中华网络安全联盟    作者：jacoo    来源：转载    时间：2006-11-13 14:02:00

无线网络的安全问题，已经成为无线网络普及的瓶颈，而这一现象更多的来自用户对无线网络的误解。其实厂商为了解决无线网络的安全问题，已经开发出了很多加密安全措施。目前发生的很多无线数据丢失，以及家用无线网络被他人盗用的情况，只是由于用户没有开启这些安全功能，无意中解除了对无线网络的防护。

  在很多大城市的小区，我们可以轻松的用迅驰笔记本找到大量的无线网络接口，并成功连接，根本不需要你在笔记本“网络设置”中设整任何选项。不管是谁，想上就上，这样导致的结果是：你的上网活动没有受到任何保护，你的私人信息等于是在无线网络上“裸奔”，安装无线网络的用户也变得极不安全。
其实，绝大多数的无线路由器、无线AP等无线接入设备，及“迅驰”笔记本都支持WPA等加密措施，而且这些安全措施也在不断的进步和发展，但大家好像更关心无线上网的速度，而不那么在乎上网的安全性。
    不管你用了多么好的无线路由器，不管是“迅驰”笔记本还是未来可能出现的“WAPI”笔记本，如果你没点上那个加密保护的选项，那么一切设备和技术都是徒劳的。我们要改变“差不多就行了”的习惯，认真设置无线安全，以减少不必要的损失。还是那句话，无线网络的安全关键在于自己。
  下面向大家介绍五个常用的无线安全设置

    首先要选择信道和关闭SSID广播
    当两个以上的无线设备相遇时就产生了信道冲突，比如需要几个无线路由和AP的咖啡店、酒店等公共场所，这时要为每台设备选择各自不同的信道，即Channel的值。无论是802.11b还是802.11g标准其都只支持3个不重叠的传输信道，只有信道1、6、11或13是不冲突的。所以为了安全使用建议选择信道时从1、6、11或13中选取。
    SSID相当于每个无线局域网的名称，用来区分不同的无线网络，最多可以有32个字符，无线网卡设置了不同的SSID就可以进入由无线路由器建立的不同网络。禁止SSID广播之后，用户自己的无线网络就不会出现在其他人所搜索到的可用网络列表中。通过禁止SSID广播设置后，无线网络的效率会受到一定的影响，但以此换取安全性的提高，笔者认为还是值得的。[!--empirenews.page--]
    认真设置WEP和WPA安全加密
    无线局域网的第一个安全协议—802.11 Wired Equivalent Privacy（WEP)，一直受到人们的质疑，比较容易被破解。使用多组WEP密码（KEY）会提高安全性，但是要注意WEP的密码是保存在Flash中，所以某些黑客取得您的网络上的任何一个设备，就可以进入您的网络。还可以使用最高级的加密方式，当前的加密技术提供64和128位加密方法，尽量使用128位加密，这样WEP加密会将资料加密后传送，使得黑客无法知道资料的真实内容。还要记得定期更换密码。
    WPA加密即Wi-Fi Protected Access，它通过使用一种名为TKIP（暂时密钥完整性协议）的新协议来解决破解问题。使用的密钥与网络上每台设备的MAC地址及一个更大的初始化向量合并，来确信每一节点均使用一个不同的密钥流对其数据进行加密。随后TKIP会使用RC4加密算法对数据进行加密，但与WEP不同的是，TKIP修改了常用的密钥，从而使网络更为安全，不易遭到破坏。
    WPA作为802.11通用的加密机制WEP的升级版，在安全的防护上比WEP更为周密，主要体现在身份认证、加密机制和数据包检查等方面，而且它还提升了无线网络的管理能力。
不要破坏自己的防火墙
    几乎可以肯定的是，无论对于有线还是无线网络，大家都已经安装了防火墙，这绝对是正确的。然而，如果你没有将无线系统接入点放置在防火墙之外，则所有防火墙的配置都无济于事。应当确保不会出现这样的情况，否则你不仅不能为网络创建一道必要的屏障，相反还从已有的防火墙上打开了一条便利的通道。
    不要小看介质访问控制 巧用MAC地址
    介质访问控制（Media Access Control 即MAC）从本质上它是另一种地址过滤器，并且能够阻止潜在的黑客的入侵行动。每个正常的网卡都有一个独一无二的MAC地址，如果你在无线路由中只允许你所认识的MAC地址使用，那也大大降低了其他的无线网卡进入你的无线网络的机会。
    MAC同样提供了针对潜在入侵者来调整访问控制列表的能力。它的原理和入侵者在被拒之门外之前必须被先敲门一样。简而言之，如果在你检测无线网络并且发现未在MAC列表上的访问者多次尝试发起访问的时候，你已经受到潜在攻击者的窥视了，并且他不会知道你已经发现了他。
    拒绝笔记本Ad-hoc方式接入
    Ad-hoc模式将允许Wi-Fi无线用户直接连接到另一台相邻的笔记本，这将构成你完全不能想象的恐怖的网络环境。作为802.11标准的一部分，Ad-hoc模式允许你的笔记本网络接口卡运行在独立基础服务集（Independent Basic Service Set，IBSS）模式。这就意味着它可以通过RF与另一台笔记本进行P2P的连接。相邻的笔记本之间毫无秘密可言。
    一名入侵者可以将联网的笔记本作为入侵整个网络的大门。如果将机器置于Ad-hoc模式并且有人暗中入侵，你所暴露在危险之中的不仅仅是自己的计算机，而是整个网络。必须避免这样危险的习惯，除非特殊情况，尽量永远不要尝试打开Ad-hoc模式。
    通过以上的一些设置，可以将无线网络被入侵的机会降到最低。如果要比较好地解决无线网络的安全问题，就必须从使用无线网络的人着手，强化安全意识，强化安全技术手段。