提高无线网络的安全-Part 1(4)

文章出处：HighDiy  作者：HighDiy  发布时间：2006-03-01

4、修改默认IP

　　路由器出厂时默认使用特定的IP，像Linksys 与Netgear的产品默认值192.168.1.1，这些地址是人所共知的，恶意入侵者只要知道您的设备型号便可轻松地找出无线路由器的IP。因此，我们应该将此值改为其他，如上文所言之Linksys 路由器，我们可以将其由默认的192.168.1.1 改为192.168.10.1之类。虽然改变IP地址本身并不能在真正意义上加强无线网络的安全，但最低程度上为入侵者定位我们的无线网络增加了难度。

更改无线路由器的IP

　　5、关闭DHCP(Dynamic Host Configuration Protocol：动态主机配置协议)

　　在我们上篇文章的点评中，曾对该文中提出的关闭DHCP质疑，因为其所言之理由是不成立的，或者至少说十分牵强，但是，从网络安全的角度，在某种程度上，DHCP则是有必要关闭的。

　　正如我们在上篇点评中所说的，DHCP服务器监听每一个想连接到网上寻找信息的设备，并给其动态分配一个可用的IP地址。而DHCP协议自身无法判断地址请求者本身是否合法用户，在没有其他安全措施作保证的前提下，将导致其不仅给合法用户分配地址，也给非法用户或入侵者分配地址。

　　这就要求我们做一些额外的工作，即给每台无线工作站设定一个只属于它的静态IP，不过一般家用网络工作站不多，倒不用费太多的事。

　　特别是如果第四项中您已经改了路由器的IP，这时就更有必要关闭DHCP了，不然，路由器便主动地把自己的IP告诉入侵者。

关闭DHCP

　　6、设置ACL(Access Control List：访问控制列表)

　　ACL以无线网卡的MAC地址作为是否可以接入的过滤机制。每个无线工作站网卡都由唯一的物理地址标示，该物理地址编码方式与普通网卡物理地址相同，也为一48位的编码。可以通过在无线路由器中设定一组允许访问或不允许访问的MAC地址列表，而实现路由器的访问过滤，在一定程度上提高无线网络安全的可控性。

在命令行下使用Ipconfig /all可找到无线网卡的MAC地址

为无线路由器设置ACL

　　需要注意的是，如果没有关闭无线路由器的SSID广播功能，设定ACL是没有意义的，最初级的入侵者也可通过简单的抓包工具分析出合法的MAC地址，然后只要修改自己的网卡冒充其便可畅通无阻。

　　客观地说，上文所言之安全设置都是最初级的，事实上也只不过能避免无意的邻居使用您的无线路由器而矣。从安全防护的角度看，无线网络在给使用者带来便利的同时，也给入侵者带来了极大的便利：其不必像传统的有线网络那样，需要物理上联入我们的内部网，其所需的只不过是基本的数据分析能力。

　　【HighDiy提示：继续浏览《无线网络安全设置之Part 2、无线网络安全设置之Part 3》】

共4页: 上一页 [1] [2] [3] 4