如何保护无线网络安全？

    昨天在月光博客上看到一篇文章题为：《教你如何保护WiFi无线网络安全》，这篇文章是Google的技术项目经理John Munoz在Google官方博客发布的（原文），这篇看似很高级的文章其实有很多缺陷，我们从wifi密码破解的角度来说，这篇文章基本是废话连篇，营养价值不是很高，一些要点没有提及。因此我在这里从新说下如何保护我们的无线网络（Wifi）安全。

WIFI连接过程

首先，我们不妨先简单说说当你连接一个Wifi的时候，大概会经历哪些过程？

1、首先你的无线设备搜索附近的wifi ssid广播，这一过程主要是收集信息，包括无线协议(模式)（802.11 b/g/n）、wifi的加密类型（wep、wpa、wpa2）、是否有QSS等。如果你要连接的wifi 没有SSID广播，那就需要手动添加。

2、进行连接，这一过程你将与路由器进行交互（握手），无密码则进入下一过程。有密码则与路由器进行核对，核对正确进去下一过程，否则返回重新输入。

3、路由器检测该MAC地址是否有访问规则，如果有分配IP（需要DHCP服务器开启），如果没有权限则Drop数据包。WIFI连接失败

简单的这三步，我们就大致清楚了如何保护我们的安全。

一、设置复杂的WPA2密码

    在黑客密码破解的过程中，wep密码最容易破解，wep算法出现的比较早，其安全性很低，因此破解难度和时间成本是相当低的。如果数据交换很频繁的话，3分钟就可以搞定。Windows下有airodump不过许多网卡不支持，但是Linux 下优秀的黑客系统Back Track就堪称神器了。 具有友好图形界面的SpoonWep2可以轻松破解wep密码。

    wpa则复杂的多，如果要破解的话则是暴力破解，在截获握手包之后进行字典穷举。而wpa2就更复杂了，如果不是弱口令那基本是没用的了。

   因此我们需要将加密类型选择wpa2，加密算法选择AES。在密码设置中大小写字母，数字，字符能加就加。比如看似很简单的密码，j8!JinSanPang! 这种密码在破译起来就是相当麻烦的了。

二、关闭路由器QSS功能

    QSS的意思是快速安全设置（Quick Secure Setup），不再使用密码进行连接，只需要按下路由器的QSS键在电脑上输入pin码即可完成认证连入wifi。这个看似快速安全的设置，其实隐患是相当相当大的。当黑客在wpa2上踌躇时，却发现QSS给他们打开了大门。

    这里我简单介绍下QSS破解。QSS的pin码一共是8位，也就是你试10^8次就可以完成，但其实事实上这8位的最后一位是校验位，也就是降到了10^7。还嫌多的话，国外安全人士给出了更快捷的方法，QSS认证的过程中，是分开认证的，也就是认证前4位和后3位，并且路由器会向客户端发回一个EAP-NACK信息，告诉你是前4位错了还是后三位错了。那也就说瞬间减少到11000种（10^4+10^3）。这样在实际破解中，几千次就可以搞定。所以需要关闭QSS功能，来杜绝这种事情发生。

    PS、最新的TP-link固件已经对QSS加强了防护，十次输错的话很长实际你是无法再用QSS认证的。

三、过滤无线网络MAC地址

    如果黑客已经突破了你的密码防线，那么我们就要过滤无线网络的MAC地址，让陌生人无法进入。根据安全原则，我们选用白名单而不是黑名单规则。

    获取mac地址的方法有许多，可以运行ipconfig /all ，找到无线局域网适配器 无线网络连接 ，查看物理地址：00-AA-A1-F1-22-01 这样就是mac地址。

   或者先把设备连接路由器，然后在路由器的DHCP界面里，查看已经连接的设备，将这些设备的MAC复制到白名单里就可以了。

四、其他安全设置：

    1、更改路由器管理员的用户名和密码，弱口令过于危险。

    2、隐藏SSID（不建议），隐藏SSID则连入WIFI需要手动输入SSID，而且隐藏SSID会减低wifi效率。而且这种方式看似很高明其实通过软件(netstumbler)就可以“看到”悬浮的空中的SSID。而且高级些的路由器固件（dd-wrt）的wi-viz也可以看到的。

    3、设置IP与MAC绑定，减少局域网内的ARP欺骗攻击。

    4、修改网关IP

    5、先设置静态地址分配，之后关闭DHCP服务器。

  网络安全任重而道远，希望大家能够通过本文对路由器进行安全设置，避免自己受到不必要的损失！

 

转载请注明：卓非博客 » 如何保护无线网络安全？