| 

回主頁
 


 
電腦工具箱 詳細資料

主題無線網路保安要點及設定
主題內容

要保護所使用的無線區域網路保安,要注意下列各點:

更改預設的SSID:SSID (Service Set IDentifier)是無線路由器的名稱,每台電腦均需指定這個名稱,才能進入該網路進行存取動作。由於預設的SSID通常是廠商的名稱,為了避免容易給人撞入,應該將原來的名稱更改別的名稱,然後再將它設定為「Disable」。

啟動WPA/WEP保安功能:現時大多Wireless Router無線路由器或Access Point都有提供WPA(Wi-Fi Protected Access)或WEP(Wired Equivalent Privacy)這兩種網路加密功能,不易給人截取及讀取傳送的資料。WPA是基於WEP作改進的加密技術,設定上更為簡便,而且保安性更強,所以建議使用WPA功能。例如:Sidejacking這間諜軟件可透過截取未加密的Wi-Fi訊號,來拿取用戶在網頁瀏覽用的cookies。WPA功能多數採用基於一個Pre-shared key (密碼)來允許用戶作存取,但啟用了加密碼功能,便可能影響網路的存取速度。

WEP設定方法:若所用的Wireless Router/Access Point只支援IEEE802.11b規格,沒有提供WPA功能的話,便只好使用WEP。WEP加密分為64bit及128bit,採用128bit加密當然更加安全,但相對網路效能也降低。基本設法跟WPA差不多,選了64bit或128bit後再於「PassPhrase」位置輸入一組基本PassPhrase,再按下「Generate」自動產生多組HEX數值。之後在各電腦內也要輸入相同的HEX數值,然後才能登入無線網路使用。

因為WEP防護技術有許多先天的弱點,所以建議使用WPA (Wi-Fi Protected Access)來提供更強的資料加密機制,它發揮暫時密鑰完整性協定 (temporal key integrity protocol,TKIP)的優點。

WPA設定方法:進入Wireless Router/Access Point無線區域網路保安設定頁,在Security Mode (保安模式)選「WPA Pre-Shared Key」,選擇採用「TKIP」或「AES」的加密標準,要注意在各電腦上亦要同樣設定加密標準及「Shared key」。再到「WPA Shared Key」部份輸入一組8至63位的密碼,可包含數字、字母、符號。

例子:PCCW Wi-Fi - 使用電訊盈科的Wi-Fi Hotspot熱點上網,可於登入時選擇加密連線。設定方法:只要於登入畫面中,輸入帳戶資料,並勾選下方的「加密連線」登入便可。

如果Wi-Fi 熱點沒有提供加密連線,可使用專為加強Wi-Fi熱點的保安而設的軟件「Hotspot Shield」。安裝軟件後,在Wi-Fi熱點上網時,便會連接到由該軟件公司提供的「VPN(Virtual Private Network,虛擬私人網路)」中。所有電腦的收發數據,均經由該已加密的VPN通道傳送。雖然連線的速度變慢,但數據的安全得到保障。然而所有的資料經過「Hotspot Shield」VPN伺服器,所以該軟件公司是否可靠保密,則用戶自行判斷。
http://www.hotspotshield.com/


啟用MAC Filtering:每台電腦的網路卡上都有個獨一MAC位址,因此可以在Wireless Router/Access Point中採用MAC Filtering功能,來過濾限制只有某些電腦才可進入無線網路。方法:在Wireless Router/Access Point的設定頁內,進入「Edit MAC Filter list」,輸入有權限電腦的MAC位址,如「00:06:25:41:D4:F5」便可。其實MAC Filtering只是路由器的認證步驟,並沒有為任何資料加密,所以只要攔截到Wi-Fi訊號便可知道內容從而找出MAC Address,再利用修改本機的MAC Address,便可順利被認證而授權使用及登入網路。

開啟防火牆:現在很多Wireless Router本身都內建了防火牆(Firewall)功能,只要將它啟動了便可令無線網路提高保安程度。

限制IP數量:如果知道所使用的無線網路只有固定一個或兩個用戶,可直接限制收發器內的DHCP伺服器派發IP的數量,因為偷線使用無線網路的電腦必須取得從DHCP分發出來的IP位址使用,否則不能順利登入網路上網。

個別電腦要提高本身的網路保安,在Windows的連線功能內,預設已備有驗證連線的功能。用戶只需到「控制台」-->「區域連線」,在該連線上右按滑鼠選「內容」-->「驗證」,便可找到採用「IEEE802.1x」的驗證功能,當中支援了用戶識別及動態金鑰的功能,透過它來識別連線電腦的資料,只需勾選「為此網路啟用IEEE802.1x驗證」,及按需要而選擇EAP類型(預設為「智慧卡或其他憑證」),這樣Windows便能提供多一點的保障。

另外,再配合使用無線網路的VPN技術,可將所傳輸的訊息進一步加強保安。

WPA RADIUS (Remote Authentication Dial-in User Service):它需要採用額外的RADIUS伺服器進行檢證工作,一般只會在公司內使用或連線到ISP服務時使用。

控制無線覆蓋的範圍:現在新款的無線路由器訊號覆蓋範圍相當大,在室外可達100米或室內10米以上,避免被別人偵察及擅用,最簡單的方法就是不要將路由器靠近窗戶,或將其置放於隱密的地方。另外,也可將路由器的天線發射能量Transmit Power的預設的最大值,按實際需要而調小至適用便可。發射能量的覆蓋範圍為:100%可覆蓋100米;50%可覆蓋40米;25%可覆蓋17米;12.5%可覆蓋7米。

=================================================

無線路由器一般使用了WEP/WPA加密來保護無線網路,避免遭人盜用。但採用WEP(Wired Equivalent Privacy)作加密連線,仍不是百分百安全,它仍然很容易被破解。早於2001年已有密碼分析專家指出其漏洞,WEP採用RC4演算法方式來加密,並利用CRC32作驗證。大部份路由器均有64-bit及128-bit兩種不同長度的鑰匙,但破解金鑰的重點不在於長度。因為WEP內所使用的IV(Initialization Vector)只有24-bit,再配合RC4為每一個封包作加密,IV的24-bit(2 x 24次方)很快便被被用完,只要收集足夠的封包IV便會重複然後可再作對比還原。只需網上簡單的免費破解軟件,在封包充足的情況下只需約60秒便可破解128-bit WEP編碼,網路速度較快的802.11g更可約20秒便做到。

有見及此,Wi-Fi聯盟便提出使用WPA (Wi-Fi Protected Access)標準,以取代WEP,解決Wi-Fi安全問題。WPA同樣採用RC4+IV方式作編碼,但IV就增加至48-bit,再加上TKIP(Temporal Key Integrity Protocol)作動態改變鑰匙及MIC作訊息完整性查核取代CRC32。另外,WPA設計中還需要用到802.1x/EAP認站伺服器去處理,但為了方便使用者可有另一個不需額外設備作認證而出現PSK(Pre-shared key)認證方式,只要密碼符合便視為合法而取得權限。所以一般WPA有分為WPA-Personal(WPA-PSK TKIP)及WPA-Enterprise。

另一方面,WPA2則改用AES編碼,但也有支援RC4,同樣分WPA2-Personal或WPA2-Enterprise,由於AES比RC4更複雜,所以要花很長時間來解碼,安全性也較高,但換來的是速度及效能上降低了。

對於不太懂設定WEP/WPA的用戶,有些廠商便提供簡單的保安連線服務,例如Buffalo路由器內的AOSS功能,只要路由器及無線網路卡所用的都有Bufffalo的AOSS功能,便可按一下特別的按鍵,不用理會IP、WEP/WPA及其他設定,便會自動使用最高的加密方式連接。

而Draft N 2.0 Router也將WPS(Wi-Fi Protected Setup)設計當成標準,提供與AOSS類似的功能。

 
推荐度:1 (0: 未評級;3:極度推荐)

上次更新日期2009-11-17

 

 

=============================================================
警告:

使用「電腦工具箱」本網站 閣下必須承擔風險!本網站本著非牟利的精神,為 閣下提供免費訊息及技術資料,完全純屬參考性質,但不完全保證資訊及免費軟體的正確性及可靠性,故此本網站不會對 閣下因為使用本網站後而帶來任何損失,而負上任何責任。本站強烈建議在按照本網站的技術指引或使用免費軟體前,務請為電腦作妥善備份及確保可回復狀態。



 | 
Copyright © 版權所有 All Rights Reserved.  版權聲明刊登廣告業務合作 View My Stats