【IT168 专稿】在《WPA被破解后 无线网络安全何去何从上篇》一文中我们为各位IT168读者讲解了从SSID和WEP，WPA加密两大方面如何来提升无线网络通讯的安全性，同时还讲解了作为一个入侵者所采取的种种破解手段。既然隐藏SSID信息以及WEP，WPA加密已经不能够提供百分之百的安全，那么我们还能够通过哪些手段尽量提高无线通讯的安全呢？今天笔者将继续从MAC地址过滤以及路由器自身安全两方面为各位讲解WPA告破后家庭无线网络安全何去何从。

    一、安全概述：

    在上文中我们已经介绍过作为一个入侵者所采取的破解步骤，当WEP和WPA加密被破解后入侵者无线设备已经能够顺利连接无线网络，这时我们能够做的就是从MAC地址出发通过地址信息来阻止其成功接入，同时在其破解接入网络后要加强无线路由器自身的安全，从而保护宽带拨号帐户以及其他隐私信息的泄露，要知道在网络被入侵随意接入后保护隐私将成为重中之重。

    二、从MAC地址过滤入手提高网络安全：

    所谓MAC地址过滤就是事先将容许接入无线网络的客户端MAC地址添加到无线路由器的信任区域，这样在无线客户端连接无线路由器后首先会检查其MAC地址是否在容许接入连接的范围内，对于那些没有设置容许的MAC地址将直接禁止其无线网络接入。

    设置MAC地址过滤的方法很简单，我们还是到无线路由器管理界面中操作，然后找到“无线”标签下的“MAC过滤”功能选项，在这里我们可以针对MAC地址过滤的信息进行设置，首先启用“使用过滤器”，然后根据下面的选项进行选择即可，依次为“阻止所列PC机访问无线网络”，“只容许所列PC机访问无线网络”。

    这两个参数的区别实际上是默认值的设置问题，前者容许大部分MAC地址客户端访问无线网络，只禁止所列MAC地址；而后者禁止大部分MAC地址客户端访问无线网络，只容许所列MAC地址接入。所以大多数情况下我们会选择“只容许所列PC机访问无线网络”，然后点“编辑MAC过滤器列表”。

    在“编辑MAC过滤器列表”新窗口中我们按照00:08:02:6B:A3:1A类似格式填写容许连接无线网络客户端的MAC地址即可。

    那么如何才能够获取客户端的MAC地址呢？主要有两个方法，首先可以通过“编辑MAC过滤器列表”新窗口中的“无线客户端MAC列表”，点该按钮后会自动打开新窗口，这里会显示出当前连接无线网络的各个客户端MAC地址信息，然后复制粘贴到MAC地址过滤器列表中即可。另外一个方法就是在客户端上通过ipconfig/all来查看MAC地址信息，然后把看到的地址信息填写到MAC地址过滤器列表中即可。

    全部编辑完毕后未在MAC地址过滤器列表中的无线客户端将无法连接无线网络，即使扫描出了SSID信息以及破解了WEP，WPA加密密文也无法接入，从而提高了无线网络的安全。

    不过这种方式也不是万无一失的，和之前破解WEP密文一样，入侵者可以通过无线数据扫描sniffer工具获取无线通讯数据包，从而获取无线通讯双方的MAC地址，这样在授权客户机关闭没有接入无线网络的情况下，入侵者可以通过伪造MAC地址的方法突破MAC地址过滤功能。获取授权MAC地址后直接在无线网卡对应“本地连接”上点右键选择属性，然后点“配置”按钮，找到“高级”标签下的“本地管理的地址”，最后把MAC地址填写到右边的值中即可，这样就顺利完成了MAC地址更改和伪造的工作，从而彻底突破MAC地址过滤的限制。

    小 结——MAC地址过滤可以在一定程度上阻止非法入侵者，但是如果非法入侵者已经突破了WEP，WPA加密这一关，那么MAC地址过滤功能将形同虚设，通过sniffer可以轻易获取授权MAC地址，再结合伪造MAC操作从而顺利的连接无线网络。

    三、从无线路由器下手亡羊补牢：

    如果入侵者突破了上述多个安全防范步骤而顺利接入到我们的无线网络，那么我们也实在没有其他太好的安全办法了，唯一能够做的就是从无线路由器下手亡羊补牢了。

    一般来说入侵者在连接无线网络后首先会尝试攻击无线路由器来破解网络参数，获取宽带拨号的帐户信息，其次是攻击本地其他网络客户端，获取隐私信息。因此我们只要将这两部分安全做足还是可以将损失降低到最小的。计算机上的安全内容比较多，这里由于篇幅关系就不详细说明了，我们主要介绍下如何从无线路由器下手来提高最后的安全。

    （1）修改默认帐户及密码：

    当入侵者连接无线网络后首先会通过访问网关地址的方式尝试连接无线路由器，每台路由器都有一个默认的管理帐户和密码，如果我们没有适当修改的话，那么通过这个默认信息就可以轻易连接无线路由器，从而进一步攻击。因此我们需要首先针对此信息进行更改，让入侵者即使连接了无线网络也无法进行下一步入侵攻击。

    进入到路由器管理界面找到“管理”标签，在这里我们可以看到修改路由器密码的地方，更改默认密码为一个强大口令即可。当然对于有的无线路由器来说我们还可以更改默认的管理帐户名，这样就可以更广大限度的提高安全性了，因为一般入侵者只会尝试使用诸如admin或root这样的用户名来登录。

    （2）修改管理默认地址和端口：

    很多时候我们还可以通过修改管理默认地址和端口来提高安全，例如将默认的管理地址修改为HTTPS加密协议，这样用传统的HTTP浏览方式将无法登录管理界面，而对于一些无线路由器来说我们还可以修改其管理地址的端口从默认的80变为其他数值，这样就会让入侵者摸不着头绪，毕竟设备端口成千上万。

    （3）禁止无线接入连接管理界面：

    当然我们还有一个好办法就是根本不让无线接入的客户端访问管理界面，一些无线路由器也提供了此功能，我们可以在“无线”设置下的“安全”标签或“高级”标签中找到此参数，通过“禁用”无线图形用户界面访问来阻止无线网络接入客户端来登录管理界面，从而只容许有线网络的客户端访问管理界面，大大提高了安全性。

    小 结——通过以上三个方法可以百分之百的完善无线路由器的安全，如果无线路由器自身没有存在先天大BUG的话，非法入侵者将在连接无线网络后无法进行下一步入侵操作，从而亡羊补牢将损失降低到最小。

    四、总 结：

    通过“WPA告破后家庭无线网络安全何去何从？”两篇文章后我们依次从SSID信息，WEP，WPA加密，MAC地址过滤以及无线路由器自身防范四大方面向各位IT168读者介绍了当前环境下最好的防范方法。首先SSID信息的广播与否并不会提高任何安全性，而WEP加密也会被入侵者轻易破解。

    WPA这种高级加密也在日前被破，不过WPA加密环境下被破解的仅仅是传输的信息，而wpakey还是无法破解，所以我们暂时不担心路由被盗用。因此在无线通讯加密情况下能够使用WPA2固然更好，如果设备不支持WPA2的话使用WPA也是比较安全的；而MAC地址过滤这种方法虽然有效但是也不是万无一失的；相反无线路由器自身的安全防范却是非常有效果的。

    综上所述要想让我们的无线网络最大限度的安全就应该对无线通讯进行WPA甚至WPA2级别的加密，然后还要针对无线路由器的默认管理帐户，默认密码，默认管理地址和端口进行设置，甚至禁止无线接入连接管理界面。而SSID广播与否以及是否设置MAC地址过滤变得没有那么重要。