五千年(敝帚自珍)

主题:【原创】关于家用无线网络的安全问题 -- landkid

共:💬24 🌺8
全看树展主题 · 分页首页 上页
/ 2
下页 末页
家园 【原创】关于家用无线网络的安全问题

可能现在很多兄弟家里开始慢慢装备无线 AP 了。kid 家里也是。无线 AP 给笔记本电脑办公带来了很多好处。

关于无线网络的好处

第一大好处 是父亲大人在家办公的时候,再也不用留心脚下巨长的网络线带来危险了。

(据一般统计,笔记本电脑 80% 的摔落事件是因为绊到了网络线,只有20% 才是因为电源线等其他线缆,

盖因为电源线一般在手边而网络线接得极长。 所以无线网络减少了 80 % 把笔记本绊到地下的可能性。)

第二大好处是 给拥有好几台电脑的家庭中减少了大量的线缆。----

过去的房子建造时可能没有想到网络线,现在许多家庭安装宽带,就可能看到线缆从地下或者房顶横亘

整个房间,非常难看。有了无线一切解决。

第三点好处是给个人带来了很大的灵活性,

你可以在客厅里和电视相连看网上的片子,也可以拿到卧室在睡觉前看看网页。甚至可以上洗手间回帖。。。

这样看 kid 这个帖子你就不能用“没时间回帖” 作借口不回帖了。*_*

等等等等。所以 kid 早早就装备上了无线网络,并且不顾老弟的反对,给家里也装上了无线 AP,

结果是父亲大人对这个不需要线缆的移动办公方式赞不绝口。

不过本文主要想对各位打算登上无线网络列车的兄弟姐妹们提醒一下,无线网络不像有线网络那样,

接上了才能共享。无线信号在空中传播,可以被别人收到,如果不注意安全,后果很严重。本文谈论一下

没有任何防护可能导致的后果,及不够安全防护的导致可能同样糟糕的后果。

没有任何防护的 wifi 网络,可能有什么糟糕的后果呢?

1。你的 wifi 网络在空中被邻居的无线网卡接收到。---- 假设隔壁是个像 kid 这样地疯狂级玩家,咦----

我收到一个没加密的无线信号!免费午餐不吃白不吃。一连就连上,不需要密码,不需要认证,

从此 kid 天天下载 BT --- 几个 G , 电驴---- 几个 G ,微软的 SP2, 270MB,干脆搞个 微软中文

XP,600MB ,爽死了。不花钱且不说,您老人家在家里天天都会很郁闷,为啥我的 2M ADSL 天天只有几 kb

的速度咧??

2。如果您是 包流量的 DSL,嘿嘿,月底的天文数字帐单会叫您破产地。。。

3。另外还有一个附加的恶果,就是您的某些目录中的文件,可能会仿佛放在玻璃墙后面一样让人一览无余,

从出去玩的照片,到 。。。嘿嘿,偷偷下载的 A 片。。。。。

4。有些特殊程序可以将无线网卡定义成网络监听模式,这类 Sniffer 程序可以用于网络管理和分析,

但同样可以设计成监视您的所有信息包。

更恶劣的是,某些 无线网卡有 Monitor Mode 功能,可以监听所有未加密的网络通信内容,甚至直接

显示成终端给别人看到,这样的话,从银行密码,到信箱密码都无所遁形了。------ 不过这个后果

虽然严重 ,倒不一定是每个人都能做到的。。。。

怎么样,这些后果足以吓住兄弟赶紧采取加密手段了吧。

元宝推荐:Highway,

本帖一共被 1 帖 引用 (帖内工具实现)
家园 【无线加密续2】具体常用的加密手段:

1. WEP 加密:

下面给出一幅 D-Link 624+ 无线路由器 设置 WEP 加密的地方:

点看全图

外链图片需谨慎,可能会被源头改

在浏览器里 输入地址 192.168.1.1 (各厂商不一样,也可能是 192.168.0.1 , 请看看 路由器的说明书 )

再输入管理员名和密码,就可以更改 无线路由器的 WEP 加密设置。建议采取 128 位 WEP。

客户端呢,当连接这个无线网络的时候就会自动问起 WEP 密码,XP 下一次就会记住,很方便。Win2000

的设置稍微麻烦。但也可以储存住。不必每次输入。

2。MAC 过滤:

无线路由器 也可以设置成只允许某些固定的 网卡 MAC 号访问网络。MAC号码 是每块网卡在生产出来后,

都有一个唯一的编号标识自己。全世界所有的网卡都有自己的唯一标号,理论上是不会重复的。

这个MAC地址是由48位2进制数组成的,通常分成6段,用16进制表示就是类似00-D0-09-A1-D7-B7的一串字符。

在 Win 2000/XP 中,在 DOS 窗口下运行 “ipconfig/all”,显示列表中某一块网卡的

的“Physical Address”就是MAC地址,“IP Address”就是IP地址。 由此你可以先获得自己的无线网卡 MAC 号。

点看全图

外链图片需谨慎,可能会被源头改

然后再在 无线路由器 设置 (同上一节中 )中找一找 MAC Filter 这个设置处,把自己家里可能用到

的几个 MAC 地址输进去,这样就只允许这几块 无线网卡上网了。抱歉kid 找不到网上图片,但和上文

的 WEP 加密的地方大同小异。

3。不广播自己路由器的服?沼蛎? SSID ,--- 这样的话,自己的无线网络变成了 封闭式系统认证方式,

(Closed-system Authentication),不会被广播出来,就不那么容易被盯上。但自己的每台机器都不能

自动找到这个无线网络,必须手动登入。

4。不少路由器是有内置防火墙功能的。这个不开白不开。

5。还有其他的加密方式,先不着急介绍了。最常用的就是上面这几个。

家园 【无线加密续3】为什么说单独的加密手段不够。

首先说一下,单独采取一种加密手段,就已经基本上把很多不太熟的玩家挡住了。要知道,

如果不加密,等于大门没有锁,那么 80% 的人都会进来溜达溜达的。走不走那就是人家的

事情了。上面那些恶果,估计每位想上 无线宽带的兄弟都会汗毛直竖吧。只要你加上一个密,

就好像加上了一把锁,95% 以上的想来溜达溜达的都被撞上闭门羹的。

不过,一把锁不能完全保证安全。所以建议想上无线的兄弟,至少要采取两把锁,才能保证

相当的安全, 99.5% 的安全吧。--- 100.0000% 的安全是 kid 认为做不到的,也是没

太大必要的。你哪里那么运气,碰到一个顶尖级黑客住在你隔壁,--- 或者他特别想破解你,

拿个笔记本天天蹲在您窗户下面值班呢??咱们也都不是国家核导弹计划负责人。。。。

为什么说一把锁不太可靠??kid 要来少许分析一下,太多了 kid 也不能多说,否则就该

教坏细路(带坏小孩) 了。但至少大概分析一下,单独加密方式的脆弱之处,来提醒兄弟

用两把锁的必要性吧。

主要两大加密手段的脆弱之处:

1。WEP 加密:

WEP 加密是一种比较脆弱的加密方式,WEP 加密基本上是一种对称式加解密系统

(Symmetric Cryptography System), 加密解密是用同一个密码,原始密码长度比如说

40/104 bit,WEP 利用虚拟乱数产生器 RC4 PRNG 来产生 实际的加解密的密钥,然后用

XOR 算法进行加解密的动作。

采取 WEP 加密是对称式密钥加密,所以传输端和接收端密钥一致,为了避免这个

固定的 密钥 (static key) 太容易被破解,会加入一个24 bits 长度的 初始向量

(InitialVector) , 来打乱加密密钥的组合。所以一般都是 加起来 64bits/ 128bits

位的加密。

基本流程是 WEP 加密 -> WEP 解密 -> 完整性验证。就不多说了。

破解 WEP 是有法子可循的。--------这部分 kid 有点为难,不知道是否应该写的

更加详细。好吧大概说说,因为 无线信号是周围人都可以收到的,他们收到连续

信号之后可以采取几种方式,攻击 WEP 加密并可能解出正确的 WEP密码,令 WEP

加密失去加密意义。具体方式可能是穷举法,反向解密法,甚至利用 RC4 决定的

密钥演算法的漏洞,直接寻找有特别特征的封包,收集到足够多的资料后反向解密

出 原始的 WEP 密钥。

不能再多说了。只说说后果吧。在高手手里,Linux平台下******* 平台,

几分钟就可能破解WEP 128位的加密, XP 下也不算太慢的。所以在面对高手攻击的时候,

WEP 加密还是比较脆弱的。------- 不过防住一般的入侵者,想占便宜的邻居来说,

WEP 加密还是凑合的。

2。MAC 地址 过滤的漏洞:

802.11 无线网络协议并未提供资料链接层加密的方法,所以 MAC

地址都可以通过 无线网络窃听程序监听到。对于高手来说,形同虚设,但对于一般玩家

来说,已经阻滞住了不少人的耳朵。

家园 【无线加密终】总结:

综合上面分析,单独采取一种方式,可以防住大部分偷窥者的目光,但还不能保证安全。

一般来说,应该采取多几种手段综合加密的方式,才能保证不被初学者突破,变成这些黑客菜鸟的练手牺牲品。

主要的手段应该为:

拿到一只无线路由器,第一步就是要修改它的厂家默认密码。否则的话,主要厂商

的默认密码,很多黑客都基本上背下来了。当他用默认密码叫你的路由器恢复一下厂家设置

的时候,你的所有加密步骤就全部都失效了。切记切记。

下面是基本的几步可能的加密方法,最好能综合采取两种以上组合。

1,SSID 最好能不广播。。。。不过确实稍微不便。

2。可以考虑关闭 DHCP 自动分配 IP 地址的功能,手动设定 每块网卡的分配地址,

这样牺牲掉一些方便性,但赢得了很大的安全性。

3。一定要 WEP 加密,虽然还不够安全,但至少一下子就挡住了 90% 以上的偷窥者。

4。最好能手动限定网卡 MAC 过滤,禁止其他的网卡连入。

5。打开路由器的防火墙功能。

有上面几步,基本的网络安全还是可以保证的。如果您老人家是花旗银行总裁或者 IBM 总经理

这级别的人物,那。。。。您还是别用无线网络为好。 *_*

家园 其实没有那么严重。不加密自己的Wireless网络,最大的问题可能就是

别人可以借你的网络浏览Internet。如果你是Win9x的操作系统,你的文件可以被别人方便的“阅览”。北美用户的Internet都是Fix price的,用多用少都一个价钱,被别人噌一下也没什么损失。另外,使用Win2K/XP,只要你不主动Share你的文件,别人也不那么容易偷看到。

其实Hacker很少有跑到你家附近(50米距离)来偷窃你的信息的。你在Wireless一端拼命加固,结果Internet上却是门户大开,那样还是无济于事的。(比如,我们这些BBS的用户名,密码都是明码在网上传播的,你在乎安全性吗?)

银行账号会被别人都看到吗?如果银行系统不用SSL,那么不管你用有线还是无线网络,别人一样看得见,你无线这端加密了也没有用。

家园 WEP并没有那么脆弱

现在所谓的数分钟破解WEP,是针对早期(2001/2002)的设备,那是由于著名的WEAK IV问题。比如说,提供一个全零的IV。

后来的设备都采用了WEP PLUS。如果要解密128位的WEP PLUS,大约需要收集1GB的数据。如果是家庭用户,并且使用的是新设备,只要设置好128位WEP,大可不必担心安全问题。(最多每月换一次密钥)。如果用的是以前的旧设备(2002年或更早的),就一定要升级FIRMWARE。

家园 不加密的后果还是蛮严重的。比如说,

一旦别人进入你的LAN,就可能利用WINDOWS的漏洞来安置木马,特别是针对那些用的是不能升级的盗版WINDOWS XP。被安置木马以后,银行帐号,信用卡信息的安全就完全没有保障了。

家园 嘿嘿,我坦白,我交待,我可不是没蹭过别人的无线网。

不过没好意思多蹭。估计那家那几天对速度非常郁闷来着。。

北美那头儿通讯服务无所谓。国内的电信可黑着呢。我

可要多提醒提醒兄弟们,不要吃这个亏。加上这个密只是

举手之劳,却免去了很多速度的郁闷和帐单的郁闷。

对老轧来说是小意思,呵呵,说不定能帮上其他的兄弟---

甚或是 JM 们。。

家园 道理你说的完全正确。但问题是有多少木马是这样被安装的呢?

还是通过IE从Internet上直接attach你的呢?

如果Hacker非要亲自到你家Wireless现场(150码之内)才能攻击你,那这Hacker是不是也太业余了?从概率上讲,你家邻居恰好是Hacker的可能性有多大!

如果我是Hacker,我可能故意放开我的网络,算是卖个破绽。等敌人上来“占便宜”的时候,一举将敌人搞定!!!

家园 我认识一个老美,他总Travel。他的计算机上有一个

扫描无线网络的小软件。出差在路上的时候,他经常扫描一下,发现附近有没有未加密的网络,如果有,就蹭上去发个Email什么的。

家园 老轧说的没错。我的文字不是为了防止黑客来黑的,

而是为了防止邻居来蹭的。---- 毕竟很多地方是包流量的。

而且有时会大大影响速度。不加密的话,-------

邻居有一个像我这样的准黑客,那就等死吧。 *_*。

不过我还没有坏到要给人家扔木马偷帐号的份上。*_*。

家园 XP 自己就带了扫描的啊。而且可以显示是否加密。

我天天用,呵呵。。。不过当然是付了钱的家里和 大学付了钱的大学网了。

家园 他那个软件更能更强一些。包括你不广播的SSID,LAN的设置参数

等等具体信息。

我问他说,别人加密的网站你能破解吗?他说不能。不过我不是很Sure!

家园 那是很牛的。很想搞到手玩一玩。

不过那样的话我周围的人就倒了霉了。嘿嘿。点看全图点看全图点看全图点看全图点看全图

家园 没戏,俺家是SWITCH HUB

我自己想偷听咱家娘子的MSN内容,都办不到,更别说无线上来的那些人咯.....

所以说阿,买个好点的SWITCH,是对付sniffer最简单的安全性投资。

不过这年头无线的安全性还真成问题。

俺家是租住的筒子楼,用网卡一扫,好家伙、二十多个信号、没有一个是加密的!

我那个叫后悔!

早知道这样,化什么力气去交钱包月上网呢?.....虽然只有$20左右每个月/54M ADSL,但有这么多免费的,何苦自己在掏钱?.....真的觉得自己很愚昧!

PS: 只有我家用了WPA,嘿嘿,还有闲情担心WEP是不是不安全?....多――余――!

全看树展主题 · 分页首页 上页
/ 2
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河