五步确保家庭无线网络安全(1)

五步确保家庭无线网络安全(1)

我的一位朋友最近在家里安装了个无线路由器。自从买了这个路由器之后，他就一直问我关于路由器安全的问题他至少应该做些什么。他提出了下面几个基本要求：首先，保护路由器的配置信息，除他之外的其他人不能改变这些配置信息；其次，阻止任何未授权用户连接路由器或者访问网络。

像大多数人一样，我的朋友也是按照产品的安装说明和安装向导架起了他的路由器并做了初始化。按照安装向导，他能够通过改变管理员口令来保护路由器。不管怎样，尽管通过路由器的配置软件设置一个管理员口令是一个好的开端，但它仅仅能提供一个基本的安全保护。这在我朋友所提出的两个要求中，仅仅是第一个。

如果你像我的朋友一样，无线网络保持大开状态，那么，你的无线路由器范围内的任何人都可以通过你的网络访问互联网和你的家庭PC。如果你正处于这样的境地，那么你需要做一些事情。你只要按照下面的五个步骤就可以为你的家庭无线网络提供保护了。

步骤1：改变路由器的缺省管理员口令

基本上所有的路由器都提供一个缺省的用户ID和口令。因为这个口令是众所周知的，你必须更改这个缺省的口令。你可以通过运行路由器安装和配置向导来更改它，这个操作很简单。

如果你使用的路由器没有提供这样的向导，你可以通过使用浏览器连接到路由器来改变它。比如说，要连接到Linksys路由器，在路由器加电并且连接以太网网线之后，打开一个Web浏览器，在地址栏中键入192.168.1.1，使用缺省的用户ID和口令就可以登录到路由器中，然后就可以更改缺省的口令。

步骤2：改变缺省的SSID，禁止SSID广播

所有的路由器都绑定了一个由制造商提供的SSID，也就是服务设置识别码。SSID是由32位字母或者数字组合成的，包含了一个无线局域网的ID或名字。例如，Linksys路由器的缺省SSID名字就是Linksys。缺省的SSID是众所周知并且公开发布的。因此，无线路由器的制造商建议你更改缺省的SSID以便它是唯一的。此外，他们还建议尽可能的经常更改你的SSID，因为黑客们知道，为了加入一个无线网络，无线网络产品都首先监听周期性广播信标消息beacon messages），这些消息是不加密的，并且，这些消息包含了网络的信息，比如网络的SSID和访问网络的IP地址等。

同样的，一个路由器广播它的路由器SSID。你需要禁止掉这个属性。尽管这样做并不能提供级别很高的保护一些常用的工具，比如NetStumbler 就能够探测隐藏的SSID），禁止掉SSID广播能够为你增加一层保护措施。不过，如果你禁止了SSID广播，可能会引起一些设备的使用不便，比如HP Palmtops，可能就不能连接网络或者经常断线。

步骤3：更改IP地址设置

路由器制造商为每一个路由器都设置了相同的IP地址。比方说Linksys路由器的初始化IP地址为192.168.1.1。这些地址是公开的，众所周知的，这样，不怀好意的用户如果知道了你所使用的路由器的制造商和类型，他们就可以轻易地获取你的IP地址。因而，你应该把更改IP地址作为配置过程的一部分。我们继续以Linksys为例，你可以把缺省的IP地址192.168.1.1更改为192.168.10.1。尽管更改IP地址并不能保护路由器，但它能够使偷听者不容易猜到IP地址。

DHCP在每一个路由器上缺省状态也是激活的。DHCP提供客户机器的IP地址信息。通常， DHCP服务器分发2－254范围内的IP地址。所以，有253个客户机可以从你的路由器得到IP地址。你在家里可能没有那么多的系统，所以，最好缩减 DHCP的范围为你所期望你的网络中所包含机器的数量。根据我的经验，我设置我的路由器处理的地址数量为我网络中机器的数量，在额外加上两个为来访的亲朋好友准备的地址。