点滴之间 聚沙成金

无线网络的不安全因素

很多家庭或单位都通过无线路由器配置了无线局域网，毫无疑问，无线局域网的使用很方便，但其中不安全因素也很大，至少有这两点：

1) 被监听：网络信号在通过无线传播，周围附近都可以接收到，机密信息可能被盗。包括上行信号、下行信号。如用笔记本无线上网，输入网银密码登录网银，这就是上行信号。打开网页，网页内容传到电脑，就是下行信号。这些信号都有可以被附近的网络设备接收到，如信号不加密，旁边正好有恶意人士，可想而知什么后果。

2) 被盗用：可能被首选严重缺失者盗用，就是“蹭网”，现在还有专门用于“蹭网”的设备。目前国内的带宽非常有限，上网速度都不快，再不知不觉中被“蹭网”，就更郁闷了。

关于“蹭网”设备及软件，其实就是大功率网卡+BT软件。一般而言，电子设置功率越大，辐射非常大，这些设备当然不附合电子设备的标准，对旁边的人，影响可想而知。无线信号从发射源以球形向外发射，信号强度会随距离增大快速衰减，蹭网设备要想维持较大的有效距离，就必须数倍，数十倍甚至更高的增大辐射功率；我不是学通信专业的，不知道这个数学关系是什么样的，是立方关系，还是指数关系。BT全称Backtrack，现在已经出了4.x版本，是基于Linux的一套无线安全软件包，有兴趣者可以参看：

bt(Backtrack)安装教程/登录用户名密码

使用bt4(Backtrack)破解无线路由(无线网络/无线AP)密码/wep加密/Aircrack-ng

因此无线网络一定要做好安全设置，否则太不安全了：安全无小事！

无线网络的安全设置，主要有以下几点：

1) 无线信号一定要加密，就是要设置无线密码。否则你上网的通信数据就通过无线明文在你的周围传输，很容易被监听的。如果你在登录银行账号、在线交易时被监听了…. 结果您懂的。

2) 加密方式：建议使用 WPA-PSK/WPA2-PSK加密，它的加密强度比wep好得多。如果要使只支持wep加密的wifi设备，那没办法，只能使用wep了。比如很多wifi手机，都是只能使用wep加密的。

3) 使用较长的无线密钥，增加密钥复杂度；可以使用16进制码的密钥，而且是使用非可打印ascii码的16进制密钥。

4) 仅供个人使用的无线AP 不允许SSID广播，别人扫描时看不到，自然安全很多。

5) 开启无线AP/路由的mac地址过滤策略，指定授权设备之外的MAC地址使用无线网络。 “禁止列表中生效规则之外的MAC地址访问本无线网络”。

6) 启用路由器的“流量统计”功能，定期检查是否有不正常的网络流量。

其中mac地址过滤是杀手锏级的，一定要启用。

以上几点的具体设置，因路由器不同而不同，下面是从其它网站摘来的无线设置文章，没有仔细查看及检验，正确性不做保证，仅作参考。

———————————————————

按照无线路由的设置向导进行如图出现无线安全设置选择WPA-PSK/WPA2-PSK输入你所设置的密码点重启

进入无线设置-无线MAC地址过滤然后我们运行命令CMD输入IPconfig/all查看本机MAC地址看到物理地址那行了那就是MAC地址是唯一的每个网卡都只有一个地址这个主要是限制其他电脑登陆路由界面进行修改，一般我们一台做主机就好需要更改路由设置只能由这台电脑访问

回到无线路由上面添加新条目然后建立规则然后点上面的开启

在回到无线安全设置出现了前面我们设置WAP-PSK的密码设置这里重点讲解下看到组密匙更新周期没填写30这个数字点保存，然后它会提示必须重启生效，我们先重启

等路由自动刷新完了在进路由界面点上网控制开启上网控制如图设置增加单个条目，我们点添加主机出现个IP地址设置，固定IP不好用我们还是选MAC地址，然后输入自己电脑无线网卡MAC地址点保存，让几个人上网是你的自由，到时候自己添加
下面就快好了规则描述随便填主机那里我们前面填的保存过的自己设置的主机访问目标不用改，访问时间你自己选可以限制什么时间可以访问不修改就是任何时间通过那里要改成允许通过然后点保存就OK了，想弄几台自己添加
最后我们修改下路由登入界面的登入密码众所周知路由默认用户名和密码都是admin我们可以在路由最后一行系统工具更改修改登入口令进去后就出现啦，看你喜欢改成哪种都行别忘记了就好

————————–

WEP加密是最早在无线加密中使用的技术，新的升级程序在设置上和以前有点不同，功能当然比之前丰富一些，下面让我们来看看如何使用WEP。

当在无线“基本设置”里面“安全认证类型”选择“自动选择”、“开放系统”、“共享密钥”这三项的时，使用的就是WEP加密技术，“自动选择”是无线路由器可以和客户端自动协商成“开放系统”或者“共享密钥”。

下面我们就以TP-LINK公司的无线宽带路由器TL-WR641G 和无线网卡TL-WN620G为例讲解无线网络WEP加密应用 ;

一、 无线路由器配置

1、启用WEP加密。

打开路由器管理界面，“无线设置”->“基本设置”:

图1

如上图所示:

“安全认证类型”选择“自动选择”，因为“自动选择”就是在“开放系统”和“共享密钥”之中自动协商一种，而这两种的认证方法的安全性没有什么区别。

“密钥格式选择”选择“16进制”，还有可选的是“ASCII码”，这里的设置对安全性没有任何影响，因为设置“单独密钥”的时候需要“16进制”，所以这里推荐使用“16进制”。

“密钥选择”必须填入“密钥2”的位置，这里一定要这样设置，因为新的升级程序下，密钥1必须为空，目的是为了配合单独密钥的使用(单独密钥会在下面的 MAC地址过滤中介绍)，不这样设置的话可能会连接不上。密钥类型选择64/128/152位，选择了对应的位数以后“密钥类型”的长度会变更，本例中我 们填入了26位参数11111111111111111111111111 。因为“密钥格式选择”为“16进制”，所以“密钥内容”可以填入字符是0、1、2、3、4、5、6、7、8、9、a、b、c、d、e、f，设置完记得保 存。

如果不需要使用“单独密钥”功能，网卡只需要简单配置成加密模式，密钥格式，密钥内容要和路由器一样，密钥设置也要设置为“WEP密钥2”的位置(和路由器对应)，这时候就可以连接上路由器了。

2、单独密钥的使用。

这里的MAC地址过滤可以指定某些MAC地址可以访问本无线网络而其他的不可以，“单独密钥”功能可以为单个MAC指定一个单独的密钥，这个密钥就只有带这个MAC地址的网卡可以用，其他网卡不能用，增加了一定的安全性。

打开“无线设置”->“MAC地址过滤”，在“MAC地址过滤”页面“添加新条目”，如下界面是填入参数的界面:

图2

如上图所示:

“MAC地址”参数我们填入的是本例中TL-WN620G的MAC地址00-0A-EB-88-65-06 ，

“类型”可以选择“允许”/“禁止”/“64位密钥”/“128位密钥”/“152位密钥” ，本例中选择了64位密钥。“允许”和“禁止”只是简单允许或禁止某一个MAC地址的通过，这和之前的MAC地址功能是一样的，这里不作为重点。

“密钥”填入了10位AAAAAAAAAA ，这里没有“密钥格式选择”，只支持“16进制”的输入。

“状态”选择生效。

最后点击保存即可，保存后会返回上一级界面，结果如下图:

图3

注意到上面的“MAC地址过滤功能”的状态是“已开启”，如果是“已关闭”，右边的按钮会变成“开启过滤”，点击这个按钮来开启这一功能。至此，无线路由器这一端配置完成!

顺便说一下怎样获取网卡MAC地址?可以参考我司网站“网络教室” 文档《路由器配置指南》相关内容，通过电脑DOS界面运行ipconfig/all这个命令会弹出如下类似信息，红线勾勒部分“Physical Address”对应的就是处于连接状态的网卡的MAC地址;

图4

二、网卡TL-WN620G的配置

打开TL-WN620G客户端应用程序主界面——“用户文件管理”—>“修改”，会弹出用户配置文件管理对话框。首先是“常规”页填入和无线路由器端相同的SSID —— 本例为“TP-LINK” ，如下图所示:

图5

然后点击“高级”页，红线勾勒部分注意选择认证模式，可以保持和无线路由器端相同，由于我们的路由器上选择了“自动选择”模式，所以这里无论选择什么模式都是可以连接的。

如果这个选项是灰色，就请先配置“安全”页面的参数，回过头再来这里配置;

图6

接下来我们进入“安全”页，如下图所示:

图7

先选择“预共享密钥(静态WEP)”，然后点击“配置…..”按钮，进入设置共享密钥的界面:

图8

上面用红线勾勒的参数说明一下:

1)、“密钥格式”必须选择“十六进制(0-9，A-F);

2)、总共需要填入两个密钥，密钥1对应的是路由器 “无线配置”->“MAC地址过滤”页面下设置的单独密钥，本例为64位长度的密钥AAAAAAAAAA ;密钥2对应的是路由器“无线配置”->“基本设置”页面下设置的公共密钥，本例为128位长度的密 钥:11111111111111111111111111 。

3)、最后要选中“WEP密钥1”。(注意“WEP密钥1”后面的圆点)

4)、单独密钥和公共密钥的位置是不能更改的。

配置完成，连续点击两次“取定”回到客户端应用程序主界面，我们可以看到网卡和无线路由器已经建立了连接，如下图所示:

图9

这时候我们进入路由器“无线设置”-“主机状态”，可以看到已连接的网卡MAC地址;在“主机状态”页面，表里第一个显示的是无线路由器的MAC地址;

图10

—————————-

参考附件：

1. 无线路由安全设置
2. 无线路由器使用及安全设置方法