现在使用无线局域网的单位和个人是越来越多了,随便拿着笔记本电脑在办公大楼里走上一圈,就能轻易找到不少无线上网信号。可是,这些无线上网信号中或多或少地存在一些安全隐患,稍微熟悉无线网络的非法攻击者只要通过一些简单操作,就能借助无线网络轻而易举地获取单位局域网中的隐私信息,那样的话没有采取任何安全防范措施的无线网络自然就会成为信息泄密“通道”。那么究竟该怎样才能保护无线局域网的安全,拒绝该网络成为对外泄密“通道”呢?其实,可以采取多项限制措施,阻止非法攻击者随意通过无线局域网偷窃网络中的隐私信息。
一、对无线设备进行限制
该如何对无线设备进行限制呢?难道一定要把本地无线局域网中的无线节点设备锁定起来吗?事实上,对于许多型号的无线节点设备来说,它们在刚刚出厂时使用的缺省密码几乎是完全相同的,所以要是没有及时将本地无线局域网中的无线节点设备密码更改掉的话,那么一些非法攻击者可能会非常轻松地用缺省的用户名以及密码进入到本地无线节点设备上,从而拥有本地无线局域网的所有管理权限,到后来,有时会遇到自己也无法登录本地无线局域网的尴尬局面。要想限制非法用户使用本地的无线节点设备,必须记得在第一时间对本地的无线节点设备进行密码限制,使用比较复杂的密码来替代默认的密码,不然的话就相当于将自己的无线网络管理权拱手交给非法攻击者一样。
只要登录进本地无线节点设备的后台管理界面,找到密码设置选项,输入比较复杂的密码,这样一来就能有效限制非法用户随意使用无线节点设备的目的了。这种限制方法与Windows系统设置保护密码是一样的,经过加密限制的无线设备就会拒绝非法攻击者随意偷窃本地无线网络中的隐私内容了。
现在就以TL-WR541G型号的TP-LINK无线路由器为例,向各位朋友详细介绍一下对无线节点设备进行密码限制的具体操作步骤:
首先在本地工作站系统中运行IE浏览器程序,在弹出的浏览器地址框中输入无线路由器默认的IP地址,该地址一般会在无线节点设备的操作说明书中找到,例如TP-LINK无线路由器使用的默认IP地址常常为192.168.1.1。在确认IP地址输入正确后,单击回车键后,打开无线节点设备的后台登录界面,在该界面的“用户名”文本框中输入“admin”,并且将默认密码设置为空,再单击“确定”按钮登录进无线节点设备的后台登录界面。
在该后台界面的左侧显示区域,用鼠标展开“系统工具”分支,从中单击“修改登录口令”选项,在对应“修改登录口令”选项的右侧显示区域,先将无线节点设备的原用户名、密码正确输入一遍,接着正确将新的用户名与密码填写在“新用户名”和“新口令”文本框中,最后单击“保存”按钮就可以了。日后,需要再次对本地无线局域网的上网参数进行管理时,就必须使用新的用户名和密码登录无线节点设备的后台管理界面了,并且新的用户名和密码信息最好不要让其他人知道,以避免其他人将密码信息泄露出去。
当然,要是发现本地无线局域网中的节点设备已经被非法攻击者加密,自己不能正常进入本地无线局域网时,可以强行将无线节点设备的参数设置恢复到默认状态,具体恢复方法可以查看对应无线节点设备的操作说明书,通常情况下只要按下无线节点设备控制面板中的reset功能按钮来完成参数设置恢复任务。
二、对无线网卡进行限制
知道,普通工作站往往要通过无线网卡设备才能访问到附近的无线局域网网络,而无线网卡设备与有线网卡设备一样,都通过MAC地址对自己的“身份”进行标识,可以说MAC地址是网卡设备的唯一标识。因此,要想拒绝非法用户通过无线网卡设备接入到本地无线网络中时,完全可以将本地工作站的无线网卡设备MAC地址手工加入到无线路由器设备允许访问范围中,而那些没有加入允许访问范围中的MAC地址所对应的无线网卡设备自然就不能访问无线路由器设备了。
对无线网卡进行限制,其实就是在无线路由器设备的后台管理界面中正确设置好MAC地址过滤参数,从而从根本上拒绝非法攻击者使用无线网络偷窃隐私信息。由于过滤MAC地址这种方法对交换设备的使用要求不高,同时不影响网络的整体运行性能,设置起来也很简单,所以这种方法一般适合规模较小的无线网络和普通家庭使用。过滤MAC地址这种方法其实是通过事先在无线节点设备中正确导入合法的MAC地址列表,只有当普通工作站的MAC地址与合法MAC地址表中的内容完全匹配时,无线节点设备才允许普通工作站与无线网络进行通信。
在对无线网卡设备进行限制之前,需要先查看一下本地工作站使用的无线网卡设备MAC地址;在获取本地无线网卡设备MAC地址信息时,可以在本地工作站系统桌面中,依次单击“开始”/“运行”命令,在其后出现的系统运行对话框中,输入字符串命令“cmd”,单击“确定”按钮后,将系统运行状态切换到MS_DOS窗口。在该窗口的命令提示符下,输入字符串命令“ipconfig/all”,单击回车键后,就能从其后的结果界面中看到本地无线网卡设备的MAC地址了。
得到本地工作站的无线网卡MAC地址后,再登录进无线路由器设备的后台管理界面,在该管理界面的左侧显示区域,用鼠标展开“安全设置”分支,在该分支下面选中“MAC地址过滤”选项,在对应“MAC地址过滤”选项的右侧显示区域,单击“添加新条目”按钮,并且在其后界面中正确输入本地工作站的无线网卡MAC地址,同时将状态参数设置为“生效”,最后单击对应设置页面中的“保存”按钮。
为了让MAC地址过滤功能真正生效,还需要返回到“安全设置”分支上,并重新选中该分支下面的“防火墙设置”选项,在对应“防火墙设置”选项的右侧显示区域,将“开启MAC地址过滤”项目选中,同时选中对应设置页面中的“缺省过滤规则”选项。考虑到要限制无线节点设备只能让本地无线网卡设备访问无线网络,因此还需要将过滤规则调整为“仅允许已设MAC地址列表中已启用的MAC地址访问Internet”,如此一来非法攻击者的网卡设备或没有加入到地址过滤列表中的无线网卡设备就不能正常访问无线网络了,那样的话无线网络就不会成为对外泄露信息的“通道”了。
三、对传输数据进行限制
通过无线局域网传输的数据信号在空中来回传输,要是不对它们进行加密限制的话,稍微懂得无线网络知识的非法攻击者都能轻松地将正在传输的数据信号捕获和破解掉,如此一来通过无线网络传输的数据信号就可能被非法攻击者窃取到,为此有必要对传输的数据信号进行加密限制,以便阻止非法攻击者轻易窃取到其中的内容。
目前最常使用的数据加密限制方式为WEP加密技术,这种加密技术能够对每一个连接无线网络的用户进行身份识别,并且对数据内容直接进行加密限制。不过,在默认状态下不少无线节点设备都会禁止使用WEP加密技术,那样一来非法攻击者就能轻松扫描到各类无线网络信息,同时能将捕获到的无线数据内容轻松破解掉,所以必须及时修改无线节点设备的数据加密参数,确保对无线上网信号进行安全加密。现在笔者以TL-WR541G型号的TP-LINK无线路由器为例详细介绍如何对传输数据进行加密限制:
首先在本地工作站系统中运行IE浏览器程序,在弹出的浏览窗口地址栏中输入无线路由器的后台管理IP地址,单击回车键后,打开无线路由器设备的后台登录界面,在该界面中输入正确的用户名和密码信息,再单击“确定”按钮打开无线路由器后台管理界面;
其次在无线路由器后台管理界面的左侧显示区域,用鼠标展开“无线参数”分支,再选中该分支下面的“基本设置”选项,在对应“基本设置”选项的右侧显示区域,检查一下“开启安全设置”项目是否处于选中状态,要是发现该项目还没有被选中时,那必须及时将它重新选中。之后,在“安全类型”下拉列表框中选择“WEP”项目,并且在“安全选项”下拉列表中选择“自动选择”,同时将密码格式选择调整为“16进制”,将密钥类型调整为“启用”,再在密钥内容文本框中输入一段10位字符信息,该字符信息就是具体的数据加密密码,非法攻击者不知道该密码就无法破解传输的数据信号。
完成上面的设置操作后,执行“保存”操作,并且关闭无线路由器后台管理界面。下面,还需要打开本地工作站的无线网络连接属性设置界面,并且在该设置界面中设置好WEP加密内容,才能够确保本地工作站顺利访问单位的无线局域网网络。而本地无线局域网之外的非法攻击者由于不知道WEP加密内容,他们自然就不能通过本地无线网络窃取隐私信息了。
小提示:
由于WEP技术有明显安全漏洞,如果想追求更高级别的安全保护时,可以采用WPA2技术对无线传输信号进行加密限制,因为WPA技术采用了更为“强壮”的生成算法,用鼠标单击一次信息包时,它的密钥内容就会自动变化一次。启用WPA2加密技术保护本地无线局域网网络的操作也很简单,只要在无线路由器后台管理界面的左侧显示区域,用鼠标展开“无线参数”分支,再选中该分支下面的“基本设置”选项,在对应“基本设置”选项的右侧显示区域,将“安全类型”参数设置为