防止非法用戶掃描妳的無線網絡。
但極易被破解。只要有數據通過,壹些嗅探軟件很容易掃描到不廣播的無線網絡,得到妳的SSID和AP MAC。
因此,只可作為無線安全的輔助手段。
安全等級:很低。
2 修改SSID
當用戶使用wpa或wpa2加密時,修改過的SSID能有效防止通過現成的table來暴力破解。
破解wpa或者wpa2,現用的方法就是獲得四次握手包後暴力破解。用已經HASH好的table,破解速度可以翻幾百倍。此HASH是把SSID和密碼***同作為變量的。很多黑客已經做好常用的SSID和通過社會工程學做好的密碼計算而成的HASH table,可以網絡下載,有些甚至是免費的。如果妳的SSID不在此列,就沒有現成的table。而做table本身比掛字典破解更費時間,因此就失去意義。
安全等級:較高(需和wpa wpa2配合使用)。
3 使用MAC過濾
表面看來是極完美的防蹭方案。但可以通過偽造妳的MAC來上網。極易破解。而且MAC值是極容易被嗅探到的。
安全等級:很低。
4 使用wep加密
極易被破解。在今天,使用wep加密和不加密基本等同,沒有任何安全性可言。即使再復雜的密碼,也可以在數分鐘內破解。
安全等級:很低。
5 使用wpa或wpa2個人版 加密
迄今為止,破解方法只有壹個:暴力破解。如果妳設置壹個強密碼,破解的概率幾乎為0。另外,加密算法選擇AES。
盡量選擇wpa2,因為wpa2比wpa具有更好的安全性。wpa2是真正的802.11i,而wpa只是其草案3,有很多不足。
暴力破解的速度是極其低下的。壹般只有300key / s,就算采取所謂的GPU加速,速度也不過是10000 key / s,對於壹個8位數字 字母 字符的復雜密碼破解時間都需要2900年!即使采用100臺分布式,也需要29年!
安全等級:較高。
說到這裏,大家應該看到:如果妳不加密或者用wep,即使采取了1,2,3手段也沒有任何意義。破解都是分分鐘的事。但如果妳只用了wpa2,且密碼極其復雜,破解都是以年計算的。
現在我再提壹下更為先進的wifi保全手段。
1 Wpa2企業版
wpa2企業版需要radius撥號服務器,為802.1x提供認證。
個人版中的PMK=PSK,PSK是固定的。雖然在之後的通信中,密匙是變化的,但初始密匙是固定的。這就是可以通過最初的四個握手包破解的原因(上文提到的HASH即為PSK的生成HASH,在四次握手中還有其他HASH計算)。而且整個WLAN中,PSK具唯壹性。壹旦泄漏,具有災難性後果。壹般要重新設置路由器和所有的合法客戶端。
Wpa2中,PMK的獲取依賴於802.1x認證的結果,認證失敗則無法得到PMK。而且每次認證得到的PMK都是隨機的。所以上述暴力破解在這裏完全沒有意義。除非先破解認證機制,得到用戶名和密碼。
而目前的802.1x安全性還是不錯的。壹般用壹個比較好的EAP就有很好的安全性了。以下是幾種最常見的EAP方式:LEAP EAP-TLS EAP-TTLS PEAP 。所有EAP方法都支持雙向認證,這樣可以阻止中間人攻擊——因為客戶需要對服務器進行認證,反之亦然。偽造的無線接入點無法偽造服務器端安全認證。
即使壹個帳號,密碼泄漏,則只有壹個非法用戶上網。在認證服務器上取消此帳號,就OK了。
2 最好修改路由器的登錄密碼,最好禁止用無線網絡登錄。做到即使有蹭網,也無法修改無線路由器。
3 啟用PPPOE服務器。用戶必須用PPPOE撥號後,才可訪問路由器和Internet。
用PPPOE可以有效防止ARP攻擊,同時增強無線網絡的安全。即使用戶破解無線密碼,也毫無意義,和沒有破解等同。而破解PPPOE並非易事。
通過專業的設置,可以讓PPPOE更安全。比如,指定服務名(ISP名稱),只選擇CHAP,不選擇明文傳輸的PAP等等。
這就是本人想到的讓無線網絡更安全的幾點方案及其分析。較粗淺,如有謬誤,請給予斧正。