[轉][教學]無線網路基礎安全設定
 

無線網路基礎安全設定
http://taiwan.cnet.com/computer/net...20093486,00.htm
(內有圖例)

如果你是今年或是去年年底買的NB，相信有八成可能買的是Intel強力推銷的Centrino機種。Centrino的元素包含著CPU、晶片組以及無線網路模組，也就是說當你買了一台有貼Centrino貼紙的NB，你的NB就具備了無線上網的能力。

目前無線上網的地點越來越多，包括咖啡店、機場、飯店、麥當勞等等，或許你家裡也有架設無線網路基地台，當你再咖啡店等熱點用免費的無線網路很高興的時候，有沒有想過，或許別人也很高興的使用你的無線網路呢？

無線網路的安全性已經討論了非常久，CNET也曾在半年多前針對企業策略性的分析無線網路安全的重要性，不過對大部分讀者來說，更重要的是如何簡單的建立個人無線網路的基本安全機制。

這次我們實際用一個無線基地台，並以Windows XP SP2做範例，提供架構一個具有基本安全無線網路環境的六項設定步驟。

隱藏SSID

SSID(Service Set IDentifier)服務識別碼是在無線封包前的一串字元，類似無線AP的ID，當使用者試圖檢視可用的無線網路時，找到的名稱就是該無線AP的SSID。

一般來說AP的SSID出廠預設值會是該廠商的名稱之類的代號，而且通常會設為廣播模式，也就是說任何一個使用者只要在這台無線AP的電波範圍中，就可以接收到這台無線發射的訊號。

如果無線AP有可以取消SSID廣播或是隱藏的功能，最好選擇取消或隱藏SSID，以免目標過於明顯，隨便一個路人甲都可以連上自己的無線AP。

更改SSID，並取消廣播SSID

但是因為SSID在傳送時沒有加密，所以只要使用無線封包監聽軟體，即可抓出附近的無線AP。

WEP加密

WEP(Wired Equivalent Privacy）是802.11定義下的一種加密方式，如果想的簡單一點，就是先在無線AP中設定一組金鑰(一般的AP通常可設定到四組)，然後無線AP 會將此金鑰進行編碼加密，使用者想要連上這個無線AP時，就要輸入同樣的金鑰才能連線。

WEP在選擇加密演算法中選擇了RC4演算法，WEP規定的金鑰長度為40bit，而WEP還使用了另外一個機制，就是透過一個24bit的初始向量值(IV，initialization vector)，和WEP金鑰結合後成為64bit的金鑰。

此外有些廠商提供了更複雜的加密程度，就是把WEP的金鑰加到128bit，讓破解的困難度提升。

目前一般的無線AP最起碼都會提供WEP加密保護，使用的方法很簡單，在當做範例的這台3com無線AP中，進入Wireless Settings，然後選擇Encryption，在WEP的加密型態中選擇128bit 加密。

在金鑰產生模式中，這台無線AP提供了四種模式，第一種是使用者直接輸入16進位的數字；第二種和第四種差不多，都是輸入一個字串，然後自動加密產生16進位的數字，以上三種使用者要連線時，必須輸入這13組16進位的數字；而第三種則是輸入我們一般使用的字母，然後系統也會產生16進位的數字，但是使用者在連線時僅需輸入字母即可，比較符合一般的習慣。.

網路身份證：MAC對應

MAC address一般來說是網路裝置唯一的名稱，有點像網路裝置的身分證一樣，而大部分的無線AP都會有MAC對應的保護，也就是鎖MAC位址，當沒有在名單上的MAC位址網路裝置想要連線時，無線AP都會拒絕。

在這台AP中這個設定在Wireless Settings中的connection control，選擇Only authorised Wireless PCs can connect to the Gateway之後，就會彈跳出加入MAC位址的視窗，使用者可以選擇手動輸入或是自動把現在連線的裝置通通加入。

WPA進階加密

雖然WEP提供了無線網路最基本的安全，但是其安全性雀是非常脆弱，尤其是在2001年Fluhrer、Mantin 和 Shamir發表了一篇破解RC4金鑰的論文之後，網路上出現了開放程式碼的破解WEP的程式，即便是128bit的加密，也可以在短時間內破解。

於是IEEE也針對這個問題制定了更嚴謹的802.11i，而在該標準還未通過前，Wi-Fi聯盟為了讓廠商先行有一個依據可參考，在2002年將802.11i的一份草案改為一個暫定的標準，便是WPA(Wi-Fi Protected Access)。

而Wi-Fi聯盟解釋WPA簡單的公式是：WPA=TKIP+MIC+802.1X+EAP。

其中802.1x和EAP是認證機制，而TKIP和MIC則是強化加密的機制，Wi-Fi希望夠過WPA能夠提供較為安全的無線網路連線，而目前比較好的無線AP都會提供WPA的保護。

以當作範例的3com無線AP來說，設定的方式和WEP差不多。進入到無線設定，然後把WPA的加密打開，同樣有兩種產生方式，一種是手動輸入32組16進位的數字，而另一種則是輸入一段字串，然後系統自動產生金鑰。

虛擬伺服器

NAT(Network Address Translation)是一個在無線AP中進行一個偷換 IP header 的動作，讓許多電腦可以共用一個真實IP上網。其實這邊講無線AP並不準確，因為最陽春的無線AP是僅有當存取點的功能，而這個功能一般來說都是在IP分享器中看到，不過目前大部分的無線AP都已具有NAT的功能。

而想要用虛擬IP架站的話，就必須要用到虛擬伺服器的功能，一般來說每台AP設定的名稱不一定，也有可能是NAT Table之類的名稱，但功能是一樣的。

NAT是當虛擬IP要連外時，將IP換成真實IP，而當外面的電腦想要連進來時，無線AP也需要知道這是個要求是對內部網路中的哪一台電腦，虛擬伺服器一般來說是用連接埠的方式來做對應。

Virtual DMZ

虛擬伺服器的設定方式當遇到很多連接埠要對外時，設定上會相當麻煩，這時就可以採用DeMilitarized Zone的方式，把內部的IP完全對應到對外的真實IP，設定方式是到防火牆設定中，在Virtual Server的設定中，把Virtual DMZ的選項改為Redirect request to Virtual DMZ host，然後在IP Address of DMZ host中輸入鑰對應的內部虛擬IP即可。

結論
這次的無線AP設定算是非常入門的教學，目前的AP使用上都非常方便，一般來說都是插上電源、網路線然後就可以使用了，但是無線網路的安全性一直是非常熱門的話題，所以使用者在安裝無線AP時，如果有支援WPA，就使用WPA，如果沒有就使用WEP再加上MAC對應，至少能擋下一些新手怪客的亂搞。

頂頂頂頂頂頂頂頂頂頂頂頂頂頂頂頂頂頂頂頂頂頂頂頂頂頂頂頂
頂頂頂頂頂頂　頂頂頂頂頂頂頂頂頂頂　頂頂頂　　頂頂頂頂頂
頂頂頂頂頂頂　　　　頂頂頂頂頂頂頂　頂頂頂頂　頂頂頂頂頂
頂頂頂頂頂　　　頂頂頂頂頂頂頂頂頂　頂頂頂頂　　頂頂頂頂
頂頂頂頂　　頂頂頂頂頂頂頂頂頂頂頂頂　頂　　　頂頂　頂頂
頂頂　　頂　頂頂頂頂頂頂頂頂頂頂　　頂頂頂　頂頂　　　頂
頂頂頂頂頂　頂頂頂頂頂頂頂頂頂　　　頂頂頂　　　頂頂頂頂
頂頂頂頂　　　頂頂頂頂頂頂頂頂頂頂　頂　　頂　頂頂頂頂頂
頂頂頂頂頂頂頂　頂頂頂頂頂頂頂頂頂　　頂　　頂　　　頂頂
頂頂　　　頂　　頂頂頂頂頂頂頂頂頂　頂頂頂頂　　頂頂頂頂
頂　頂頂　　　頂頂頂頂頂頂頂頂　　　頂　　　頂　頂頂頂頂
頂頂頂頂頂　　頂頂頂頂頂頂頂頂　頂　　頂頂　頂　頂頂頂頂
頂頂頂頂　　　　頂頂頂頂頂頂　頂頂　頂頂頂頂頂　頂頂頂頂
頂頂頂　　頂頂　　　頂頂頂頂　頂　　頂頂　頂頂　頂頂頂頂
頂　　　頂頂頂頂　　　　頂頂頂頂頂　頂頂頂　　　頂頂頂頂
頂頂頂頂頂頂頂頂頂頂頂頂頂頂頂頂頂頂頂頂頂頂頂頂頂頂頂頂

這是一篇很好的 無線網路 基礎安全知識文章
寫的淺而易懂 有使用無線網路的朋友如果還沒有對
無線設備作安全設定 別錯過這篇文章
看完趕快去做安全防護吧

+1
非常好的文章
我想請問一下
我目前只有鎖卡號
並沒有設定WEP或WPA加密
這樣還安全嗎?
有沒有可能別人破除AP裡的設定?
PS:我在登入AP有設定密碼

u8526425兄：
小弟那些加密或ssid，
幾乎不用，
因為用了覺得網路很不順。
所以只鎖mac

有做總比沒做好
做得越多越難破
一般安全性要求並不是那麼高
被高手側收封包很難防
但至少要擋住別人(小白)給你偷用網路

AP鎖密碼是一定要的, 當然也有可能被破解
AP運算能力不足就不需硬開加密

也對，
要禁止小白的行為，
否則當了替死鬼還不知。
所以鎖mac就夠了。 :)

自己的AP有設密碼....因為自己花錢買去實驗室放
不爽給牆外的人用免錢的
就期待不要遇到那種會破解密碼的=-=
p.s. 3com最近去看說有一台256 bit加密,有比較好?

加密越長越難破是一定的
要看3COM在這方面下多少功夫
能撐到多少流量

進階一點點可以看這個
http://www.pcdvd.com.tw/showthread.php?t=388254

請問前輩
那
為什麼流量跟金鑰的bit數有關呢?
為什麼金鑰多位元,就要看AP的處理速度? :confused:
可麻煩您教學一下嗎 :ase