主题:【原创】关于家用无线网络的安全问题 -- landkid
家园 那是很牛的。很想搞到手玩一玩。 不过那样的话我周围的人就倒了霉了。嘿嘿。
家园 不加密的后果还是蛮严重的。比如说, 一旦别人进入你的LAN,就可能利用WINDOWS的漏洞来安置木马,特别是针对那些用的是不能升级的盗版WINDOWS XP。被安置木马以后,银行帐号,信用卡信息的安全就完全没有保障了。
家园 道理你说的完全正确。但问题是有多少木马是这样被安装的呢? 还是通过IE从Internet上直接attach你的呢?
如果Hacker非要亲自到你家Wireless现场(150码之内)才能攻击你,那这Hacker是不是也太业余了?从概率上讲,你家邻居恰好是Hacker的可能性有多大!
如果我是Hacker,我可能故意放开我的网络,算是卖个破绽。等敌人上来“占便宜”的时候,一举将敌人搞定!!!
家园 老轧说的没错。我的文字不是为了防止黑客来黑的, 而是为了防止邻居来蹭的。---- 毕竟很多地方是包流量的。
而且有时会大大影响速度。不加密的话,-------
邻居有一个像我这样的准黑客,那就等死吧。 *_*。
不过我还没有坏到要给人家扔木马偷帐号的份上。*_*。
家园 【无线加密续2】具体常用的加密手段: 1. WEP 加密:
下面给出一幅 D-Link 624+ 无线路由器 设置 WEP 加密的地方:
外链图片需谨慎,可能会被源头改在浏览器里 输入地址 192.168.1.1 (各厂商不一样,也可能是 192.168.0.1 , 请看看 路由器的说明书 )
再输入管理员名和密码,就可以更改 无线路由器的 WEP 加密设置。建议采取 128 位 WEP。
客户端呢,当连接这个无线网络的时候就会自动问起 WEP 密码,XP 下一次就会记住,很方便。Win2000
的设置稍微麻烦。但也可以储存住。不必每次输入。
2。MAC 过滤:
无线路由器 也可以设置成只允许某些固定的 网卡 MAC 号访问网络。MAC号码 是每块网卡在生产出来后,
都有一个唯一的编号标识自己。全世界所有的网卡都有自己的唯一标号,理论上是不会重复的。
这个MAC地址是由48位2进制数组成的,通常分成6段,用16进制表示就是类似00-D0-09-A1-D7-B7的一串字符。
在 Win 2000/XP 中,在 DOS 窗口下运行 “ipconfig/all”,显示列表中某一块网卡的
的“Physical Address”就是MAC地址,“IP Address”就是IP地址。 由此你可以先获得自己的无线网卡 MAC 号。
外链图片需谨慎,可能会被源头改然后再在 无线路由器 设置 (同上一节中 )中找一找 MAC Filter 这个设置处,把自己家里可能用到
的几个 MAC 地址输进去,这样就只允许这几块 无线网卡上网了。抱歉kid 找不到网上图片,但和上文
的 WEP 加密的地方大同小异。
3。不广播自己路由器的服?沼蛎? SSID ,--- 这样的话,自己的无线网络变成了 封闭式系统认证方式,
(Closed-system Authentication),不会被广播出来,就不那么容易被盯上。但自己的每台机器都不能
自动找到这个无线网络,必须手动登入。
4。不少路由器是有内置防火墙功能的。这个不开白不开。
5。还有其他的加密方式,先不着急介绍了。最常用的就是上面这几个。
家园 【无线加密续3】为什么说单独的加密手段不够。 首先说一下,单独采取一种加密手段,就已经基本上把很多不太熟的玩家挡住了。要知道,
如果不加密,等于大门没有锁,那么 80% 的人都会进来溜达溜达的。走不走那就是人家的
事情了。上面那些恶果,估计每位想上 无线宽带的兄弟都会汗毛直竖吧。只要你加上一个密,
就好像加上了一把锁,95% 以上的想来溜达溜达的都被撞上闭门羹的。
不过,一把锁不能完全保证安全。所以建议想上无线的兄弟,至少要采取两把锁,才能保证
相当的安全, 99.5% 的安全吧。--- 100.0000% 的安全是 kid 认为做不到的,也是没
太大必要的。你哪里那么运气,碰到一个顶尖级黑客住在你隔壁,--- 或者他特别想破解你,
拿个笔记本天天蹲在您窗户下面值班呢??咱们也都不是国家核导弹计划负责人。。。。
为什么说一把锁不太可靠??kid 要来少许分析一下,太多了 kid 也不能多说,否则就该
教坏细路(带坏小孩) 了。但至少大概分析一下,单独加密方式的脆弱之处,来提醒兄弟
用两把锁的必要性吧。
主要两大加密手段的脆弱之处:
1。WEP 加密:
WEP 加密是一种比较脆弱的加密方式,WEP 加密基本上是一种对称式加解密系统
(Symmetric Cryptography System), 加密解密是用同一个密码,原始密码长度比如说
40/104 bit,WEP 利用虚拟乱数产生器 RC4 PRNG 来产生 实际的加解密的密钥,然后用
XOR 算法进行加解密的动作。
采取 WEP 加密是对称式密钥加密,所以传输端和接收端密钥一致,为了避免这个
固定的 密钥 (static key) 太容易被破解,会加入一个24 bits 长度的 初始向量
(InitialVector) , 来打乱加密密钥的组合。所以一般都是 加起来 64bits/ 128bits
位的加密。
基本流程是 WEP 加密 -> WEP 解密 -> 完整性验证。就不多说了。
破解 WEP 是有法子可循的。--------这部分 kid 有点为难,不知道是否应该写的
更加详细。好吧大概说说,因为 无线信号是周围人都可以收到的,他们收到连续
信号之后可以采取几种方式,攻击 WEP 加密并可能解出正确的 WEP密码,令 WEP
加密失去加密意义。具体方式可能是穷举法,反向解密法,甚至利用 RC4 决定的
密钥演算法的漏洞,直接寻找有特别特征的封包,收集到足够多的资料后反向解密
出 原始的 WEP 密钥。
不能再多说了。只说说后果吧。在高手手里,Linux平台下******* 平台,
几分钟就可能破解WEP 128位的加密, XP 下也不算太慢的。所以在面对高手攻击的时候,
WEP 加密还是比较脆弱的。------- 不过防住一般的入侵者,想占便宜的邻居来说,
WEP 加密还是凑合的。
2。MAC 地址 过滤的漏洞:
802.11 无线网络协议并未提供资料链接层加密的方法,所以 MAC
地址都可以通过 无线网络窃听程序监听到。对于高手来说,形同虚设,但对于一般玩家
来说,已经阻滞住了不少人的耳朵。
家园 WEP并没有那么脆弱 现在所谓的数分钟破解WEP,是针对早期(2001/2002)的设备,那是由于著名的WEAK IV问题。比如说,提供一个全零的IV。
后来的设备都采用了WEP PLUS。如果要解密128位的WEP PLUS,大约需要收集1GB的数据。如果是家庭用户,并且使用的是新设备,只要设置好128位WEP,大可不必担心安全问题。(最多每月换一次密钥)。如果用的是以前的旧设备(2002年或更早的),就一定要升级FIRMWARE。
家园 【无线加密终】总结: 综合上面分析,单独采取一种方式,可以防住大部分偷窥者的目光,但还不能保证安全。
一般来说,应该采取多几种手段综合加密的方式,才能保证不被初学者突破,变成这些黑客菜鸟的练手牺牲品。
主要的手段应该为:
拿到一只无线路由器,第一步就是要修改它的厂家默认密码。否则的话,主要厂商
的默认密码,很多黑客都基本上背下来了。当他用默认密码叫你的路由器恢复一下厂家设置
的时候,你的所有加密步骤就全部都失效了。切记切记。
下面是基本的几步可能的加密方法,最好能综合采取两种以上组合。
1,SSID 最好能不广播。。。。不过确实稍微不便。
2。可以考虑关闭 DHCP 自动分配 IP 地址的功能,手动设定 每块网卡的分配地址,
这样牺牲掉一些方便性,但赢得了很大的安全性。
3。一定要 WEP 加密,虽然还不够安全,但至少一下子就挡住了 90% 以上的偷窥者。
4。最好能手动限定网卡 MAC 过滤,禁止其他的网卡连入。
5。打开路由器的防火墙功能。
有上面几步,基本的网络安全还是可以保证的。如果您老人家是花旗银行总裁或者 IBM 总经理
这级别的人物,那。。。。您还是别用无线网络为好。 *_*
家园 偶老人家就把无线拔了改有线了 虽然还没当上花旗总裁...
主要是那块摩托骡拉G卡太烂,总是无缘无故地掉...