无线路由器安全必读

 

今天看了个新闻，说蹭网器趋于产业化云云，实际上我们都知道淘宝上老早就可以以100多块的价格买到好用的蹭网器。
哪怕是没有什么黑客知识的人，只要用它就可以轻易的破解无线路由设置的WEP类型密码，同时曾网器配套的无线网卡功率经过了加强，可以很轻易的连到数百米外的AP，这无疑给我们家里的无线网络带来了很多安全隐患。那么我们怎么做才能尽量保持无线网络的安全呢？

总结了一下，主要要做以下几步：

1、更换加密方式
目前“蹭网卡”破解WEP加密模式的无线网络几乎不费吹灰之力，所以要对无线的密码网络进行升级，使用WPA2-PSK（也叫WPA2-Personal）加密方式式（更安全的则是WPA2-Enterprise，通过数字证书配合远程认证服务器来做身份验证，可惜一般家用 AP并不支持且过于繁琐）

理论上，WPA-PSK和WPA2-PSK也都存在被破解的可能，黑客利用很普通的软件（如Wireshark）即可获取WPA握手包，然后如果用暴力破解的方式大约2~7天即可破解一个包含小写字幕和数字的5位WPA-PSK密码。更可怕的是，06年就有人演示过利用WPA-PSK Hash Tables来加快破解速度的方法，把破解的速度提高了近1000倍。尽管目前简历这个Table还是非常困难的，但是现在任何人都可以从黑客手里以$100左右的价格买到一个已经建立好的WPA-PSK Hash Tables。所以，仅仅是修改加密方式并不能解决问题。

2、设置高强度的密码
选择了SPA- PSK/WPA2-PSK加密方式以后，需要设置一个尽可能高强度的密码。关于密码，最简单的原则就是包含数字、大小写字母和特殊符号（如@,#,$等等），长度大于10。另外考虑到WPA-PSK密码破解的特点，请并且尽量不要在密码中包含英文单词，尽量用乱序字符（目前WPA-PSK Hash Tables都是老外在做，能查到的英文单词几乎都逃不过他们的密码字典，或许以后汉语拼音也逃不掉 ，这会使得密码被破解的难度明显增加。

3、修改SSID，并关闭SSID广播
简单点说SSID就是用来区分每个不同无线局域网络的名称。由于利用WPA-PSK Hash Tables来破解WPA-PSK密码时需要指定预攻击AP的SSID，所以我们保护SSID也变得很重要。而一般无线路由器出厂时都会有一个默认的 SSID，一般都以厂商的名字来命名，比如“D-Link”，或者”TP-Link XXX”等等。我们第一步要做的就是给自己的无线路由器设置一个比较特别的SSID。另外，一般无线路由器默认都会广播SSID，这样我们怎么都逃不出蹭网者的魔爪，所以我们需要将其关闭。

4、设置MAC地址过滤
尽管MAC地址可以伪造，不过这招还是值得一用，起码可以直接摆平只会用蹭网器而不知其原理的人。
一般我们需要将路由器的防火墙设置打开，并且添加允许连接无线路由的MAC地址（需要修改过滤规则为“指允许列表中的MAC地址访问 Internet”）

5、修改无线路由器登陆的用户名和密码
进入无线路由器的设置页面，是需要用户名和密码的，默认情况下很多用户名密码都是admin，如果不修改这个用户名和密码的话，一旦有人成功破解了WEP，或者WPA-PSK的密码，就可以轻易的取得整个路由器的控制权。

有了以上几招，一般用户想蹭你的无线网络基本上就没戏了，不过黑客就另当别论:D。

原创：http://www.yigamen.com/read-htm-tid-500.html