01.修改路由器登陆用户名和密码
一般无线路由器出厂默认登陆用户名和密码均为admin。建议对登陆用户和密码进行修改,防止非法用户修改无线路由器的配置。
02.修改路由器管理端口
一般路由器默认以80端口为管理端口。正常情况下,在浏览器输入IP地址,就可以登陆管理界面。如果修改管理端口,登陆路由器管理界面时需要在IP地址后添加端口号。这样其他用户只有知道管理端口后才可以登陆路由器管理,大大增强了对路由器管理的安全性。当然我们也可以将常用的登陆IP地址稍作修改。
03.关闭DHCP服务器
DHCP服务器在路由器上运行,负责给内网电脑分配IP地址,路由器出厂时默认开启。如果开启了DHCP服务,则非法用户无需手工指定就可以轻易获取IP地址,进而获得上网权限。因此关闭DHCP服务器可以使非法用户难以获取正确的IP地址。
04.修改LAN口IP为不常用网段
一般无线路由器出厂默认LAN口IP为192.168.1.1。如果不修改LAN口IP地址,即使关闭了DHCP服务器,非法用户通过指定IP地址到192.168.1.X网段,网关设置为192.168.1.1,则该用户还是可以获取上网资源。因此,建议修改LAN口IP地址为不常用网段。
05.隐藏无线网络SSID
无线终端在接入时被要求首先输入SSID即网络名称。而隐藏SSID后,网络名称对其他人来说是未知的,不知道无线网络的SSID,无线终端就不能进行连接。
06.开启路由器防火墙
通过防火墙中IP地址和MAC地址过滤,只允许自己的IP地址或者MAC地址连接Internet,可以防止非法接入者共享带宽。
07.启用WEP或WPA(WPA2)加密通讯数据
目前无线路由器常用的加密技术有WEP(有线对等保密)、WPA(Wi-Fi保护接入)、WPA2三种。这三种加密技术中,WEP是加密能力最弱的一种,而WPA或者WPA2则因使用了更强壮的加密技术和经过改良的密钥管理技术,加密功能更为可靠。
WPA与WPA2的区别在于,WPA支持的是TKIP(临时密钥完整性协议)加密,而WPA2支持更强大的AES(高级加密标准)加密。采用WPA2加密的无线路由器安全性非常高,除非不小心泄露了加密密钥,正常情况下此方法尚无可能发生非法接入。
需要说明的,实现完整的WPA(WPA2)加密是比较复杂的,需要一台radius服务器来分发和管理密钥,对一般用户不太可能做到,所以在通常网络中采用的仅是WPA的简化版WPA-PSK(预共享密钥)。
同时,为了解决长期以来无线网络加密设定的步骤过于繁杂的问题,WiFi联盟推出的WiFi安全防护设定(Wi-Fi Protected Setup),即WPS。用户可以通过无线路由器和无线网卡上的WPS键快速加密无线网络,阻止非法用户接入。但是,使用WPS一键加密的前提是无线路由器和无线网卡都必须同时具备WPS功能按键(或软按键)。
在实际维护和使用无线网络过程中,如果我们对无线网络安全要求比较高就应采取上面多个方法的结合,单一的方法都存在着“软肋”。理论上,最安全的办法就是使用WPA2加密再结合MAC地址过滤,这样即使泄露了WPA2加密密钥,也可阻止非指定MAC地址的虚假连接。
通过采取上述措施,用户可以最大限度地避免自己的无线网络被入侵,让合法的用户顺利访问,让蹭网的“神卡”一族无路可入。
……