張永剛

伴隨著無線上網(wǎng)設(shè)備的逐步普及, 現(xiàn)在使用無線局域網(wǎng)的單位是越來越多了，為了讓員工更好的使用網(wǎng)絡(luò),單位一般把無線信號(hào)范圍都放的較大。沒有采取任何安全防范措施的無線網(wǎng)絡(luò)自然就會(huì)成為信息泄密“通道”。究竟該怎樣才能保護(hù)無線局域網(wǎng)的安全，拒絕該網(wǎng)絡(luò)成為對(duì)外泄密“通道”呢?其實(shí)，可以采取多項(xiàng)限制措施，阻止非法攻擊者隨意通過無線局域網(wǎng)偷竊網(wǎng)絡(luò)中的隱私信息，杜絕外部人員無償?shù)檬褂帽締挝挥邢薜木W(wǎng)絡(luò)資源。

一、對(duì)無線設(shè)備進(jìn)行限制

經(jīng)常采用無線“通道”來上網(wǎng)的朋友都知道，這種上網(wǎng)方式與有線上網(wǎng)方式有很大不同，最明顯的就是無線上網(wǎng)需要“無線熱點(diǎn)”的支持。所謂“無線熱點(diǎn)”，簡(jiǎn)單地說能夠提供免費(fèi)或付費(fèi)進(jìn)行無線上網(wǎng)的場(chǎng)所或地點(diǎn)。而在單位中提供無線上網(wǎng)的設(shè)備就是無線路由器，也叫無線接入點(diǎn)，簡(jiǎn)稱AP。

如何對(duì)無線設(shè)備進(jìn)行限制呢?難道一定要把本地?zé)o線局域網(wǎng)中的AP鎖定起來嗎?其實(shí)，無線是不需要接觸的，限制只是在軟件設(shè)置上。事實(shí)上，對(duì)于許多型號(hào)的無線節(jié)點(diǎn)設(shè)備來說，它們?cè)趧倓偝鰪S時(shí)使用的缺省密碼幾乎是完全相同的，所以要如果不及時(shí)將本地?zé)o線局域網(wǎng)中AP密碼更改掉的話，那么一些非法攻擊者可能會(huì)非常輕松地用缺省的用戶名以及密碼進(jìn)入到本地AP上，從而擁有本地?zé)o線局域網(wǎng)的所有管理權(quán)限，以至于會(huì)產(chǎn)生管理員自己也無法登錄本地?zé)o線局域網(wǎng)的尷尬局面。要想限制非法用戶使用本地的無線節(jié)點(diǎn)設(shè)備，必須記得在第一時(shí)間對(duì)本地的AP進(jìn)行密碼限制，使用比較復(fù)雜的密碼來替代默認(rèn)的密碼。

二、對(duì)無線網(wǎng)卡進(jìn)行限制

普通工作站往往要通過無線網(wǎng)卡設(shè)備才能訪問到附近的無線局域網(wǎng)網(wǎng)絡(luò)，而無線網(wǎng)卡設(shè)備與有線網(wǎng)卡設(shè)備一樣，都通過MAC地址對(duì)自己的“身份”進(jìn)行標(biāo)識(shí)，可以說MAC地址是網(wǎng)卡設(shè)備的唯一標(biāo)識(shí)。因此，要想拒絕非法用戶通過無線網(wǎng)卡設(shè)備接入到本地?zé)o線網(wǎng)絡(luò)中時(shí)，完全可以將本地工作站的無線網(wǎng)卡設(shè)備MAC地址手工加入到無線路由器設(shè)備允許訪問范圍中，而那些沒有加入允許訪問范圍中的MAC地址所對(duì)應(yīng)的無線網(wǎng)卡設(shè)備自然就不能訪問無線路由器設(shè)備了。

在對(duì)無線網(wǎng)卡設(shè)備進(jìn)行限制之時(shí)，需要先統(tǒng)計(jì)本單位工作站使用的無線網(wǎng)卡設(shè)備MAC地址，然后將本地允許使用的MAC地址列表加入到AP的防火墻設(shè)置當(dāng)中,并且只允許列表當(dāng)中的地址訪問無線網(wǎng)絡(luò)，使其生效。如此一來非法攻擊者的網(wǎng)卡設(shè)備或沒有加入到地址過濾列表中的無線網(wǎng)卡設(shè)備就不能訪問無線網(wǎng)絡(luò)了，那樣的話無線網(wǎng)絡(luò)就不會(huì)成為對(duì)外泄露信息的“通道”了。

三、對(duì)傳輸數(shù)據(jù)進(jìn)行限制

通過無線局域網(wǎng)傳輸?shù)臄?shù)據(jù)信號(hào)在空中來回傳輸，要是不對(duì)它們進(jìn)行加密限制的話，稍微懂得無線網(wǎng)絡(luò)知識(shí)的非法攻擊者都能輕松地將正在傳輸?shù)臄?shù)據(jù)信號(hào)捕獲和破解掉，如此一來通過無線網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)信號(hào)就可能被非法攻擊者竊取到，為此有必要對(duì)傳輸?shù)臄?shù)據(jù)信號(hào)進(jìn)行加密限制，以便阻止非法攻擊者輕易竊取到其中的內(nèi)容。

目前，最常使用的數(shù)據(jù)加密限制方式為WEP加密技術(shù)，這種加密技術(shù)能夠?qū)γ恳粋€(gè)連接無線網(wǎng)絡(luò)的用戶進(jìn)行身份識(shí)別，并且對(duì)數(shù)據(jù)內(nèi)容直接進(jìn)行加密限制。不過，在默認(rèn)狀態(tài)下不少無線節(jié)點(diǎn)設(shè)備都會(huì)禁止使用WEP加密技術(shù)，那樣一來非法攻擊者就能輕松掃描到各類無線網(wǎng)絡(luò)信息，同時(shí)能將捕獲到的無線數(shù)據(jù)內(nèi)容輕松破解掉，所以必須及時(shí)修改無線節(jié)點(diǎn)設(shè)備的數(shù)據(jù)加密參數(shù)，確保對(duì)無線上網(wǎng)信號(hào)進(jìn)行安全加密。AP中設(shè)置好后,還需要打開本地工作站的無線網(wǎng)絡(luò)連接屬性設(shè)置界面，并且在該設(shè)置界面中設(shè)置好WEP加密內(nèi)容，才能夠確保本地工作站順利訪問單位的無線局域網(wǎng)網(wǎng)絡(luò)。

四、對(duì)SSID標(biāo)識(shí)進(jìn)行限制

SSID標(biāo)識(shí)其實(shí)指的就是本地?zé)o線局域網(wǎng)網(wǎng)絡(luò)的名稱，該名稱的作用就是用來區(qū)分不同無線網(wǎng)絡(luò)的。一般情況下，無線節(jié)點(diǎn)設(shè)備在出廠時(shí)都有一個(gè)默認(rèn)的SSID標(biāo)識(shí)，如果不及時(shí)修改這種SSID標(biāo)識(shí)信息，那么本地的無線局域網(wǎng)網(wǎng)絡(luò)可能就會(huì)與其他無線網(wǎng)絡(luò)發(fā)生沖突，引起的直接后果是普通工作站一不小心就能登錄連接到其他無線網(wǎng)絡(luò)中，很顯然不對(duì)SSID標(biāo)識(shí)進(jìn)行限制，也會(huì)給無線網(wǎng)絡(luò)的使用帶來安全麻煩。

此外，還要記得對(duì)本地?zé)o線網(wǎng)絡(luò)的SSID標(biāo)識(shí)傳播方式進(jìn)行合適設(shè)置，因?yàn)闊o線節(jié)點(diǎn)設(shè)備在缺省狀態(tài)下會(huì)將SSID設(shè)置廣播傳送方式，在這種工作狀態(tài)下，本地?zé)o線局域網(wǎng)中的所有無線工作站都能利用信號(hào)掃描手段搜索到本地網(wǎng)絡(luò)的SSID名稱，所以我們必須及時(shí)調(diào)整SSID默認(rèn)名稱同時(shí)禁止SSID標(biāo)識(shí)進(jìn)行廣播。這樣的話一方面本地?zé)o線網(wǎng)絡(luò)不會(huì)和其他無線網(wǎng)絡(luò)發(fā)生沖突，另外一方面也能有效防止非法攻擊者輕易搜索到本地?zé)o線網(wǎng)絡(luò)的SSID名稱。

利用上面的方法做完后，基本上來說，別有用心或者不合法的用戶是不能使用本地的無線網(wǎng)絡(luò)了，一般可以認(rèn)為無線網(wǎng)絡(luò)是安全的。

（作者單位：河南省鞏義市第一中等專業(yè)學(xué)校）