限制无线路由器设置有六个步骤,如下所示:
1.修改用户名和密码(而不是使用默认的用户名和密码)
通常,家庭无线网络通过无线路由器或中继器访问外部网络。通常,这些路由器或中继器的制造商会提供一个管理页面工具,以方便用户设置这些设备和建立无线网络。此页面工具可用于设置设备的网络地址和帐号。为了保证只有设备的拥有者才能使用这个管理页面工具,设备通常有一个登录界面,只有输入正确用户名和密码的用户才能进入管理页面。但是,在出售设备时,制造商提供的默认用户名和密码对于设备的每个型号都是相同的。遗憾的是,许多家庭用户在购买这些设备后不会更改设备的默认用户名和密码。这给了黑客可乘之机。他们可以通过简单的扫描工具轻松找到这些设备的地址,并尝试使用默认用户名和密码登录管理页面。如果成功,他们可以立即获得路由器/交换机的控制权。
2.使用加密
所有无线网络都提供某种形式的加密。很多无线路由器或AP出厂时,数据传输加密功能是关闭的。如果你拿着它不做进一步的设置就使用它,那么你的无线网络将成为一个“无保护”的显示器。因此,加密您的无线网络极其重要。无线路由器通常有WEP加密和更安全的WPA加密。但是,早期的无线网卡不支持WPA加密。
3.修改默认服务区标识符(SSID)
通常,每个无线网络都有一个服务区标识符(SSID)。当无线客户端需要加入网络时,它们需要具有相同的SSID,否则它们将被‘拒之门外’。通常,路由器/中继器设备制造商会在其产品中设置一个默认的相同SSID。例如,linksys设备的SSID通常是“linksys”。如果网络未指定SSID或仅使用默认SSID,则任何无线客户端都可以进入网络。这无疑为黑客入侵网络打开了大门。
4.禁止SSID广播
在无线网络中,每个路由设备都有一个非常重要的功能,就是服务区标识符广播,也就是SSID广播。起初,该功能主要是为无线网络客户端流量特别大的商业无线网络设计的。开启带SSID广播的无线网络时,其路由设备会自动向其有效范围内的无线网络客户端广播其SSID号。无线网络客户端收到此SSID号后,可以使用此SSID号来使用此网络。但是这个功能有很大的安全隐患,仿佛自动为想要进入网络的黑客打开了大门。在商用网络中,为了满足千变万化的无线网络接入,需要牺牲安全性来开启该功能,但作为家庭无线网络,网络成员相对固定,开启该功能没有必要。
5.设置mac地址过滤
众所周知,基本上每个网络接触设备都有一个唯一的标识符,叫做物理地址或MAC地址,无线网络设备也不例外。所有路由器/中继器和其他路由设备都会跟踪通过它们的所有数据包的源MAC地址。通常,许多这样的设备提供MAC地址操作,这样我们可以防止非法设备(主机等。)通过建立我们自己的批准的MAC地址列表来访问网络。在无线路由器的设置中,当启用了MAC地址过滤功能时,需要注意的是,在“过滤规则”中,必须选择“只允许设置的MAC地址列表中的有效MAC地址访问无线网络”等选项。
6.取消DHCP并为您的网络设备分配静态IP。
随着DHCP服务越来越容易建立,许多家庭无线网络使用DHCP服务来为网络中的客户端动态分配IP。这就导致了另一个安全隐患,即访问网络的攻击者很容易通过DHCP服务获得一个合法的IP。但是在有固定成员的家庭网络中,我们通过给网络成员设备分配固定的IP地址,然后在路由器上设置允许接入设备的IP地址列表,可以有效防止非法入侵,保护您的网络。
