施的WLAN所面臨的三大風(fēng)險(xiǎn):

　　1、網(wǎng)絡(luò)資源暴露無(wú)遺

　　一旦某些別有專心的人通過(guò)無(wú)線網(wǎng)絡(luò)連接到你的WLAN，這樣他們就與那些直接連接到你LAN交換機(jī)上的用戶一樣，都對(duì)整個(gè)網(wǎng)絡(luò)有一定的訪問(wèn)權(quán)限。在這種情況下，除非你事先已采取了一些措施，限制不明用戶訪問(wèn)網(wǎng)絡(luò)中的資源和共享文檔，否則入侵者能夠做授權(quán)用戶所能做的任何事情。在你的網(wǎng)絡(luò)上，文件、目錄、或者整個(gè)的硬盤驅(qū)動(dòng)器能夠被復(fù)制或刪除，或者其他更壞的情況是那些諸如鍵盤記錄、特洛伊木馬、間諜程序或其他的惡意程序，它們能夠被安裝到你的系統(tǒng)中，并且通過(guò)網(wǎng)絡(luò)被那些入侵者所操縱工作，這樣的后果就可想而知了。

　　2、敏感信息被泄露

　　只要運(yùn)用適當(dāng)?shù)墓ぞ撸琖EB頁(yè)面能夠被實(shí)時(shí)重建，這樣你所瀏覽過(guò)WEB站點(diǎn)的URL就能被捕捉下來(lái)，剛才你在這些頁(yè)面中輸入的一些重要的密碼會(huì)被入侵者偷竊和記錄下來(lái)，假如是那些信用卡密碼之類的話，嘿嘿，后果想想都知道是怎么回事。

　　3、充當(dāng)別人的跳板

　　在國(guó)外，假如開(kāi)放的WLAN被入侵者用來(lái)傳送盜版電影或音樂(lè)，你極有可能會(huì)收到RIAA的律師信。更極端的事實(shí)是，假如你的因特網(wǎng)連接被別人用來(lái)從某個(gè)FTP站點(diǎn)下載兒童色情文學(xué)或其他的一些不適宜的內(nèi)容，或者把它來(lái)充當(dāng)服務(wù)器，你就有可能面臨更嚴(yán)重的問(wèn)題。并且，開(kāi)放的WLAN也可能被用來(lái)發(fā)送垃圾郵件、DoS攻擊或傳播病毒等等。

　　二、保護(hù)我們的WLAN

　　在明白了一個(gè)毫無(wú)防護(hù)的WLAN所面臨的種種問(wèn)題后，我們就應(yīng)該在問(wèn)題發(fā)生之前作一些相應(yīng)的應(yīng)對(duì)措施，而不要等到發(fā)生嚴(yán)重的后果后才意識(shí)到安全的網(wǎng)絡(luò)維護(hù)是多么重要。以下的內(nèi)容就是介紹針對(duì)各種不同層次的入侵方式時(shí)采取的各種應(yīng)對(duì)措施。

　　1、擁有無(wú)線網(wǎng)卡的普通用戶

　　在一個(gè)無(wú)任何防護(hù)的無(wú)線LAN前，要想攻擊它的話，并不需要采取什么非凡的手段，只要任何一臺(tái)配置有無(wú)線網(wǎng)卡的機(jī)器就行了，能夠在計(jì)算機(jī)上把無(wú)線網(wǎng)卡開(kāi)啟的人就是一個(gè)潛在的入侵者。在許多情況下，人們無(wú)心地打開(kāi)了他們裝備有無(wú)線設(shè)備的計(jì)算機(jī)，并且恰好位于你的WLAN覆蓋范圍之內(nèi)，這樣他們的機(jī)器不是自動(dòng)地連接到了你的AP，就是在“可用的”AP列表中看到了它。不小心，他們就闖進(jìn)了你未設(shè)防的“領(lǐng)域”了。其實(shí)，在平常的統(tǒng)計(jì)中，有相當(dāng)一部分的未授權(quán)連接就是來(lái)自這樣的情況，并不是別人要有意侵犯你的網(wǎng)絡(luò)，而是有時(shí)無(wú)意中在好奇心的驅(qū)使下的行為而已。

　　如下的對(duì)策可以保護(hù)你的網(wǎng)絡(luò)避免不經(jīng)意的訪問(wèn)，不過(guò)這都是一些相當(dāng)初級(jí)的內(nèi)容，并不能提供避免那些更熟練些入侵者的實(shí)時(shí)保護(hù)。雖說(shuō)這些內(nèi)容都很“菜鳥(niǎo)”，它們大部分是如此簡(jiǎn)單，不過(guò)假如你的無(wú)線設(shè)備能夠支持的話，我還是建議你作一下相關(guān)設(shè)置。

　　對(duì)策1:更改默認(rèn)設(shè)置

　　最起碼，要更改默認(rèn)的治理員密碼，而且假如設(shè)備支持的話，最好把治理員的用戶名也一同更改。對(duì)大多數(shù)無(wú)線網(wǎng)絡(luò)設(shè)備來(lái)說(shuō)，治理員的密碼可能是通用的，因此，假如你沒(méi)有更改這個(gè)密碼，而另外的人就可輕而易舉地用默認(rèn)的用戶名和密碼登錄到了你的無(wú)線網(wǎng)絡(luò)設(shè)備上，獲得整個(gè)網(wǎng)絡(luò)的治理權(quán)限，最后，你可能會(huì)發(fā)現(xiàn)自己都不能夠夠登錄到你的WLAN了，當(dāng)然，通過(guò)恢復(fù)工廠設(shè)置還是可重新獲得控制權(quán)的。

　　更改你AP或無(wú)線路由器的默認(rèn)SSID，當(dāng)你操作的環(huán)境四周有其他鄰近的AP時(shí)，更改默認(rèn)的SSID就尤其需要了，在同一區(qū)域內(nèi)有相同制造商的多臺(tái)AP時(shí)，它們可能擁有相同的SSID，這樣客戶端就會(huì)有一個(gè)相當(dāng)大的偶然機(jī)會(huì)去連接到不屬于它們的AP上。在SSID中尤其不要使用個(gè)人的敏感信息。

　　更改默認(rèn)的頻道數(shù)可以幫助你避免與鄰近的無(wú)線LAN發(fā)生沖突，但作為一個(gè)安全防范方法的作用很小，因?yàn)闊o(wú)線客戶端通常會(huì)為可能的連接自動(dòng)地掃描所有的可用頻道。

　　對(duì)策2:更新AP的Firmware

　　有時(shí)，通過(guò)刷新最新版本的Firmware能夠提高AP的安全性，新版本的Firmware經(jīng)常修復(fù)了已知的安全漏洞，并在功能方面可能添加了一些新的安全措施，隨著現(xiàn)在更新型的消費(fèi)類AP的出現(xiàn)，通過(guò)幾下簡(jiǎn)單的點(diǎn)擊就可檢驗(yàn)和升級(jí)新版本的Firmware了，與以前的AP相比較，老產(chǎn)品需要用戶要從界面并不是很友好的廠商技術(shù)支持站點(diǎn)手工去尋找、下載、更新最終版本的Firmware。

　　許多用了幾年的AP都已經(jīng)過(guò)了它們的保修期了，這就意味著很難找到新的Firmware版本了，假如你發(fā)現(xiàn)最后版本的Firmware并不支持提升了安全性能的WPA(Wi-Fi PRotected access)，其實(shí)更好的版本是WPA2，那就最好請(qǐng)認(rèn)真地考慮一下是否更換你的設(shè)備了。

　　實(shí)際上，當(dāng)前的802.11g設(shè)備至少應(yīng)支持WPA，并在技術(shù)上有更新到WPA2的能力，但制造廠商并不會(huì)一直致力于支持他們的老產(chǎn)品，因此假如你想檢查一下AP是否可支持WPA2，要不就在Wi-Fi Alliance is certification database(鏈接為:wi-fi.org/OpenSection/certified_prodUCts.asp?TID=2)中檢查一下，要不就到Google中搜索一下看。

　　對(duì)策3:屏蔽SSID廣播

　　許多AP答應(yīng)用戶屏蔽SSID廣播，這樣可防范netstumbler的掃描，不過(guò)這也將禁止Windows xp的用戶使用其內(nèi)建的無(wú)線Zero配置應(yīng)用程序和其他的客戶端應(yīng)用程序。在下圖一中假如選中顯示的“Hide ESSID”，則正是在一個(gè)ParkerVision的AP上屏蔽了SSID廣播。(實(shí)際上，SSID和ESSID是指的同一回事)。

 圖一:在ParkerVision的AP上屏蔽SSID廣播。

　　注重:在一個(gè)無(wú)線網(wǎng)絡(luò)中屏蔽SSID廣播并不能夠阻止使用Kismet或其他的無(wú)線檢測(cè)工具(如AirMagnet)的攻擊者，這些工具檢測(cè)一個(gè)存在的網(wǎng)絡(luò)并不依靠SSID來(lái)進(jìn)行。

　　對(duì)策4:關(guān)閉機(jī)器或無(wú)線發(fā)射

　　關(guān)閉無(wú)線AP，這可能是一般用戶來(lái)保護(hù)他們的無(wú)線網(wǎng)絡(luò)所采用的最簡(jiǎn)單的方法了，在無(wú)需工作的整個(gè)晚上的時(shí)間內(nèi)，可以使用一個(gè)簡(jiǎn)單的定時(shí)器來(lái)關(guān)閉我們的AP。不過(guò)，假如你擁有的是無(wú)線路由器的話，那因特網(wǎng)連接也被切斷了，這倒也不失為一個(gè)好的辦法。

　　在不能夠或你不想周期性地關(guān)閉因特網(wǎng)連接的情況下，就不得不采用手動(dòng)的方式來(lái)禁止無(wú)線路由器的無(wú)線發(fā)射了(當(dāng)然，也要你的無(wú)線路由器支持這一功能)。如下圖二中所示。

圖二:關(guān)閉無(wú)線發(fā)射

　　對(duì)策5:MAC地址過(guò)濾

　　MAC地址過(guò)濾是通過(guò)預(yù)先在AP在寫入合法的MAC地址列表，只有當(dāng)客戶機(jī)的MAC地址和合法MAC地址表中的地址匹配，AP才答應(yīng)客戶機(jī)與之通信，實(shí)現(xiàn)物理地址過(guò)濾。這樣可防止一些不太熟練的入侵初學(xué)者連接到我們的WLAN上，不過(guò)對(duì)老練的攻擊者來(lái)說(shuō)，是很輕易被從開(kāi)放的無(wú)線電波中截獲數(shù)據(jù)幀，分析出合法用戶的MAC地址的，然后通過(guò)本機(jī)的MAC地址來(lái)偽裝成合法的用戶，非法接入你的WLAN中。如下圖三所示

圖三:在USR 8011 AP中的MAC地址過(guò)濾

　　對(duì)策6:降低發(fā)射功率

　　雖然只有少數(shù)幾種AP擁有這種功能，但降低發(fā)射功率仍可有助于限制有意或偶然的未經(jīng)許可的連接。但現(xiàn)在無(wú)線網(wǎng)卡的靈敏度在不斷提高，甚至這樣的網(wǎng)卡隨便哪個(gè)初級(jí)用戶都可購(gòu)買得到，非凡是假如你在一幢大樓或宿舍中嘗試阻止一些不必要的連接時(shí)，這可能沒(méi)什么太大的價(jià)值了。

　　在本文的下篇中，我們將介紹對(duì)中級(jí)和高級(jí)無(wú)線用戶可以采用的進(jìn)一步的無(wú)線安全技巧以及針對(duì)專業(yè)破解工具我們?cè)撊绾畏婪丁?/P>