无线论坛 - 随时随地无线 - 杜绝安全隐患将无线入侵者拒之门外

　　一、无线入侵威胁篇

　　同有线局域网一样，无线局域网受到的安全威胁也很多。无线局域网在带给使用者巨大方便的同时，安全问题也值得关注，也由此具备了有线网络中不存在的安全问题。非法用户无须物理连线就可以连接无线网络，而且任何人都可以利用设备窃听到射频载波传输的广播数据包。

　　无线在提供便利的同时安全值得关注

　　总体来看，无线局域网的安全威胁来自以下几方面：

　　1、为了方便，很多默认情况下的无线AP或无线路由器的配置几乎不具备任何安全措施，这样很可能被其它用户入侵，或进行象拒绝服务攻击(DoS)这样的攻击。

　　2、对于大部分家庭用户来说，常常认为其处于无线局域网后的电脑都置于防火墙后，比较安全。殊不知，非法用户一旦攻破防火墙，内部防火墙就会形同虚设。

　　3、对于通过无线AP或无线路由器做中心接入的Infrastructure(集中式无线网络)，如果无线网卡采用的是“ANY”方式自动登陆的话，那么邻居或非法入侵者只需在附近建一个以无线AP或无线路由器为中心的无线网络，就很可能让你的无线网卡自动登陆到该无线网络中，造成安全隐患。

　　4、在一个无线局域网中如果一个用户将无线局域网的公共数据泄露，那么由此就会让其他非法用户轻易的登陆该网络，造成安全威胁。而且对于家庭间的无线局域网来说，也不能保证其他家庭用户中是否有第三方的使用者。

　　5、破解无线网络的安全协议，对于黑客来说也并非难事。如针对IEEE 802.11网络采用的有线等效保密协议(WEP)存在的漏洞，进行破解攻击;进行有线网中同样存在恶意的媒体访问控制(MAC)地址伪装等等。

　　6、来自互联网的攻击和入侵，这点和有线网一样。

　　一、无线入侵威胁篇

　　无线在提供便利的同时安全值得关注

　　总体来看，无线局域网的安全威胁来自以下几方面：

　　6、来自互联网的攻击和入侵，这点和有线网一样。

　　二、无线入侵检测篇

　　无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击，还有可能受到802.11标准本身的安全问题而受到威胁。为了更好的检测和防御这些潜在的威胁，无线局域网也可使用一种入侵检测系统(IDS，intrusion detection system)来解决这个问题。

　　IDS可分为基于主机的入侵检修系统(HIDS)和基于网络的入侵检测系统(NIDS)两类。

　　HIDS系统

　　HIDS入侵检测系统是基于主机的入侵检测系统，提供包括日志分析、脆弱性评估、策略管理、网络节点入侵检测等多方面的功能。HIDS最大限度地、全天候地监控和分析主机的安全问题，捕获安全事件，给予适当的响应，阻止非法的入侵行为，为局域网业务的关键点(服务器)提供全方位的保护。

　　与HIDS不同，NIDS采用原始的网络数据包作为数据源，从中发现入侵迹象。它能在不影响使用性能的情况下检测入侵事件，并对入侵事件进行响应。分布式网络IDS则把多个检测探针分布至多个网段，最后通过对各探针发回的信息进行综合分析来检测入侵，这种结构的优点是管理起来简单方便，单个探针失效不会导致整个系统失效，但配置过程复杂。

　　Infrastructure模式入侵检测模型一般采用NIDS分布式网络检测方法，而对于Adhoc移动自组网模式内的入侵检测模型一般采用基于主机的HIDS入侵检测模型。###NextPage###

　　当然，对于家庭用户来说，一般不可能为此去专购IDS系统及软件来进行家庭网络安全检测，对以上知识仅做为了解就足够。对于一般家庭用户来说，判断是否被非法用户入侵或进入了非指定无线网络可从无线AP或无线网卡端查看即可。

　　无线网卡端查看

　　在无线路由器(或无线AP)的配置页面中，一般可查看到已登陆电脑的“客户端主机名”、“客户端MAC地址”、“已分配IP地址”、“剩余租期”等等信息，是否有非法电脑登陆在此一目了然。

　　在无线网卡的配置页面中，也可查看到所登陆的无线AP或路由器的名称(SSID)、MAC地址等信息，由此便可判断是否进入了非指定网络。

　　三、无线入侵防范篇

　　对于一般家庭用户来说，或许您会觉得您电脑上的重要资料或涉及到个人信息安全的重要资料并不多，也值不了几个钱不足为盗，但加强一下必要的安全防范还是有用的，其也并不复杂，只是举手之劳。如何进行防范设置呢?

　　1、对无线设备进行必要设置

　　其实WLAN无线设备在设计中已为家庭用户考虑了较周全的安全措施，只要起用这些功能，对家庭无线安全已能起到良好的保护作用。

　　① 修改无线路由器(或无线AP，下同)的登陆密码

　　厂家出厂时设置的登陆用户名和密码很容易被第三方猜中，所以修改密码是第一步。如果非法用户破解登陆用户名和密码便可很容易的控制您的整个网络。

　　② 修改SSID设置及禁止广播

　　很多家庭用户在使用无线设备时都使用的厂家出厂时设置的SSID名称，这同样很容易被第三方猜中，所以必需进行更改。

　　此外，多数无线路由器在出厂时都是采用“允许广播SSID”的设置，为了不让“ANY”用户轻易的进入您的无线网络，可进入无线路由器的配置页面，将SSID设为“禁止广播SSID”。这样其他用户要想进入这个无线网，就要手工输入正确的“SSID”才能进入网络，否则免谈。

　　③ 进行加密设置

　　无线设备都提供了WEP加密等设置项。WEP使用了共享秘钥RC4加密算法，密钥长度一般是128位(13个字符)或152位加密。一般设置为静态保密密钥，各无线网卡终端需使用相同的密钥访问无线网络才行。

　　当然，WEP也存在明显弱点，对于使用802.11g及以上设备的用户可考虑WPA加密。WPA可提供给无线网络用户一个更高级的安全保护，与WEP不同，WPA利用瞬间密钥完整性协议(TKIP)加密和802.1x，以及可扩展认证协议(EAP)作为认证机制，其安全性比WEP要强得多。与802.1x/EAP相结合，TKIP采用保护性增强的密钥序列，它还增加了信息完整性验证(MIC)，以阻止伪造数据包。

　　④ 进行MAC地址过滤

　　每个网卡都有其固定的MAC地址，利用MAC功能，仅允许已设MAC地址列表中已生效的MAC地址访问本无线网络。大家可在无线局域网的无线路由器配置设置一个许可接入的用户的MAC地址清单，MAC地址不在其中的用户，无线路由器将拒绝其接入请求。这样又为一些非法用户加了一道锁，安全性更高。

　　⑤ 禁用无线网卡“ANY”

　　ANY(自动搜索)功能可让无线网卡自动接入周边性能最好的AP或无线路由器中，增加了使用方便度，但如果其他家庭用户也有多个无线路由器，你的无线网卡就很可能接入他人网络，如果该“热点”又是不怀好意者，从而便会造成安全隐患。

　　2、使用防火墙

　　一般来说，以上功能的并用就足以让家庭用户确保WLAN安全，但对于来自Internet的安全威胁，防火墙软件仍是较好的防护办法。防火墙被广泛用来让用户在一个安全屏障后接入互联网，可把一家企业的公共网络服务器和企业内部网络隔开，也可被用来保护内部网络某一个部分的安全。

　　对于Adhoc网络用户可以考虑优选Windows自带的Internet Connection Firewall(Internet连接防火墙，ICF)防火墙来帮助保护您的家用网络或小型办公网络。Windows XP Home Edition和Windows XP Professional中都包括ICF。该功能非常适合于家用网络或小型办公网络解决方案，适合于需要保护的用户和计算机相对较少时，可以提供强大的保护，而无需支付任何额外的费用。可以在防火墙后用ICF来分割您的网络，或者保护内部网中其他的计算机无权访问的特定计算机。