新手学堂--六种便捷的无线安全技巧

天云上人

　　无线网络系统如果没有采取适当的安全措施，无论这个无线系统是安装在家中还是办公室里，都可能引发严重的安全问题。事实上，一些针对住宅区提供互联网服务的提供商已经在他们的服务协议中禁止用户和其它非授权人共享联网服务。一个不安全的无线网络可能造成服务丢失或是被利用来对其他网络发起攻击。为了避免类似的一些无线网络安全漏洞，这里我们介绍六种便捷的无线网络安全技巧。
4 M/ g9 z2 Z( o0 Y
　　为什么要关闭网络线路？

　　保证无线接入点安全的关键是禁止非授权用户访问网络。也就是说，安全的接入点对非授权用户是关闭的。保障无线网络的安全比保障有线网络的安全要困难得多。因为有线网络只有有限个固定的接入点，而无线网络可以从天线允许范围内的任意一点接入。

* ~- I: Z8 O6 q; e' M) c- [7 v9 m　　设计天线的放置位置
/ U& L+ u; b" c1 l3 P
　　使无线接入点保持封闭的第一步是正确放置天线，从而限制能够到达天线有效范围的信号量。不要把天线放在靠近窗户的地方，因为玻璃不能阻挡无线信号。天线的理想位置是目标覆盖区域的中心，并使泄露到墙外的信号尽可能的少。不过，完全控制无线信号是几乎不可能的，所以还需要同时采取其它一些措施来保证网络安全。

　　使用无线加密协议
) c; e3 P* a; T, R% M% U! a. [
　　无线加密协议（WEP）是无线网络上信息加密的一种标准方法。尽管它存在一些缺点，但对阻止黑客仍然有用。为了使产品安装简单易行，许多无线设备厂商都把他们产品的出厂配置设置成禁止WEP模式，这样做最大的弊病是数据可以被直接从无线网络上读取，因此黑客从你的无线网络建成开始就能立即扫描该无线网络上的各类信息。
; W; Y" [" g! r) R1 J3 _6 ]
7 ]8 L* j: u. C8 {% n( Q" J　　改变服务集标识符并且禁止SSID广播

: S4 B+ a# F3 C1 K/ b; o　　服务集标识符（SSID）是无线接入的身份标识符，用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的，并且每个厂商都用自己的缺省值。例如，3COM的设备都用“101”。因此，知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的每个无线接入点设置一个唯一并且难以推测的SSID。如果可能的话，还应该禁止你的SSID向外广播。这样，你的无线网络就不能够通过广播的方式来吸纳更多用户，当然这并不是说你的网络不可用，只是它不会出现在可使用网络的名单中。
$ k% n+ Z5 M. B8 @& }( U2 I! F
0 C1 ?8 ^/ E- f8 w' X) @8 V　　禁用动态主机配置协议
4 \8 X# M" x' S4 r: ~' c, }1 h
$ m/ a# H6 H9 c% N/ L; G" Z; S" ?　　这好象是一个奇怪的安全策略，但是对于无线网络，它是有道理的。通过这个策略，你将迫使黑客去破解你的IP地址，子网掩码，和其它必需的TCP/IP参数。因为即使黑客可以使用你的无线接入点，他还必需要知道你的IP地址。
' G' U) h" v$ Z' s
. X7 S! b& f' Q1 h/ g- Q/ O6 Y　　禁用或修改SNMP设置

' S) t$ t( D% F  L　　如果你的无线接入点支持SNMP, 那么你需要禁用它或者修改默认的公共和私有的标识符。你如果不这么做的话，黑客将可以利用SNMP获取关于你网络的重要信息。

　　使用访问列表

9 s. K3 u7 u& K$ R( y0 b　　为了更好地保护你的网络，尽可能设置一个访问列表。但是，不是所有的无线接入点都支持这一功能。如果你能够这样做的话，你就可以指定某台机器有权访问接入点。支持这项功能的接入点有时利用TFTP（简单文件传输协议）定期地来下载更新访问列表，从而避免了必须使所有设备上的列表保持同步的巨大管理麻烦。