這是鄙人前些日子所蒐集下來之無線網路安全設定教學文章,值得推薦您照著文章所提的項目,一步步設定您公司或或者家裡的無線網路基地台。


如果你是今年或是去年年底買的NB,相信有八成可能買的是Intel強力推銷的Centrino機種。Centrino的元素包含著CPU、晶片組以及無線網路模組,也就是說當你買了一台有貼Centrino貼紙的NB,你的NB就具備了無線上網的能力。

目前無線上網的地點越來越多,包括咖啡店、機場、飯店、麥當勞等等,或許你家裡也有架設無線網路基地台,當你再咖啡店等熱點用免費的無線網路很高興的時候,有沒有想過,或許別人也很高興的使用你的無線網路呢?

無線網路的安全性已經討論了非常久,CNET也曾在半年多前針對企業策略性的分析無線網路安全的重要性,不過對大部分讀者來說,更重要的是如何簡單的建立個人無線網路的基本安全機制。

這次我們實際用一個無線基地台,並以Windows XP SP2做範例,提供架構一個具有基本安全無線網路環境的六項設定步驟。

Windows XP SP2中無線網路的設定畫面。  
Windows XP SP2中無線網路的設定畫面。

隱藏SSID

SSID(Service Set IDentifier)服務識別碼是在無線封包前的一串字元,類似無線AP的ID,當使用者試圖檢視可用的無線網路時,找到的名稱就是該無線AP的SSID。

一般來說AP的SSID出廠預設值會是該廠商的名稱之類的代號,而且通常會設為廣播模式,也就是說任何一個使用者只要在這台無線AP的電波範圍中,就可以接收到這台無線發射的訊號。

如果無線AP有可以取消SSID廣播或是隱藏的功能,最好選擇取消或隱藏SSID,以免目標過於明顯,隨便一個路人甲都可以連上自己的無線AP。

更改SSID,並取消廣播SSID  
更改SSID,並取消廣播SSID

但是因為SSID在傳送時沒有加密,所以只要使用無線封包監聽軟體,即可抓出附近的無線AP。

WEP加密

WEP(Wired Equivalent Privacy)是802.11定義下的一種加密方式,如果想的簡單一點,就是先在無線AP中設定一組金鑰(一般的AP通常可設定到四組),然後無線AP會將此金鑰進行編碼加密,使用者想要連上這個無線AP時,就要輸入同樣的金鑰才能連線。

WEP在選擇加密演算法中選擇了RC4演算法,WEP規定的金鑰長度為40bit,而WEP還使用了另外一個機制,就是透過一個24bit的初始向量值(IV,initialization vector),和WEP金鑰結合後成為64bit的金鑰。

此外有些廠商提供了更複雜的加密程度,就是把WEP的金鑰加到128bit,讓破解的困難度提升。

目前一般的無線AP最起碼都會提供WEP加密保護,使用的方法很簡單,在當做範例的這台3com無線AP中,進入Wireless Settings,然後選擇Encryption,在WEP的加密型態中選擇128bit 加密。

選擇128bit加密,然後用ASCII方式來輸入金鑰  
選擇128bit加密,然後用ASCII方式來輸入金鑰

在金鑰產生模式中,這台無線AP提供了四種模式,第一種是使用者直接輸入16進位的數字;第二種和第四種差不多,都是輸入一個字串,然後自動加密產生16進位的數字,以上三種使用者要連線時,必須輸入這13組16進位的數字;而第三種則是輸入我們一般使用的字母,然後系統也會產生16進位的數字,但是使用者在連線時僅需輸入字母即可,比較符合一般的習慣。.

一個有WEP保護的無線網路連線  
一個有WEP保護的無線網路連線
輸入WEP金鑰即可連線  
輸入WEP金鑰即可連線

網路身份證:MAC對應

MAC address一般來說是網路裝置唯一的名稱,有點像網路裝置的身份證一樣,而大部分的無線AP都會有MAC對應的保護,也就是鎖MAC位址,當沒有在名單上的MAC位址網路裝置想要連線時,無線AP都會拒絕。

在這台AP中這個設定在Wireless Settings中的connection control,選擇Only authorised Wireless PCs can connect to the Gateway之後,就會彈跳出加入MAC位址的視窗,使用者可以選擇手動輸入或是自動把現在連線的裝置通通加入。

加入可連線的MAC位址  
加入可連線的MAC位址

WPA進階加密

雖然WEP提供了無線網路最基本的安全,但是其安全性雀是非常脆弱,尤其是在2001年Fluhrer、Mantin 和 Shamir發表了一篇破解RC4金鑰的論文之後,網路上出現了開放程式碼的破解WEP的程式,即便是128bit的加密,也可以在短時間內破解。

於是IEEE也針對這個問題制定了更嚴謹的802.11i,而在該標準還未通過前,Wi-Fi聯盟為了讓廠商先行有一個依據可參考,在2002年將802.11i的一份草案改為一個暫定的標準,便是WPA(Wi-Fi Protected Access)。

而Wi-Fi聯盟解釋WPA簡單的公式是:WPA=TKIP+MIC+802.1X+EAP。

其中802.1x和EAP是認證機制,而TKIP和MIC則是強化加密的機制,Wi-Fi希望夠過WPA能夠提供較為安全的無線網路連線,而目前比較好的無線AP都會提供WPA的保護。

以當作範例的3com無線AP來說,設定的方式和WEP差不多。進入到無線設定,然後把WPA的加密打開,同樣有兩種產生方式,一種是手動輸入32組16進位的數字,而另一種則是輸入一段字串,然後系統自動產生金鑰。

改用安全性較高的WPA,方法類似但內容不同  
改用安全性較高的WPA,方法類似但內容不同

虛擬伺服器

NAT(Network Address Translation)是一個在無線AP中進行一個偷換 IP header 的動作,讓許多電腦可以共用一個真實IP上網。其實這邊講無線AP並不準確,因為最陽春的無線AP是僅有當存取點的功能,而這個功能一般來說都是在IP分享器中看到,不過目前大部分的無線AP都已具有NAT的功能。

而想要用虛擬IP架站的話,就必須要用到虛擬伺服器的功能,一般來說每台AP設定的名稱不一定,也有可能是NAT Table之類的名稱,但功能是一樣的。

NAT是當虛擬IP要連外時,將IP換成真實IP,而當外面的電腦想要連進來時,無線AP也需要知道這是個要求是對內部網路中的哪一台電腦,虛擬伺服器一般來說是用連接埠的方式來做對應。

選擇要對應的虛擬IP及連接埠  
選擇要對應的虛擬IP及連接埠

Virtual DMZ

虛擬伺服器的設定方式當遇到很多連接埠要對外時,設定上會相當麻煩,這時就可以採用DeMilitarized Zone的方式,把內部的IP完全對應到對外的真實IP,設定方式是到防火牆設定中,在Virtual Server的設定中,把Virtual DMZ的選項改為Redirect request to Virtual DMZ host,然後在IP Address of DMZ host中輸入鑰對應的內部虛擬IP即可。

直接將虛擬IP完全對應到真實IP  
直接將虛擬IP完全對應到真實IP

結論

這次的無線AP設定算是非常入門的教學,目前的AP使用上都非常方便,一般來說都是插上電源、網路線然後就可以使用了,但是無線網路的安全性一直是非常熱門的話題,所以使用者在安裝無線AP時,如果有支援WPA,就使用WPA,如果沒有就使用WEP再加上MAC對應,至少能擋下一些新手怪客的亂搞。

arrow
arrow

    Apple 老爹 發表在 痞客邦 留言(1) 人氣()