有關(guān)WPA2加密理論知識(shí)問題集錦

在將本書中的一些理論知識(shí)實(shí)際應(yīng)用時(shí)，可能會(huì)遇到一些問題，下面將常會(huì)關(guān)注的問題 列出，供大家參考。

1.為什么我的Windows XP系統(tǒng)不支持WPA2加密?

答：由于Windows XP SP2在默認(rèn)情況下僅支持到WPA，故用戶使用Windows自帶的 無線配置服務(wù)并不能夠連接到WPA2及802.lli，不過Microsoft推出了基于Windows XP SP2 的WPA2 /802.lli相關(guān)補(bǔ)丁，并集成在Windows XP SP3中，安裝后即可以連接WPA2加密 的AP。

對(duì)于Windows XP SP2的用戶，由于該補(bǔ)丁不通過Windows自動(dòng)更新發(fā)布，屬于增值補(bǔ) 丁，所以要運(yùn)用該補(bǔ)丁的用戶需要到微軟官方站點(diǎn)下載，具體網(wǎng)址如下：

最簡(jiǎn)單的方法就是將Windows XP SP2升級(jí)至Windows XP SP3。

2.在Linux下如何配置WPA-PSK加密?

答：下面以連接采用WPA-PSK-TKIP加密驗(yàn)證的無線網(wǎng)絡(luò)為例，講述在Linux下進(jìn)行 WPA-PSK設(shè)置的具體步騾。

@在Linux下進(jìn)入到/etc目錄，找到wpa_supplicant.conf，如果沒有就創(chuàng)建一個(gè)。按照下面的內(nèi)容輸入并保存：

@進(jìn)入到/etc/dhcpc文件夾下，重新打開一個(gè)Shell，并輸入：

@接下來輸入如下命令：

參數(shù)解釋：

●-W：等待網(wǎng)卡添加或啟用。

●-D:制定網(wǎng)卡驅(qū)動(dòng)，如hostap、madwifi等，這里為wext。

14.2.1 WEP***常見問題小結(jié)

首先是關(guān)于WEP加密***的內(nèi)容，主要是對(duì)無線網(wǎng)卡的選擇、數(shù)據(jù)包的捕獲、***工

具的使用等方面出現(xiàn)的常見問題進(jìn)行解釋和說明。

1.我的無線網(wǎng)卡為何無法識(shí)別?

答：BT4支持的無線網(wǎng)卡有很多，比如對(duì)采用Atheros、Ralink、Realtek等芯片的

無線網(wǎng)卡，無論是PCMCI、USB，還是PCI接口的，支持性都很高。要注意BT4并不

是支持所有符合芯片要求的無線網(wǎng)卡，有些同型號(hào)的但是硬件固件版本不同的就不支

持，比如早期的Dlink G122就是對(duì)版本有所限制的，而現(xiàn)在很多802.lln系列的卡也是

不支持的。

2.在哪里可以下載到最新版的Aircrack-ng?

答：由于國(guó)內(nèi)多數(shù)用戶無法直接訪問到國(guó)外的Aircrack-ng官方網(wǎng)站，所以這里也列出

一些國(guó)內(nèi)提供下載的站點(diǎn)及論壇供大家參考：

站點(diǎn)1: http://www.anywlan,com/bbS。

站點(diǎn)2：http://www.wlanbbs.com。

站點(diǎn)3: http://bigpack.blogbus.com。

3.高位WEP加密是否沒有意義?

答：是的。即使使用高達(dá)512位的WEP加密，***時(shí)間也不會(huì)超過20分鐘。所似，基

于WEP的加密體系已被淘汰。

4.為什么使用Airodump-ng進(jìn)行ArpRequest注入攻擊包時(shí)，速度會(huì)很緩慢?

答：原因主要有兩個(gè)：

(1)可能是該無線網(wǎng)卡對(duì)這些無線工具的支持性不好，比如很多筆記本電腦自帶的

3945\2200G等無線網(wǎng)卡，而且需要注意的是，Windows下的***要求與Linux下的不同，比

如在Windows下目前僅支持Atheros等極個(gè)別芯片。

(2)若只是在本地搭建的實(shí)驗(yàn)環(huán)境進(jìn)行測(cè)試，則也可能會(huì)因?yàn)榭蛻舳伺cAP交互過少，

而出現(xiàn)ARP注入攻擊緩慢的情況，但若是在客戶端很多的環(huán)境下，比如商業(yè)繁華區(qū)或者大

學(xué)科技樓，由于很多用戶在使用無線網(wǎng)絡(luò)進(jìn)行上網(wǎng)，一般情況下攻擊效果都會(huì)很顯著，最短

2～3分即可***WEP。

還有一種情況會(huì)導(dǎo)致***速度緩慢，比如若存在多個(gè)工作在同一頻道的無線路由器，這

些設(shè)備彼此距離并不遠(yuǎn)，則可能會(huì)出現(xiàn)同頻道干擾事件，導(dǎo)致***工具工作不正常。

5.為什么我找不到捕獲的CAP文件?

答：這其實(shí)不屬于技術(shù)問題，雖然在前面使用Airodump-ng時(shí)提到文件保存的時(shí)候，已

經(jīng)說明默認(rèn)會(huì)保存為“文件名-Ol.cap”這樣的方式，但是依舊會(huì)有很多對(duì)Linux命令不夠了

觶的讀者會(huì)抱怨找不到***文件。

例如，若最初捕獲時(shí)我們將文件命名為test，但在aircrack-ng攻擊載入時(shí)使用Is命令查

看，就會(huì)發(fā)現(xiàn)該文件已變成了test-Ol.cap，此時(shí)，將要***的文件改為此即可進(jìn)行***。若

捕獲文件較多，需要將其合并起來***，就是用類似于test木.cap這樣的名字來指代全部的

CAP文件。這里的星號(hào)“木”就指代-01、-02等文件

●-ieth0:這里在.i后面要緊跟無線網(wǎng)卡設(shè)備名稱，中間不要有空格。設(shè)備名應(yīng)根據(jù)實(shí)

際情況輸入，可以輸入ifconfig查看，如-iath0、-iwlan0等。

●-c/etc/wpa_supplicant.conf:一c后面跟上配置文件及其對(duì)應(yīng)路徑。

當(dāng)然，也可以這樣輸入：

-B指的就是使用deamon模式在后臺(tái)運(yùn)行。

當(dāng)正確建立連接時(shí)，就會(huì)出現(xiàn)圖14-1所示的內(nèi)容。

但是在上述提示出現(xiàn)后，在Shell中看起來就像失去響應(yīng)一樣，停止在當(dāng)前的位置，這

是正常的。因?yàn)樵谶@個(gè)Shell中列出的就是所有在后臺(tái)運(yùn)行的網(wǎng)絡(luò)實(shí)際連接狀態(tài)，可以方便

管理員排錯(cuò)。

◇打開一個(gè)新的Shell，輸入：

這樣，就可以建立WPA-PSK加密連接了。

3.無線網(wǎng)卡自帶天線功率較低，能否加裝高功率天線?

答：可以。實(shí)際上很多無線黑客都是這么做的。將現(xiàn)有的網(wǎng)卡進(jìn)行改裝只為方便可外接

天線，通常情況下，黑客會(huì)將無線網(wǎng)卡內(nèi)部的天線電路焊接延長(zhǎng)線，并將其伸出網(wǎng)卡外部，

一般會(huì)在另一端做好標(biāo)準(zhǔn)的天線接口，以便連接天線。圖14-2歷示為將PCMCIA內(nèi)置電路

板的天線位置進(jìn)行重新焊接加裝外置TNC接口。圖14-3所示為將無線網(wǎng)卡接口重新焊接

SMA接口。

14.2加密***類問題

下面都是一些初學(xué)無線安全的讀者在進(jìn)行無線加密***測(cè)試及學(xué)習(xí)中可能遇到的

問題。

6.在Linux下捕獲的CAP文件是否可以放到Windows下坡解?

答：很多情況下是不可以的。因?yàn)閮煞N系統(tǒng)下的工作模式不同，獲取包的方式也不一樣， 經(jīng)過測(cè)試，盡管看起來文件擴(kuò)展名都為.cap，但卻無法導(dǎo)入Windows下類似于WinAircrack、 AiroPeek之類的軟件坡解。但很多時(shí)候卻是可以導(dǎo)入Windows下Shell版本的Aircrack-ng 或者Cain坡解。大家可以自行實(shí)驗(yàn)。

7.有什么高級(jí)加密可以改進(jìn)無線網(wǎng)絡(luò)安全?

答：若設(shè)備支持，可以使用WPA或WPA2加密來強(qiáng)化現(xiàn)有無線網(wǎng)絡(luò)，這種加密因使用 更高級(jí)的算法，大大強(qiáng)化了我們的無線網(wǎng)絡(luò)，但需要注意的是，可能因此無線網(wǎng)絡(luò)整體工作 性能會(huì)稍有下降。

14.2.2 WPA-PSK坡解常見問題小結(jié)

下面是關(guān)于WPA-PSK加密坡解的內(nèi)容，主要是對(duì)無線網(wǎng)卡的選擇、握手?jǐn)?shù)據(jù)包的捕獲、 坡解工具的使用等方面出現(xiàn)的常見問題進(jìn)行解釋和說明。

1.我的無線網(wǎng)卡為何無法識(shí)別?

答：請(qǐng)參考WEP坡解問題匯總內(nèi)容。

2.為什么使用Aireplay-ng發(fā)送的Deauth攻擊包后沒有獲取到WPA握手包?

答：原因主要有兩個(gè)：

(1)可能該無線網(wǎng)卡對(duì)這些無線工具的支持性不好，霈要額外的驅(qū)動(dòng)支持，比如很多筆 記本電腦自帶的3945/2200G無線網(wǎng)卡，需要注意的是，Windows下坡解要求與Linux下的 不同。

(2)可能是無線路由器/AP自身問題，比如有個(gè)別廠商存在一些AP型號(hào)在遭受攻擊后 會(huì)在短時(shí)間內(nèi)失去響應(yīng)，需要手動(dòng)重起或等待片刻才可恢復(fù)正常工作狀態(tài)。

3.為什么我找不到捕獲的CAP文件?

答：請(qǐng)參考WEP坡解問題匯總內(nèi)容。

4.在Linux下捕獲的WPA握手文件是否可以放到Windows下坡解?

答：這個(gè)是可以的，不但可以導(dǎo)入Windows下Shell版本的Aircrack-ng坡解，還可以導(dǎo) 入Cain等工具進(jìn)行坡解。

5.為什么我坡解不出WPA密碼?

答：原因主要有3個(gè)：

(1)默認(rèn)字典不適用。作為BackTrack4 Linux下默認(rèn)自帶的字典，不但體積較小，而且 多是以國(guó)外常用的字符串或者組合制作，并不適合國(guó)內(nèi)的環(huán)境。

(2)自制字典太簡(jiǎn)單。很多讀者自行制作的字典文件一般都比較小，這些字典多數(shù)為生 日類組合、純數(shù)字組合、常見密碼組合等，由于個(gè)體考慮角度的不同，所以不能建立太全面 的字典。

(3)計(jì)算機(jī)配置低。對(duì)于一些反應(yīng)數(shù)天都坡解不出某個(gè)WPA密碼的朋友，這種情 況除了上述的原困外，還有一個(gè)原因是計(jì)算機(jī)的CPU主頻太低，比如使用AMD5000+ 進(jìn)行坡解運(yùn)算時(shí)，速度可達(dá)400個(gè)密碼/秒，而使用雙核T8100的CPU，速度可達(dá)1200 個(gè)f秒。

6.還有什么新的方法可以坡解WPA加密?

答：有的，除了一些技巧之外，主要有以下兩種方法被用于提高WPA坡解速度和效率。

(1)使用WPA PMK Hash庫(kù)來加快坡解效率。

(2)使用顯卡GPU來加快計(jì)算效率。

14.2.3無客戶端坡解常見問題小結(jié)

下面是關(guān)于無客戶端坡解的內(nèi)容，主要是對(duì)無線網(wǎng)卡的選擇、握手?jǐn)?shù)據(jù)包的捕獲、坡解 工具的使用等方面出現(xiàn)的常見問題進(jìn)行解釋和說明。

1.為何WPA加密的無線網(wǎng)絡(luò)不能使用無客戶端坡解?

答：由于加密原理的不同，目前無客戶端坡解并不適用于WPA加密的無線網(wǎng)絡(luò)。

2.為何使用Chopchop無客戶端坡解的速率很慢?

答：這主要取決于對(duì)無客戶端定義的了解，比如該無線網(wǎng)絡(luò)設(shè)備當(dāng)前沒有任何有線或者 無線客戶端的連接，則此時(shí)是沒有辦法進(jìn)行坡解的。此外，無客戶端坡解的時(shí)間也并不穩(wěn)定， 可能由于正好捕獲到合適的無線報(bào)文，使得構(gòu)造注入報(bào)文異常順利，整體時(shí)間大大縮短。也 有可能長(zhǎng)時(shí)間無法獲取到合適的無線報(bào)文，使得攻擊者長(zhǎng)時(shí)間處于等待狀態(tài)。

3.為何使用Fragment無客戶端坡解的速率很慢?

答：參看上一個(gè)問題的解答。

4.為何沒有任何連接的無線網(wǎng)絡(luò)沒有辦法使用無客戶端坡解?

答：首先，應(yīng)確定目標(biāo)無線岡絡(luò)滿足“無客戶端”的定義，具體如下：

(1)當(dāng)前無線網(wǎng)絡(luò)上有無線客戶端相連，但該客戶端基本沒有或者存在少量的網(wǎng)絡(luò) 流量。

(2)當(dāng)前無線接入點(diǎn)上沒有無線客戶端相連，但在有線網(wǎng)絡(luò)上存在連接的客戶端。

(3)當(dāng)前無線接入點(diǎn)上沒有無線客戶端相連，也沒有有線網(wǎng)絡(luò)上存在連接的客戶端。

若不滿足上述條件，比如當(dāng)前無線路由器上既沒有有線連接，也沒有已連接但無網(wǎng)絡(luò)活 動(dòng)的無線客戶端，或者直接就是一臺(tái)沒有任何物理網(wǎng)絡(luò)連接的無線路由器，則對(duì)于這樣的情 況是沒有辦法使用無客戶端坡解技術(shù)的。 14.2.4 WPS坡解常見問題小結(jié)

下面就較為新穎的WPS功能坡解中可能出現(xiàn)的問題進(jìn)行解釋，供大家參考。

1.無線網(wǎng)卡外部中沒有WPS按鍵是不是就意味著不支持WPS功能?

答：目前大部分支持WPS功能的無線網(wǎng)卡在外部基本都設(shè)計(jì)有一個(gè)WPS按鍵，可以直 接看到。但是也存在個(gè)別無線網(wǎng)卡外表雖然沒有設(shè)計(jì)這個(gè)按鍵，但是實(shí)際卻支持WPS功能， 比如現(xiàn)在市面常見的一些高功率無線網(wǎng)卡。具體可以在購(gòu)買前仔細(xì)查看外包裝或者產(chǎn)品說明 上是否出現(xiàn)WPS的描述。

2.是不是WPS的攻擊實(shí)施很困難?

答：是的。嚴(yán)格來說，利用無線設(shè)備的WPS功能進(jìn)行的WPA坡解攻擊屬于一種技巧. 而非一項(xiàng)技術(shù)。這種技巧的實(shí)現(xiàn)依賴于其他攻擊方式的配合，如定制腳本等。所以，對(duì)于絕 大多數(shù)新手來說，該技巧仍顯得有些雞肋。但是對(duì)于 無線網(wǎng)絡(luò)管理員來說，多了解不同方式的無線攻擊行 為，有助于維護(hù)無線網(wǎng)絡(luò)的安全和穩(wěn)定。

3.Linux下是否支持WPS功能?

答：支持。圖14-4所示為L(zhǎng)inux下的WPS配置 工具頁(yè)面。具體可以參考如下站點(diǎn)進(jìn)行深入學(xué)習(xí)：

14.3無線攻擊類問題

14.3.1 內(nèi)網(wǎng)滲透類

1.NMAP是否可以在Windows下的CMD中使用?

答：可以，只要是通過標(biāo)準(zhǔn)的NMAP安裝包正常安裝的，都可以自動(dòng)將路徑寫入到注 冊(cè)表中，這樣只要打開任意一個(gè)CMD窗口，就可以在其中輸入NMAP，并調(diào)動(dòng)。

2.Hydra是否能夠滿足所有在線坡解的需要?

答：雖然Hydra的功能很強(qiáng)大，但是由于自身設(shè)計(jì)的原因，加上目前很多服務(wù)都已經(jīng)進(jìn) 行了優(yōu)化，比如設(shè)定了連接超時(shí)或者同一來源單位時(shí)間內(nèi)連接次數(shù)的限制等，這些都導(dǎo)致了 包括Hydra在內(nèi)的很多款在線密碼坡解類工具效果的降低。所以，根據(jù)不同的情景，使用不 同類型的工具，或者配置不同的超時(shí)策略將能夠增加工具的坡解效率，但這些都依賴于使用 者自身的經(jīng)驗(yàn)。

3.為何在安裝Metasploit酌過程中，殺毒軟件會(huì)報(bào)警?

答：因?yàn)镸etasploit內(nèi)置了許多黑客類工具來輔助溢出攻擊測(cè)試，這些工具和腳本中包 含的侵入性代碼引起了殺毒軟件的注意，所以一般情況下，若想在Windows下順利地使用 Metasploit，則應(yīng)當(dāng)在殺毒軟件中將Metasploit主程序添加為“例外”或者“受信任程序”。

4.為何在Metasploit的升級(jí)過程中，殺毒軟件會(huì)報(bào)警?

答：與上述問題原因類似，由于在Metasploit 升級(jí)過程中，一些具備威脅性的腳本及代碼被下載 到本地，這對(duì)于一些開啟網(wǎng)絡(luò)傳輸流量監(jiān)控的殺毒 軟件來說，自然會(huì)被攔截�？梢酝ㄟ^在殺毒軟件中 將Metasploit主程序添加為“例外”或者“受信任程 序”，并設(shè)置為“不掃描該程序的網(wǎng)絡(luò)流量”。圖14-5 所示為在卡巴斯基殺毒軟件中設(shè)置任意程序?yàn)榭尚?程序，并可就具體排除對(duì)象進(jìn)行勾選，如“不掃描 網(wǎng)絡(luò)流量”等。

14.3,2 無線D.O.S

1.如何避免遭受無線D.O.S攻擊?

答：將無線路由器上默認(rèn)開放的SSID配置為隱藏是一個(gè)簡(jiǎn)單有效的方法，這樣可以使 絕大多數(shù)攻擊者找不到真正的目標(biāo)所在。

2.如何鎖定攻擊來源?

答：一些國(guó)外的大型無線廠商提供了企業(yè)級(jí)無線安全解決方案，其中就有在辦公樓的重 要區(qū)域部署大量的無線傳感器，來探測(cè)無線信號(hào)的密集度。當(dāng)發(fā)現(xiàn)某個(gè)區(qū)域出現(xiàn)不正常的無 線數(shù)據(jù)流時(shí)，將根據(jù)無線數(shù)據(jù)內(nèi)容來判斷是否遭受到無線D.O.S攻擊或者偽造AP攻擊。那 么，根據(jù)事先繪制的辦公區(qū)域地圖，就能夠較為快捷地找到攻擊發(fā)起源。當(dāng)然，這樣的部署 方案及產(chǎn)品費(fèi)用不是一般企業(yè)所能承受的。

3.無線D.O.S攻擊是否和無線網(wǎng)卡的芯片有關(guān)系?

答：目前正在被廣泛使用的無線D.O.S工具，都支持市面上常見的幾個(gè)無線網(wǎng)卡芯片類 型，如Atheros、Ralink、Realtek等。不過需要強(qiáng)調(diào)的是，并不是這幾個(gè)廠商的全部型號(hào)芯 片都支持，比如Realtek的RTL8187是支持的，其他如RTL8256就不支持。而對(duì)于一些較 為特殊的無線網(wǎng)卡芯片，如PrismGT，目前大多數(shù)無線D.O.S工具確實(shí)已不再支持。

4.當(dāng)前無線網(wǎng)絡(luò)沒有任何無線客戶瑞相連，無線D.O.S是否還能夠造成破壞?

答：無線D.O.S攻擊可以導(dǎo)致當(dāng)前無線網(wǎng)絡(luò)已經(jīng)連接的所有無線客戶端全部掉線，即使 沒有客戶端連接，攻擊者也可以通過不斷向AP發(fā)送Deauth攻擊報(bào)文，來迫使AP無法接受 任何連接請(qǐng)求，從而達(dá)到干擾隨時(shí)可能的正常連接的目的。

14.4安全防御類問題

下面都是一些初學(xué)無線網(wǎng)安全的讀者在進(jìn)行無線網(wǎng)安全防御及日程維護(hù)中可能遇到的 問題或者關(guān)心的方面，列舉出來供大家參考。

14.4.1 WLAN的基本安全配置

下面將從多個(gè)角度來幫助家庭無線網(wǎng)用戶及公司無線網(wǎng)管理員改進(jìn)目前存在安全風(fēng)險(xiǎn) 的無線網(wǎng)絡(luò)部署現(xiàn)狀。

1.物理防護(hù)

絕大多數(shù)無線AP所處位置都非常容易被人接觸到。它們通常被部署在離辦公環(huán)境較近 的位置或者位于房屋外部。由前面介紹的無線攻擊技術(shù)可知，這樣的無線接入點(diǎn)很容易吸引 攻擊者的注意，或者直接被人偷竊。由于幾乎所有的無線設(shè)備都提供了通過Reset重置按鈕 復(fù)位AP的能力，使得失竊AP可以很容易地重新使用。

對(duì)于企業(yè)來說，盡管直接盜竊AP的可能性比較小，但如果可能，從一開始規(guī)劃無線網(wǎng) 絡(luò)設(shè)計(jì)時(shí)，就應(yīng)將AP放置在一個(gè)無法輕易接觸的位置，必要時(shí)可以將設(shè)備和支架直接鎖住。 再配一個(gè)圖14-6歷示的監(jiān)視器裝置，就可以有效地減少直接被物理接觸的可能。這些方法 同樣適用于使用內(nèi)置無線網(wǎng)卡的臺(tái)式電腦，比如網(wǎng)吧、’機(jī)房等地。

而為了防止可疑人員非法滲透進(jìn)敏感機(jī)房、搭建非法AP或者破壞現(xiàn)有AP等行為，應(yīng) 對(duì)機(jī)房設(shè)置嚴(yán)格的安全保密規(guī)章制度，如嚴(yán)格限定能夠進(jìn)入中心機(jī)房人員名單、安裝機(jī)房監(jiān) 控設(shè)備、管理員定期按照標(biāo)準(zhǔn)步驟檢查機(jī)架后面線纜及插座情況等。對(duì)于ISP及大型企業(yè)中 心機(jī)房、政府電子政務(wù)機(jī)房、研究所及高校重點(diǎn)實(shí)驗(yàn)室等敏感機(jī)房，都應(yīng)提前做好安全策略 及應(yīng)急響應(yīng)預(yù)案。圖14-7所示為室外型AP。

圖14-6 圖14-7 2.

升級(jí)硬件設(shè)備

通常最新銷售的無線網(wǎng)絡(luò)設(shè)備是安全的，但作為無線安全管理人員，應(yīng)當(dāng)經(jīng)常關(guān)注無線 設(shè)備制造商的網(wǎng)站，查看最新的漏洞及相關(guān)補(bǔ) 丁公告，并及時(shí)為設(shè)備安裝廠商發(fā)布安全更新 或升級(jí)程序。圖14-8所示為D-Link DI-604+ 型無線路由器的Firmware升級(jí)頁(yè)面，該升級(jí) 文件是從官方網(wǎng)站下載的BIX文件。

圖14-8

表14-1為主要無線產(chǎn)品官方網(wǎng)站列表， 供讀者參考。不同型號(hào)無線網(wǎng)絡(luò)設(shè)備的最新 升級(jí)包可以到下述對(duì)應(yīng)廠商官方網(wǎng)站查找及 下載。

表14-1

3，Telnet/SSH

對(duì)于某些支持管理員通過Telnet進(jìn)行無線接入點(diǎn)配置的產(chǎn)品，應(yīng)將Telnet替換成SSH。 因?yàn)門elnet是沒有加密的協(xié)議，所以從安全角度考慮，應(yīng)禁用Telnet，只使用SSH。SSH客 戶端用于連接到運(yùn)行SSH的AP，常用到的SSH客戶端有Putty、SecureCRT等。

圖14-9所示為使用Putty登錄Fon無線路由器的 工作界面。

4.定期修改SSID或隱藏SSID

SSID參數(shù)在設(shè)備默認(rèn)設(shè)定中是被無線路由器或 者AP廣播出去的，客戶端只有收到這個(gè)參數(shù)或者手 動(dòng)設(shè)定與其相同的SSID才能連接到無線網(wǎng)絡(luò)。如果 把這個(gè)廣播禁止，一般的漫游用戶在無法找到SSID 的情況下是無法連接到網(wǎng)絡(luò)的。

此外，在選取AP的SSID名稱時(shí)，應(yīng)注意以下 幾點(diǎn)：

●不要使用公司或部門名稱作為SSID，如

Chinanetworks、Nsfocus等。

●不要使用接入點(diǎn)默認(rèn)的名稱，如TP-LINK、Linksys等。

●不要使用測(cè)試用SSID，如TestWLAN、Importent_Lab等。

5.MAC地址過濾

這種方式就是通過對(duì)無線路由器或者AP的設(shè)定，將指定的無線網(wǎng)卡物理地址輸入到 AP中。而AP對(duì)收到的每個(gè)數(shù)據(jù)包都會(huì)做出判斷，只有符合預(yù)設(shè)MAC地址的才能被轉(zhuǎn)發(fā)， 否則將會(huì)被丟棄。基本上現(xiàn)在市面出現(xiàn)的無線設(shè)備都支持MAC地址過濾。

圖14-10所示為在D-Link無線路由器中進(jìn)行MAC地址過濾配置。

6.以WPA取代WEP

現(xiàn)在幾乎所有的無線客戶端、無線路由器及AP都已經(jīng)全面支持WPA協(xié)議，在WEP加 密已縊失去安全意義的今天，無論是家庭用戶還是辦公環(huán)境，都應(yīng)當(dāng)啟用WPA-PSK來代替 WEP，提高安全性。圖14-11所示為配置無線路由器的安全方式為WPA-PSK。

圖14-10 圖14-11

7.在WPA/WPA2加密密碼中使用特殊字符。

前面已經(jīng)講述了針對(duì)WPA加密的暴力坡解。可以看到，這些坡解都是在密碼中采用大 小寫字母、數(shù)字及標(biāo)點(diǎn)符號(hào)的情況下使用的。細(xì)心的人可能會(huì)發(fā)現(xiàn)，這些字符其實(shí)都是在鍵 盤上可以輸入的，那么，有這樣一種技巧可以考慮，只要我們?cè)赪PA密碼中輸入一些鍵盤 上不能夠直接輸入的符號(hào)，就可以避免密碼被輕易坡解!比如可以加入類似的“**Olog一⑤” 來強(qiáng)化WPA密碼，不過要注意的是，有個(gè)別無線接入點(diǎn)/路由器以及少數(shù)無線網(wǎng)卡，并不支 持這些特殊符號(hào)。

8.隔離AP或者降低AP信號(hào)發(fā)射功率

通過降低AP發(fā)射功率，更換低增益天線等方式可以將無線網(wǎng)絡(luò)設(shè)備的信號(hào)覆蓋范圍盡 可能縮減到辦公區(qū)域內(nèi)，當(dāng)然，也可以將所有的無線客戶端設(shè)備完全隔離，使之只能訪問 AP連接的固定網(wǎng)絡(luò)。對(duì)于特別部門，可以考慮在機(jī)要科室部署法拉第籠，在涉密房間墻壁 上噴涂抗電磁輻射涂料等方式對(duì)無線信號(hào)工作范圍進(jìn)行嚴(yán)格的限定。

另一個(gè)降低功率的方法就是可以將設(shè)備刷成DD-WRT。這樣，通過對(duì)圖14-12所示的 TX Power功率的調(diào)整可以將DD-WRT無線信號(hào)發(fā)射功率調(diào)整至適合用戶的實(shí)際需求，從而 將無線設(shè)備的無線信號(hào)保持在一個(gè)較小的可信區(qū)域內(nèi)。

如圖14-12所示，我們開啟DD-WRT無線設(shè)備，打開瀏覽器在地址欄中輸入http://192.168.1.1/按【Enter]鍵，輸入登錄用戶名和密碼，然后找到“無線”標(biāo)簽下的“高 級(jí)設(shè)置”，在TX Power功率處能夠看到在默認(rèn)情況下DD-WRT設(shè)備的發(fā)射功率為28mW， 這也是大多數(shù)無線設(shè)備的標(biāo)準(zhǔn)發(fā)射功率。從后面的提示可以看到我們能夠隨意修改這個(gè)發(fā)射 動(dòng)率，大小范圍為0～251mW。那么，我們只需要將TX Power功率修改為10～30mW，就 能夠有效地將信號(hào)的覆蓋范圍縮小到一個(gè)很小的區(qū)域。

14.4.2企業(yè)WLAN安全

對(duì)于企業(yè)無線管理員來說，除了上述的技巧和方法外，還有一些方法可以參考。

1.使用WPA2

WPA2與WPA后向兼容，同時(shí)支持更高級(jí)的AES加密，能夠更好地解決無線網(wǎng)絡(luò)的安 全問題。若設(shè)備支持，作為企業(yè)環(huán)境，應(yīng)將加密方式 設(shè)置為WPA2。圖14-13所示為配置無線路由器安全 方式為WPA2-PSK。

2.采用802.1x身份驗(yàn)證

802.lx協(xié)議由IEEE定義，用于以太網(wǎng)和無線 圖14-13 局域網(wǎng)中的端口訪問與控制。802.lx引入了PPP協(xié) 議定義的擴(kuò)展認(rèn)證協(xié)議EAP。作為擴(kuò)展認(rèn)證協(xié)議，EAP可以采用MD5、一次性口令、智 能卡、公共密鑰等更多的認(rèn)證機(jī)制，從而提供更高級(jí)別的安全。在用戶認(rèn)證方面，802.lx 的客戶端認(rèn)證請(qǐng)求也可以由外部的Radius服務(wù)器進(jìn)行認(rèn)證。該認(rèn)證屬于過渡期方法且各 廠商實(shí)現(xiàn)方法各有不同，所以有時(shí)存在兼容問題。但由于Radius部署成本性價(jià)比較高， 目前已成為大中型企業(yè)無線網(wǎng)絡(luò)強(qiáng)化的首選。

圖14-14所示為配置無線路由器安全方式為WPA，并配置RADIUS服務(wù)器IP地址和端 口，最后設(shè)定RADIUS密碼。

3.VPN

關(guān)于VPN的類型有很多種，其中，相對(duì)于簡(jiǎn)單的PPTP VPN，IPSec VPN采用IPSec定 義的服務(wù)保證網(wǎng)絡(luò)中數(shù)據(jù)通信的機(jī)密性、完整性和身份驗(yàn)證。IPSec也可用于保證WLAN的 安全，而且安全性要遠(yuǎn)高于傳統(tǒng)的PPTP VPN。IPSec VPN可通過在802.11無線網(wǎng)絡(luò)上部署 IPSec服務(wù)來實(shí)現(xiàn)。圖14-15所示為采用IPSec的無線客戶端。

圖14-14 圖14-15

4.劃分VLAN

VLAN是一個(gè)交換網(wǎng)絡(luò)，它在邏輯上按照功能、項(xiàng)目組或應(yīng)用進(jìn)行劃分，而不是物理上 或地理上的劃分。例如，某個(gè)工作組使用的工作站和服務(wù)器可以劃分到同一個(gè)VLAN，而不 用顧忌它們的物理網(wǎng)絡(luò)連接，甚至它們可以在物理上和其他工作組混合在一起。我們可以使 用VLAN達(dá)到通過軟件重新配置網(wǎng)絡(luò)的目的，而不是物理地拆卸和移動(dòng)設(shè)備與線路。

對(duì)于無線AP來說，可以直接劃分為多個(gè)VLAN，可采用不同的SSID與之對(duì)應(yīng)，在不 同的VLAN中可采用不同的安全加密類型。