当然 , 还是鼓励大家多行善事 , 只是这里要讨论的主题不是 ” 行善事 ”, 而是要讨论一下无线基地台 (AP) 里的一些 ” 小 ” 设定 , 这些 ” 小 ” 设定看似不起眼 , 但是对于小规模 ( 家用或 SOHO) 的无线局域网之安全性而言却具有一定程度的保护作用。
关闭 SSID 广播
当使用者打开无线装置 (device), 如果这个装置位于某个 AP 的可用讯号范围内 , 在无线装置的 ” 可用网路 ” 中 , 可能会看到这个无线 AP 的名称 (SSID), 这是因为 AP 会定时广播自己的网路名称 (SSID), 好让无线装置可以知道它的 ” 存在 ” 。关闭 SSID 广播 , 使用者须以手动的方式输入网路名称 (SSID), 无线装置再以主动扫瞄的方式来 ” 寻找 ”AP, 在家用或 SOHO 使用的规模里 , 如此作法 , 可以使无线局域网处于 ” 某种程度的隐藏 ” 。 ( 大规模或公司企业的布署 , 关闭 SSID 广播的作法 , 可能反而增加管理的负担 , 与其如此 , 倒不如采用更为 ” 正式 ” 、严谨的安全性作法 , 例如使用 WPA 或 WPA2)
变更预设 (default) 的 SSID
就算把无线局域网 ” 隐藏 ” 起来 , 但 ” 闲杂人等 ” 还是可以手动的方式输入网路名称 , 让无线装置 (device) 进行主动扫瞄 , 只要在网路上 ”Google” 一下 , 就可以找到很多预设名称 (SSID) 的 ” 可用范例 ” 。所以除了关闭 SSID 广播之外 , 不要忘了再变更一下预设 (default) 的网路名称 (SSID) 。
使用加密 (encryption)
若是你的无线 AP 以及装置 (device) 上的无线网卡均支持最强的加密协定 - CCMP 或 AES, 请使用它 !! 若是你的无线 AP 或装置上的无线网卡所支持的 ” 最强 ” 加密协定仅有 WEP, 那么 , 还是请你使用吧 !!( 当然 , 能定期变更 WEP 金钥更好 )
使用验证 (authentication)
若是准备要采购无线设备的话 , 建议购买支持 WPA2/WPA2 PSK 标准的 AP 以及无线网卡 , 这样至少可以使用 WPA2-PSK 的模式来进行使用者的验证 , 并搭配 CCMP 或 AES 加密协定。 ( 如果可以的话 , 最好也是定期变更 pre-share key)
对于已经在使用早期无线设备的使用者而言 , 早期无线设备可能仅支持简单的开放系统验证 (open-system authentication) 、共享金钥验证 (shared-key authentication) 以及 WEP 加密 , 建议采用 ” 开放系统验证加 WEP 加密 ” 的方式 , 因为共享金钥验证的方式已经被证实 , 反而会导致 WEP 更容易遭到破解。
( 对于家用或 SOHO 而言 , 若是安全考量 ” 非常大于 ” 成本考量的话 , 当然也可以实施 IEEE 802.1X 的验证方式 )
使用 ACL(Access Control List)
大部份的无线 AP 都会提供 MAC 位址过滤 (MAC address filter) 的功能 , 也就是设定允许或限制清单 (list) 上的 MAC 位址进行连线。如果无线 AP 有提供这样的功能 , 建议查看一下无线装置上无线网卡的 MAC 位址 , 并且在无线 AP 把 ACL 设定起来吧 !!
限制传输功率 (Transmit Power) 的大小
同样的 , 这也是大部份的无线 AP 会提供的功能 , 有些会以百分比 (%) 来表示 , 有些则以高、中、低来表示。当无线电波的含盖范围 (coverage) 超过你想提供无线服务的范围时 , 这种情况也可以称之为溢波。当有这种情况发生时 , 任何人可能在楼梯间、走道或隔壁办公室就可以 ” 接触 ” 到你的无线局域网电波。可以借着调整传输功率的大小 , 来防止无线电波范围太广。
使用安全连线来进行设定
大部份的无线 AP 都是透过 HTTP 以浏览器的方式来进行设定 , 少部份的无线 AP 会提供 telnet 的方式。但是不管是 HTTP 或 telnet 都是以未经加密的方式来连线 , 若是遭到来自网路的窃听 , 攻击者就可以很容易得知管理者的密码。所以有些无线 AP 会提供 HTTPS 或 SSH, 以经过加密的连线方式来进行设定 , 采取这种作法对于为了因应远端维护或希望透过有经验的使用者来进行设定而开放 ” 远端连线管理 ” 的无线 AP 而言格外重要 !!
更改预设 (default) 的管理者密码
前面提到过 , 只要在网路 ”Google” 一下 , 就可以找到很多预设值 (default) 的 ” 参考资料 ”, 当然也包括各厂牌无线 AP 的管理者预设密码啰 !! 所以即使透过加密的方式来进行无线 AP 的设定可以有效防止管理者密码遭到窃听 , 但是若没有配合着去更改预设管理者密码 ,” 有心人士 ” 只要稍微试一下 , 就可以 …… 嘿嘿嘿 !!
( 有些无线 AP 甚至提供让使用者去更改像 admin 、 root 诸如此类的预设管理者名称 )
设定防火墙
如果无线 AP 同时还扮演着边界路由器 ( 无线匣道器 ) 的角色的话 , 防火墙的设定就很重要了 , 幸运的是 , 现在有些无线匣道器已经预设好一些基本的过滤 (filter) 规则 (rule) 或原则 (policy), 甚至有 SPI 的功能 , 使用者只要启动或 enable 即可。但毕竟设定防火墙是一项专业 , 设定防火墙的原则 (policy) 本来就不是一件简单的事 , 甚至于还要经过反复的测试或入侵测试 , 尤其对于一般使用者而言 , 建议最好找一下有经验的朋友帮忙或是请经销商的工程师代劳。
当然 , 以上这些 ” 小手段 ” 对于 ” 资讯安全专家 ” 而言或许只能算是 ” 消极 ” 的安全作法 ( 例如可以借着收集主动扫瞄的 probe request 得知 ” 被隐藏 ” 的 SSID 或是 MAC 位址可以伪造等 ) 。但是 , 多上个几道锁 , 就算不是上等的好锁 , 至少可以防止 ” 一般闲杂人等 ” 随意进出家里大门 , 对吧 !!