【专题】“无限”高速 54M更精彩      【论坛话题】我该怎么无线上网？

国内首届百兆无线网络设备阅兵式      【论坛话题】SOHO无线路由任你选

享受无线生活 跃层54M无线组网     无线网关与无线路由器的区别

    【IT168 专稿】在家庭和SOHO组网中间我们越来越关注无线网络的安全问题，如何防止外人盗用带宽和下载网内的重要资料目前开始日益成为一个比较突出的问题，下面这篇文章笔者就试图和用户一起来探讨这个方面的主要问题，并给出一点解决之道，希望能有所帮助！

    都是“WiFi”惹的祸

　盗用网络资源问题是随着“WiFi”（Wireless Fidelity，无线高保真）技术的兴起而自然伴随产生的。这种能为便携式电脑和其他小设备连入互联网络的技术，在使广大劳苦用户摆脱奋战蜘蛛网般的连线和混乱不堪的网络接口之苦的同时，也面临着空前的严重安全隐患。

常见的开放式家庭网络（点击看大图）

    WiFi从2003年开始进入我国，现在许多城市宽带小区的中都有。只要在机场、车站、咖啡店、图书馆等人员较密集的地方设置wi－fi 接入“热点”，将热点联入互联网中就可以上网了。

    什么导致了自己的网络被盗用？

    目前Wi-fi的上网方式已经获得了一些居住在一个接入点附近的SOHO族的青睐，但大多数用户并不了解WIFI存在网络安全问题。“共享网络，分担网费”，由于没有网关的限制，很可能是两个上网者同时使用同一频段的同一信道，这样就好像局域网中的共享功能一样，偷窥者很容易就能看到你电脑硬盘上的内容。

    据报道，通常无线网络的架设使用者有超过70％的人最基本的WEP安全设定上是关闭的，更有30％的人在无线接入点的设定上完全只用预设值，这相当于把网络上传送的资讯完全曝光，变成不设防网络环境。加上目前无线接入点都使用DHCP，也就是自动分配IP地址的机制，虽然使用及设定上很方便，但是对于怀有恶意的使用者来说，真想不“High”一下都对不起自己了。

    在传统的有线网络上，恶意的使用者要入侵这个内部网络环境，若非从外部远端进入，就得在这个局域网中找个接口，连上真实的网线才行。但是在空气中，有心人只要稍微靠近无线接入点的讯号发射范围，配合无线网卡和笔记本电脑就可以扫描周围的无线网络，如果完全不做任何防护措施，被偷用带宽事小，若被窃取重要数据，比如信用卡、银行密码资料等等，那可就麻烦大了。

    立刻为您的网络架起保护墙

    专家指出，为了做好全面安全防范工作，专家建议在路由器中部署防火墙、采取删除设备的缺省服务集标识符等等。

    下面笔者就和您一起为我们的无线网络建立基本安全防护，这个过程只需花数分钟，就可以保护重要资料不会外泄。我们把重点放在SSID、WEP及MAC地址绑定上，目前这三种在大部分的无线接入点上都可以轻易设定，而MAC地址绑定方法比较简单，在此我们就不赘述了。

    SSID及WEP

    SSID是Service Set Identifier的缩写，简单的说就是网卡与无线接入点之间沟通的密码，当两者都设定为相同的密码时，该网卡才能连上无线接入点。比如说无线接入点的SSID设定为PCHOMEUP，若想要使用无线接入点的服务，网卡的 SSID就得设定成PCHOMEUP才能连线。不过SSID的防护力极弱，只要有适当的工具软件就可以轻易查出无线接入点所使用的SSID，但是有总比没有好，至少不要用预设值。更改SSID只须几秒钟，第一层防护就架起来了。

    WEP是Wired Equivalent Privacy的缩写，它会对无线传输中每个数据做加密，然后在另一端做解密的动作，使用者只需要设定好加密的等级，并输入一串密码就可以了。目前一般无线接入点都可支持64 或128位加密，但是较高的加密等级，在传输量大时会影响网络速度，但为了安全性，这点牺牲是值得的。

    无线协议上的安全性改进

    在最近一段时间，无线网络的安全性问题受到了前所未有的重视。虽然现在的802.11b无线协议提供了WEP来保证信号传输的安全，但是WEP在密钥上固有的缺陷，却使得它无法为用户的无线局域网络提供完备的保护。为了提高无线局域网的安全级别，在新一代的802.11g无线产品中，普遍采用了WPA对连入网络的用户进行认证，并对无线传输的数据进行加密。

    WPA是802.11i中的一部分，根据WiFi的解释，WPA中包含了802.11x、EAP 、TKIP 、MIC。为了满足不同环境下对无线网络安全级别的不同要求，WAP也提供了两种安全模式，一种适用于对网络安全要求较高的大型企业网络，而另外一种设置更为简单的共享密钥方式则适合家庭或者小型办公环境使用。

    WPA认证机制的基础是802.11x和EAP。对于使用WAP的网络，任何一个想要连入网络的用户都要提供自己的身份证明，而WAP会在企业安全认证服务器的数据库中进行搜索并核对。由于这种认证模式需要专用的RADIUS服务器，所以对一些小型网络就不太适用了。WPA的目的是为了全面取代WEP，从而在各种类型的无线局域网中都为用户提供更为安全的网络。为了使更多的人能够更容易地保护自己的网络，WPA也提供了共享密钥方式（WPA-PSK）。

    WPA-PSK是在无线局域网的Access Point、Router中设置一个单一的密码，其长度可以从8到64个HEX。任何想要访问无线网络的客户端，都要提交这样的密码，只要密码相符，客户端才能够获得无线网络的访问权限。

    以往的WEP可以提供64以及128位的加密模式，而像D-Link则在其产品中提供了256位的WEP加密。从理论上说，破解128位的加密已经是非常困难的事情，但是由于WEP使用的是静态密钥，而且其初始向量只有24位，这使得密钥更容易被破解。WPA中通过TKIP将密钥的初始向量增加到48位，而且可以使用动态产生的多组密钥。TKIP采用了802.1X/ EAP的结构。认证服务器在接受用户的身份证明之后，又使用802.1X来为运算阶段产生一组唯一的主键、又称“配对”密钥。

    TKIP将这组密钥分配给客户端以及AP、建立密钥层以及管理系统、使用配对密钥动态来产生唯一的数据加密密钥，并以此加密所有用户在无线传输阶段所传输的数据封包。TKIP的密钥层会把WEP的单一静态密钥换成约500万亿组密钥。信息完整性检查（MIC）用来防止攻击者拦截、篡改甚至重发数据封包。WPA中的MIC则是为了防止黑客的篡改而定制的，它采用Michael算法，具有很高的安全特性。当MIC发生错误的时候，数据很可能已经被篡改，系统很可能正在受到攻击。此时，WPA还会采取一系列的对策，比如立刻更换组密钥、暂停活动60秒等，来阻止黑客的攻击。

    安全小技巧

    如果你的接入点有SSID broadcast的选项，记得一定要“关闭”。

    安全问题仍待改进

    虽然我们不想打击各位读者的信心，但以上的 SSID、WEP 或 MAC 地址绑定保护方式，对于一般的恶意使用者已经足够，但真正有心且有能力的黑客，只要花一段时间就可以破解，接下来就是电脑管理与电脑代为管理了。

    由于Wi-Fi无线网络架构在以太网IEEE 802.3之下，因此所有的特性都和以太网相同，包括最重要的数据传输方式是属于广播型的特性。简单的说，以太网就像在一个房间中一堆人在讲话，每个人都听得到对方在说什么，就算说的是密码，一样可以听得到。因此就算无线网卡无法使用无线接入点的服务 (不能通过无线接入点连上Internet) ，它还是可以看到其它网卡与无线接入点之间传输的数据(或称封包)，只要使用专门的网络软件如Sniffer，查看这个内部网络的传输数据，扫描特定位置且重复的数据，就可以看出封包内的SSID、WEP及MAC地址资料，进而更改设定便可使用无线接入点的服务，虽然更改MAC地址会造成冲突（同一内部网络里不能有两个MAC地址相同的网络设备，后来的会使先到的失效），但入侵的目标已经达成。

    目前最好的认证方式是802.1x，它同时适用于有线与无线网络，且不易被破解，但它要用专用的服务器，通常只有企业用户才会架设，对于一般家庭使用者，则可等待今年会出现的802.11i，它将有更强的加密机制。至于现阶段，以上所教的设定就能架起基本的防护，如果你真的需要利用无线网络传输非常隐密而重要的数据，最好还是咨询专业人员，架设安全性更高的网络环境。

    占用带宽较大的私接问题

    宽带接入服务器（ BAS ）作为用户的接入管理系统，是用户接入宽带服务网络的第一道门户，解决上述问题是 BAS 目前面临的一项重要需求。如果原来的接入系统并不满足这样的要求，那么就需要增加额外的系统来满足这样的需要，笔者在这里只简单介绍一下自己实验室用到的一套系统吧：

    目前用户私接的手段一般有两种：使用 NAT 的技术，包括使用即插即用功能的 ADSL MODEM 、小型的 router 、其他含有 NAT 功能的拨号终端等等；还有就是使用 PROXY 等各种应用代理技术的一些软件，例如 windows 平台上的 WINGATE 等等。后者在判断上比前者困难的多。

    针对这些私接手段，从技术上而言，目前有以下的防护机制：

    控制 TCP 连接并发数目或者是速率。这种方法并不能准确得达到防用户私接目的，但是对于防止私接网吧和企业用户还是有相当不错的效果，而且私接的用户越多，效果将会越好；

    根据用户发出的 IP 数据包判断是否是有 NAT 网关存在，这种技术仅仅能判断用户是否通过 NAT 来进行用户私接，如果做的好的话，还可以辨识到底有多少私接用户；

    判断是否是通过 proxy 等各种应用代理技术来进行判断。因为如果通过应用代理，经过代理器处理以后，与单独一个正式用户上网的表现就显的一模一样，那么使用在 NAT 检测类似的技术就不行了。同时在解决此问题的时候，必须兼容各种各样的以应用代理技术和各种的操作系统。

    笔者的实验室采用的是中太防私接解决方案，它的特点主要有：

    可以作为 BAS ，防私接是其中的一部分安全功能模块，节约用户投资；

    可以作为单独的产品，为原有的接入系统提供防私接的功能，组网上可以进行串接和并接方式的组网；由于基于 BAS 的硬件平台，有很高的性能，没有数据包处理性能瓶颈；

    识别 NAT 方式还是代理方式进行私接，与私接设备的代理技术、系统无关；

    可以判定私接用户的数量，提供接口供运营商决定对于用户如何处理；对于只有一个用户的 NAT 方式或代理方式，并不影响其上网，保证了目前 ADSL modem 的各种工作模式；

    可以强制推送页面给私接用户，进行警告；可以提供各种更加严格的私接用户限制接口供运营商来决定如何处理私接用户；

    标准的 SYSLOG 日志；

    解决方案组网图：

解决方案组网图（点击看大图）

    如上图所示，其中采用的Bgate1030 （内含 BAS ）是由中太自主研发的、性价比高的宽带综合业务管理系统，具备高性能、高安全性、用户管理控制能力强、支持多种接入方式、认证方式、计费灵活、安全保证性、多业务支持强等特点。作为 BAS 已经大量的成功应用于联通、移动、网通、电信四大运营商，以及其他专业的 ISP ，提供各种业务运营解决方案。

    防私接模块作为 BAS 的一部分：

    防私接作为单独的产品，采用与原有的接入系统并接组网方式。作为其中的一个接入安全模块，防私接模块可以在接入点进行控制，不仅仅节省用户的系统投资，而且可以降低私接用户对运营商网络的资源消耗。作为单独的产品提供时，因为具有线速的业务处理能力，可以高性能的处理网络数据包，避免瓶颈的产生，比一些纯软件的方案，更加具有高效的优势。

    小结：无线上网卡无需担心安全问题

    记者从中国移动了解到，现在我国常用的无线上网方式为通过GSM或CDMA无线上网，这两种无线上网卡中都需要类似于手机中sim卡的号码芯片将PC电脑接入互联网，无线网卡中的号码芯片就像手机中sim卡一样，具有唯一的号码和密码，并且具备较为成熟的保密系统，无需担心安全问题。