五千年(敝帚自珍)

主题:【原创】关于家用无线网络的安全问题 -- landkid

共:💬24 🌺8
分页树展主题 · 全看首页 上页
/ 2
下页 末页
    • 家园 【无线加密续2】具体常用的加密手段:

      1. WEP 加密:

      下面给出一幅 D-Link 624+ 无线路由器 设置 WEP 加密的地方:

      点看全图

      外链图片需谨慎,可能会被源头改

      在浏览器里 输入地址 192.168.1.1 (各厂商不一样,也可能是 192.168.0.1 , 请看看 路由器的说明书 )

      再输入管理员名和密码,就可以更改 无线路由器的 WEP 加密设置。建议采取 128 位 WEP。

      客户端呢,当连接这个无线网络的时候就会自动问起 WEP 密码,XP 下一次就会记住,很方便。Win2000

      的设置稍微麻烦。但也可以储存住。不必每次输入。

      2。MAC 过滤:

      无线路由器 也可以设置成只允许某些固定的 网卡 MAC 号访问网络。MAC号码 是每块网卡在生产出来后,

      都有一个唯一的编号标识自己。全世界所有的网卡都有自己的唯一标号,理论上是不会重复的。

      这个MAC地址是由48位2进制数组成的,通常分成6段,用16进制表示就是类似00-D0-09-A1-D7-B7的一串字符。

      在 Win 2000/XP 中,在 DOS 窗口下运行 “ipconfig/all”,显示列表中某一块网卡的

      的“Physical Address”就是MAC地址,“IP Address”就是IP地址。 由此你可以先获得自己的无线网卡 MAC 号。

      点看全图

      外链图片需谨慎,可能会被源头改

      然后再在 无线路由器 设置 (同上一节中 )中找一找 MAC Filter 这个设置处,把自己家里可能用到

      的几个 MAC 地址输进去,这样就只允许这几块 无线网卡上网了。抱歉kid 找不到网上图片,但和上文

      的 WEP 加密的地方大同小异。

      3。不广播自己路由器的服?沼蛎? SSID ,--- 这样的话,自己的无线网络变成了 封闭式系统认证方式,

      (Closed-system Authentication),不会被广播出来,就不那么容易被盯上。但自己的每台机器都不能

      自动找到这个无线网络,必须手动登入。

      4。不少路由器是有内置防火墙功能的。这个不开白不开。

      5。还有其他的加密方式,先不着急介绍了。最常用的就是上面这几个。

      • 家园 【无线加密续3】为什么说单独的加密手段不够。

        首先说一下,单独采取一种加密手段,就已经基本上把很多不太熟的玩家挡住了。要知道,

        如果不加密,等于大门没有锁,那么 80% 的人都会进来溜达溜达的。走不走那就是人家的

        事情了。上面那些恶果,估计每位想上 无线宽带的兄弟都会汗毛直竖吧。只要你加上一个密,

        就好像加上了一把锁,95% 以上的想来溜达溜达的都被撞上闭门羹的。

        不过,一把锁不能完全保证安全。所以建议想上无线的兄弟,至少要采取两把锁,才能保证

        相当的安全, 99.5% 的安全吧。--- 100.0000% 的安全是 kid 认为做不到的,也是没

        太大必要的。你哪里那么运气,碰到一个顶尖级黑客住在你隔壁,--- 或者他特别想破解你,

        拿个笔记本天天蹲在您窗户下面值班呢??咱们也都不是国家核导弹计划负责人。。。。

        为什么说一把锁不太可靠??kid 要来少许分析一下,太多了 kid 也不能多说,否则就该

        教坏细路(带坏小孩) 了。但至少大概分析一下,单独加密方式的脆弱之处,来提醒兄弟

        用两把锁的必要性吧。

        主要两大加密手段的脆弱之处:

        1。WEP 加密:

        WEP 加密是一种比较脆弱的加密方式,WEP 加密基本上是一种对称式加解密系统

        (Symmetric Cryptography System), 加密解密是用同一个密码,原始密码长度比如说

        40/104 bit,WEP 利用虚拟乱数产生器 RC4 PRNG 来产生 实际的加解密的密钥,然后用

        XOR 算法进行加解密的动作。

        采取 WEP 加密是对称式密钥加密,所以传输端和接收端密钥一致,为了避免这个

        固定的 密钥 (static key) 太容易被破解,会加入一个24 bits 长度的 初始向量

        (InitialVector) , 来打乱加密密钥的组合。所以一般都是 加起来 64bits/ 128bits

        位的加密。

        基本流程是 WEP 加密 -> WEP 解密 -> 完整性验证。就不多说了。

        破解 WEP 是有法子可循的。--------这部分 kid 有点为难,不知道是否应该写的

        更加详细。好吧大概说说,因为 无线信号是周围人都可以收到的,他们收到连续

        信号之后可以采取几种方式,攻击 WEP 加密并可能解出正确的 WEP密码,令 WEP

        加密失去加密意义。具体方式可能是穷举法,反向解密法,甚至利用 RC4 决定的

        密钥演算法的漏洞,直接寻找有特别特征的封包,收集到足够多的资料后反向解密

        出 原始的 WEP 密钥。

        不能再多说了。只说说后果吧。在高手手里,Linux平台下******* 平台,

        几分钟就可能破解WEP 128位的加密, XP 下也不算太慢的。所以在面对高手攻击的时候,

        WEP 加密还是比较脆弱的。------- 不过防住一般的入侵者,想占便宜的邻居来说,

        WEP 加密还是凑合的。

        2。MAC 地址 过滤的漏洞:

        802.11 无线网络协议并未提供资料链接层加密的方法,所以 MAC

        地址都可以通过 无线网络窃听程序监听到。对于高手来说,形同虚设,但对于一般玩家

        来说,已经阻滞住了不少人的耳朵。

        • 家园 WEP并没有那么脆弱

          现在所谓的数分钟破解WEP,是针对早期(2001/2002)的设备,那是由于著名的WEAK IV问题。比如说,提供一个全零的IV。

          后来的设备都采用了WEP PLUS。如果要解密128位的WEP PLUS,大约需要收集1GB的数据。如果是家庭用户,并且使用的是新设备,只要设置好128位WEP,大可不必担心安全问题。(最多每月换一次密钥)。如果用的是以前的旧设备(2002年或更早的),就一定要升级FIRMWARE。

        • 家园 【无线加密终】总结:

          综合上面分析,单独采取一种方式,可以防住大部分偷窥者的目光,但还不能保证安全。

          一般来说,应该采取多几种手段综合加密的方式,才能保证不被初学者突破,变成这些黑客菜鸟的练手牺牲品。

          主要的手段应该为:

          拿到一只无线路由器,第一步就是要修改它的厂家默认密码。否则的话,主要厂商

          的默认密码,很多黑客都基本上背下来了。当他用默认密码叫你的路由器恢复一下厂家设置

          的时候,你的所有加密步骤就全部都失效了。切记切记。

          下面是基本的几步可能的加密方法,最好能综合采取两种以上组合。

          1,SSID 最好能不广播。。。。不过确实稍微不便。

          2。可以考虑关闭 DHCP 自动分配 IP 地址的功能,手动设定 每块网卡的分配地址,

          这样牺牲掉一些方便性,但赢得了很大的安全性。

          3。一定要 WEP 加密,虽然还不够安全,但至少一下子就挡住了 90% 以上的偷窥者。

          4。最好能手动限定网卡 MAC 过滤,禁止其他的网卡连入。

          5。打开路由器的防火墙功能。

          有上面几步,基本的网络安全还是可以保证的。如果您老人家是花旗银行总裁或者 IBM 总经理

          这级别的人物,那。。。。您还是别用无线网络为好。 *_*

          • 家园 偶老人家就把无线拔了改有线了

            虽然还没当上花旗总裁... 主要是那块摩托骡拉G卡太烂,总是无缘无故地掉...

分页树展主题 · 全看首页 上页
/ 2
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河