爽的同时，安全不可小瞧[推荐]
发表时间: 2004-07-08 13:22:34 IP: 218.***.***.***

现如今,无线上网早已经不是一件值得炫耀的事了,君不见从装扮精致的星巴克到某个破学生公寓的马桶上,都有人抱个手提在”冲浪”,那份满足的表情, 套用一个俗词来形容,那叫一个”爽”! 然而,正如毛主席教导我们的,任何事情都具有”两面性”. 用辨证的眼光, 无线网络带来的除了方便, 同时还有前所未有的安全挑战, 在爽的同时, 如果你没有做足安全的话, 那后果小到网恋情书从老婆手里打印出来, 大到公司机密给竞争对手全盘拿走, 都是完全可能的.(安澜估计冯小刚如果还想拍下一个版本的<手机>,那影片名字肯定换成<无线PDA>什么的了,卡卡).

　　看君被安澜吓唬了一下,可能还在犯嘀咕: 无线上网这概念可大了去了, 是都不安全呢, 还是咱自个用的这种可以一枝独秀? 毕竟人嘛都有点侥幸心理, 尤其上海这边(拜托, 别拍我),HOHO. 好, 安澜给您细细分解如下:

　　纵观当今民间大规模实现的所谓无线上网, 不外乎如下三种方式: CDMA1X, GPRS, 还有所谓的天翼通其实就是WLAN. (其他种种实验室里的和博物馆里的无线上网就不用关心了, 篇幅有限, 9ORANGE的空间有限嘛,嘿嘿)

　　首先, 熟悉CDMA历史的人都知道，CDMA1x的前身就是美国军方的一套保密通信系统。它从技术上来讲属于扩频通信中的直接扩频系统。扩频通信系统当初被军方研究并采纳的原因，就是因为军方看重了它优异的保密特性,狡猾狡猾的。每次通信时共有4.4万亿种可能的排列，算算吧,要想破解估计要几个团的爱因斯坦加霍金图灵。关心时事的朋友应该知道,这一点也成为联通和移动”比网广告大战”中祭出的重要法宝,当然,我等小民对于它的安全性是大可放心了.

　　至于GPRS上网, 赫赫, 安全性上和CDMA比起来那是甘拜下风啊. 不过在这方面咱们的选择权也实在有限, 有句话叫什么来着: ”….不能反抗,那就只能享受”. 当然,运营商那边倒也不会毫无作为, 既然网络是他们建设的, 他们也会想办法尽量提高安全性的, 隧道技术什么的不是正在实验中么? 厂商也在排着队想着给运营商卖这个力,您就甭操这份心了!

　　最后的往往是最好的----错. WLAN用户注意了, 这玩意安全性糟糕透顶. 偏偏这个用户群又是无线上网里面比例最大的. 更坏的是, 既然他的本质是”无线局域网”, 那如果您是家庭用户, 基本上就意味着您自己得当这个”网管”了,举例来说, 天翼通的运营商电信公司是不管你家的无线局域网安全的. 如果你在这方面什么也没做,那可以想象你的无线上网是毫无安全性可言. 所以,这篇文章里重点就讨论一下WLAN的安全手段.

　　为了证明安澜不是在危言耸听,现将在下亲历的一次”无线惊魂”合盘托出,保证真实:

亲历: 不请自来的网上邻居　　自从安澜响应时代潮流号召,将家里的ADSL升级了”天翼通”,在家的时间是更舒心了,顺水顺风的日子足足过了好几个月.直到安澜搬家到一个新的小区没几天,奇怪的事情开始出现了.

　　首先是晚上在家上网时有时会上着上着网速就越来越慢,直至和断掉差不多. 然后,自从加了无线路由器以后(相当于与外界互联网之间多了一重保护)就一直很乖的天网防火墙开始神经质一般的闪烁,不停出现惊叹号.

　　开始以为是线路或硬件问题, 反复重启了几次MODEM和AP,都是刚启动正常,然后马上就不行了. 后来联想到这种现象非常类似于原来在单位见过的局域网里有机器感染蠕虫病毒的情形, 但是无线路由器上并没有插另一台机器的网线啊?奇怪ing .

　　忽然间猛一激棱,难道…… 赶忙输192.168.100.100登陆无线路由器管理界面,直奔”状态-无线用户”选项一看,那叫一个冷汗啊,居然有三个无线用户在活动!他们的IP地址也看的一清二楚,有一个是192.168.100.103,试着在”开始-运行”里面输入\\192.168.100.103,居然出现了那台电脑的共享打印机文件夹,差点没晕死, 看来我就是被这几个菜鸟连累了!

　　怎么办? 首先试了把DHCP服务里的可分配IP地址数量改为2, 重启动一看,没用,那两个讨厌的家伙又爬上来了. 可能是他们设置了FIX IP的缘故. 那么…..找了找,OK, 到” IEEE 802.11相关设置-安全”里面去,有一个” MAC-Address-Based Access Control”项目, 看来是根据MAC地址控制访问权限的,于是把它变为enabled状态, 在自己机器网卡属性里查到MAC地址,加到了inclusive列表里面,战战兢兢地按下”保存并重新启动”,稍候…. 哈哈,成功了! 网络终于恢复正常,防火墙也不再乱闪,AP里面也只有一个无线用户是我自己的MAC地址,至此算了结束了一个小小的战斗.

　　估计是附近邻居用了迅弛之类笔记本电脑, 所以自动搜寻到了我的AP信号,享受了好多天的免费宽带,真是便宜他了! 幸亏安澜以往的安全意识好(自夸一下),没有开共享目录,补丁和防火墙齐全,不然现在保不齐机器里已经是病毒缠身了.

总结: WLAN安全三板斧

　　安澜博览众多技术资料,总结出现今比较主流的三种无线上网安全设置手段,特此贡献如下,供使用个人无线上网的菜鸟参考,相信能基本摆平你家的无线安全问题. 对于企业和政府用户,还是请专家量身定做更专业的安全解决方案.

　　一. 使用MAC地址控制接入对象

　　这个就是安澜刚才用来解决安全问题的办法了,它的原理是设置无线AP基于MAC地址的访问控制列表,利用每块无线网卡都拥有的惟一MAC地址防止非授权用户进入,确保只有经过注册的设备的MAC地址才能进入网络. 具体的设置和使用很简单,请参见下图: (以SIBO AP为例,其他产品大同小异,可参见产品说明书)

二. 更改默认的IP设置

　　建议不要使用DHCP服务, 而使用固定IP地址. 这样可以防止一些”过路人”莫名其妙地混入网络. 也可以更改网段.. 操作界面可参考下图:

三. 使用128位以上的WEP加密

　　WEP(有效等效保密)是802.11b无线网络最常用的加密手段。找到安全选项后，选择打开WEP加密功能(通常无线网络节点的出厂设置都关闭了这项功能)，然后输入一段16进制的字符(字符必须为0-9或a-f)作为加密字串(加密字串一定得记牢，遗失以后是没有办法连接无线网络节点的)，保存设置后重新启动无线网络节点。根据WEP类型的不同，加密字串的位数也有区别。

重新启动以后，无线网络适配器就无法与无线网络节点正常连接了。现在就需要修改客户端的“无线网络连接属性”。点击“网上邻居”的“属性”在可用网络里找到自己的无线网络节点，如果附近没有其它的无线网络节点，那么这里应该只列出一个网络，否则会将附近的其它无线网络也列出来。然后进入属性-无线网卡配置-高级标签:

接下来将WEP启用以及设置加密级别，然后在下面的“网络密钥”和“网络密钥值”两栏填入刚才设置的加密字串，点击“确定”完成，无线网络适配器就能够与无线网络节点正确连接了(如图)。

http://www.9orange.com/upload/page/paragraph_63653435_5.gif

展望: 魔高道更高

　　魔高一尺,道高一丈,二者永远都是相互斗争的过程,用本山大叔的话来说,这世界就是这么的”不消停”. 我们以上提到的安全手段,虽然能够保证一定的安全,但是也并非无懈可击. 例如IP地址和MAC地址都可以嗅探和仿冒, WEP算法RC4本身也存在可以通过高速运算破解的缺点.

　　因此, Wi-Fi联盟提出一种新的方法WPA来取代WEP。WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能，WEP中此前倍受指责的缺点得以全部解决。

　　此外,我国新制订的WAPI标准也具有更好的安全性能. WAPI的核心技术依然和WEP技术相同,它们的区别是在通信的过程中不断变更WEP密钥,从而确保高安全性.

　　虽然涌现了这么多的好安全性技术,但是,不管是WPA还是WAPI,都需要我们手上设备的软硬件支持才行. 或许部分老设备可以通过升级FIRMWARE来实现对新协议的支持, 具体如何实现, 需要等待厂商推出的升级工具. 最后,安澜在此建议你经常来 9orange.com 看看老编有没有什么最新的建议给你哦!