网络安全知识普及:无线路由器

　　无线网络的原理很简单，为了让更多的人可以访问到，无线网络选择了通过特定的无线电波来传送信号，在这个发射频率的有效范围内，任何具有合适接收设备的人都可以捕获该频率的信号，进而进入目标网络，这就造成了安全隐患，下面介绍下无线网络中的一些安全知识。

　　AP Isolation(AP隔离)

　　在很多文章里，我们都能看到这种解决无线安全的方法，相对来说，这是较简单的一种。它类似于有线网络的VLAN，将所有的无线客户端设备完全隔离，使之只能访问AP连接的固定网络，相当于无线中的局域网。

　　一些大型的公共场所，如机场、酒店等可以采用这个方法来完成公共热点Hot Spot的架设，它可以让接入的无线客户端保持隔离，保证旅客们之间的距离，提供安全的Internet接入。

　　MAC过滤

　　这种方式就是通过对AP的设定，将指定的无线网卡物理地址输入到AP中。而AP对收到的每个数据包都会做出判断，只有符合设定标准的才能被转发，否则将会被丢弃。这种方法尽管简单，但安全性其实很差。

　　隐藏SSID

　　什么是SSID号?SSID(Service Set Identifier)也可以写为ESSID，用来区分不同的网络，最多可以有32个字符，无线网卡设置了不同的SSID就可以进入不同网络，SSID通常由AP或无线路由器广播出来，通过XP自带的扫描功能可以相看当前区域内的SSID。出于安全考虑可以不广播SSID，此时用户就要手工设置SSID才能进入相应的网络。简单说，SSID就是一个局域网的名称，只有设置为名称相同SSID的值的电脑才能互相通信。

　　SSID参数在设备缺省设定中是被AP无线接入点广播出去的，客户端只有收到这个参数或者手动设定与AP相同的SSID才能连接到无线网络。如果把这个广播禁止，一般的漫游用户在无法找到SSID的情况下是无法连接到网络的。

　　不过有一种叫做sniffer的软件可以将网卡接收到的数据包进行记录，这些数据包中有很多是这个网卡需要接收的信息，也有很多是广播包或组播包这些本来应该丢弃的数据包，不管网卡该不该接收这些数据，一旦在上面绑定了sniffer就将“忠于职守”地记录这些数据，将这些数据信息保存到sniffer程序中。因此无线网络同样可以通过安装无线sniffer绑定到无线网卡上，从而实现对SSID号的察觉与发现。

　　WEP加密

　　WEP是Wired Equivalent Privacy的简称，所有经过Wi-Fi认证的设备都支持该安全协定，是无线设备中最基础的加密措施，很多用户都是通过它来配置提高无线设备的安全，采用64位或128位加密密钥的RC4加密算法，保证传输数据不会以明文方式被截获。

　　它其实是802.11b标准里定义的一个用于无线局域网(WLAN)的安全性协议，被用来提供和有线LAN同级的安全性。LAN天生比WLAN安全，因为LAN的物理结构对其有所保护，部分或全部网络埋在建筑物里面也可以防止未授权的访问。

　　而经由无线电波的WLAN没有同样的物理结构，因此容易受到攻击、干扰。WEP的目标就是通过对无线电波里的数据加密提供安全性，如同端-端发送一样。WEP特性里使用了rsa数据安全性公司开发的rc4 prng算法。如果你的无线基站支持MAC过滤，推荐连同WEP一起使用这个特性(MAC过滤比加密安全得多)。

　　该方法需要在每套移动设备和AP上配置密码，部署比较麻烦。

　　不过它的安全性早就不再受到欢迎，网上有很多关于破解WEP密码的文章，步骤详细，随随便便找一篇就可以轻松搞定。此方法仅能用于确信自己不会被攻击的用户。

　　WPA加密

　　WPA加密即Wi-Fi Protected Access，其加密特性决定了它比WEP更难以入侵，所以如果对数据安全性有很高要求，那就必须选用WPA加密方式(Windows XP SP2已经支持WPA加密方式)。

　　就家庭用户而言，这个方法目前最好的无线安全加密系统，WPA率先使用802.11i中的加密技术TKIP(Temporal Key Integrity Protocol)。

　　TKIP

　　新一代的加密技术TKIP与WEP一样基于RC4加密算法，且对现有的WEP进行了改进，在现有的WEP加密引擎中追加了“密钥细分(每发一个包重新生成一个新的密钥)”、“消息完整性检查(MIC)”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”等4种算法，极大地提高了加密安全强度。TKIP与当前WiFiTM产品向后兼容，而且可以通过软件进行升级，AboveCable无线产品完全支持WiFiTM标准，只需要简单的软件升级就可以实现对TKIP的支持。

　　WPA的功能是替代现行的WEP协议，是改进WEP所使用密钥的安全性的协议和算法。它改变了密钥生成方式，加强了生成加密密钥的算法，更频繁地变换密钥来获得安全;还增加了消息完整性检查功能来防止数据包伪造。因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能，WEP中此前倍受指责的缺点得以全部解决。

　　完整的WPA实现比较复杂，由于操作过程比较困难，所以在家庭网络中普遍采用的是WPA的简化版――WPA-PSK(预共享密钥)，在AP(或者无线路由器)以及连接无线网络的无线终端上输入共享密钥来保护无线链路的通信安全。

　　但是对于企业和政府来说，很多设备和客户端并不支持WPA，最重要的是TKIP加密并不能满足一些更高要求的加密需求，还需要更高的加密方式。

　　WPA2与AES加密

　　WPA2是Wi-Fi联盟发布的第二代WPA标准。WPA2与后来发布的802.11i具有类似的特性，它们最重要的共性是预验证，即在用户对延迟毫无察觉的情况下实现安全快速漫游，同时采用CCMP加密包来替代TKIP。

　　AES

　　诞生于2002年的AES是一种可用来保护电子数据的新型加密算法。特别是，AES是可以使用128、192 和 256位密钥的迭代式对称密钥块密码，并且可以对 128 位(16 个字节)的数据块进行加密和解密。与使用密钥对的公钥密码不同的是，对称密钥密码使用同一个密钥来对数据进行加密和解密。

　　AES到底有多安全?这是一个难以回答的问题，但是现在人们一般认为，它是现有的最安全的加密算法。到目前为止，AES比任何其他加密算法经过了更多的审查。攻击 AES 的唯一有效方法就是通过强力生成所有可能的密钥，就这一点来说，无论是在理论上和还是在实践上，AES 都被认为是“安全的”。对于 256位的密钥大小，在一定的时间(在现有的最快系统上甚至需要数年)内，任何已知的强力攻击都无法破坏 AES。

　　一般家庭用户的无线环境比较纯净，虽然有少许危险，但只要稍加注意，使用更高位的加密方式，定期更改密码，则多半不会遇到外来危险;而企业用户则比较麻烦，建议采用WPA2安全加密方案，保证目前最好的加密效果。

　　最后需要说明的是：各种安全方案和加密方式必须是无线路由器(AP)和客户端(计算机的无线网卡)必须同时支持;并且越高级的加密算法对客户端(包括无线路由器和计算机)的运算能力要求越高，也就是说你的计算机CPU占用率会更高，网络传输效率会更低。

from: http://networking.ctocio.com.cn/RoutingSwitching/213/9172713.shtml