EIP - Everything Is Possible

当然,还是鼓励大家多行善事,只是这里要讨论的主题不是”行善事”,而是要讨论一下无线基地台(AP)里的一些”小”设定,这些”小”设定看似不起眼,但是对于小规模(家用或SOHO)的无线局域网之安全性而言却具有一定程度的保护作用。

关闭SSID广播

当使用者打开无线装置(device),如果这个装置位于某个AP的可用讯号范围内,在无线装置的”可用网路”中,可能会看到这个无线AP的名称(SSID),这是因为AP会定时广播自己的网路名称(SSID),好让无线装置可以知道它的”存在”。关闭SSID广播,使用者须以手动的方式输入网路名称(SSID),无线装置再以主动扫瞄的方式来”寻找”AP,在家用或SOHO使用的规模里,如此作法,可以使无线局域网处于”某种程度的隐藏”。(大规模或公司企业的布署,关闭SSID广播的作法,可能反而增加管理的负担,与其如此,倒不如采用更为”正式”、严谨的安全性作法,例如使用WPA或WPA2)

变更预设(default)的SSID

就算把无线局域网”隐藏”起来,但”闲杂人等”还是可以手动的方式输入网路名称,让无线装置(device)进行主动扫瞄,只要在网路上”Google”一下,就可以找到很多预设名称(SSID)的”可用范例”。所以除了关闭SSID广播之外,不要忘了再变更一下预设(default)的网路名称(SSID)。

使用加密(encryption)

若是你的无线AP以及装置(device)上的无线网卡均支持最强的加密协定 - CCMP或AES,请使用它!!若是你的无线AP或装置上的无线网卡所支持的”最强”加密协定仅有WEP,那么,还是请你使用吧!!(当然,能定期变更WEP金钥更好)

使用验证(authentication)

若是准备要采购无线设备的话,建议购买支持WPA2/WP2 PSK标准的AP以及无线网卡,这样至少可以使用WPA2-PSK的模式来进行使用者的验证,并搭配CCMP或AES加密协定。(如果可以的话,最好也是定期变更pre-share key)

对于已经在使用早期无线设备的使用者而言,早期无线设备可能仅支持简单的开放系统验证(open-system authentication)、共享金钥验证(shared-key authentication)以及WEP加密,建议采用”开放系统验证加WEP加密”的方式,因为共享金钥验证的方式已经被证实,反而会导致WEP更容易遭到破解。

(对于家用或SOHO而言,若是安全考量”非常大于”成本考量的话,当然也可以实施IEEE 802.1X的验证方式)

使用ACL(Access Control List)

大部份的无线AP都会提供MAC位址过滤(MAC address filter)的功能,也就是设定允许或限制清单(list)上的MAC 位址进行连线。如果无线AP有提供这样的功能,建议查看一下无线装置上无线网卡的MAC位址,并且在无线AP把ACL设定起来吧!!

限制传输功率(Transmit Power)的大小

同样的,这也是大部份的无线AP会提供的功能,有些会以百分比(%)来表示,有些则以高、中、低来表示。当无线电波的含盖范围(coverage)超过你想提供无线服务的范围时,这种情况也可以称之为溢波。当有这种情况发生时,任何人可能在楼梯间、走道或隔壁办公室就可以”接触”到你的无线局域网电波。可以借着调整传输功率的大小,来防止无线电波范围太广。

使用安全连线来进行设定

大部份的无线AP都是透过HTTP以浏览器的方式来进行设定,少部份的无线AP会提供telnet的方式。但是不管是HTTP或telnet都是以未经加密的方式来连线,若是遭到来自网路的窃听,攻击者就可以很容易得知管理者的密码。所以有些无线AP会提供HTTPS或SSH,以经过加密的连线方式来进行设定,采取这种作法对于为了因应远端维护或希望透过有经验的使用者来进行设定而开放”远端连线管理”的无线AP而言格外重要!!

更改预设(default)的管理者密码

前面提到过,只要在网路”Google”一下,就可以找到很多预设值(default)的”参考资料”,当然也包括各厂牌无线AP的管理者预设密码啰!!所以即使透过加密的方式来进行无线AP的设定可以有效防止管理者密码遭到窃听,但是若没有配合着去更改预设管理者密码,”有心人士”只要稍微试一下,就可以……嘿嘿嘿!!

(有些无线AP甚至提供让使用者去更改像admin、root诸如此类的预设管理者名称)

设定防火墙

如果无线AP同时还扮演着边界路由器(无线匣道器)的角色的话,防火墙的设定就很重要了,幸运的是,现在有些无线匣道器已经预设好一些基本的过滤(filter)规则(rule)或原则(policy),甚至有SPI的功能,使用者只要启动或enable即可。但毕竟设定防火墙是一项专业,设定防火墙的原则(policy)本来就不是一件简单的事,甚至于还要经过反复的测试或入侵测试,尤其对于一般使用者而言,建议最好找一下有经验的朋友帮忙或是请经销商的工程师代劳。

当然,以上这些”小手段”对于”资讯安全专家”而言或许只能算是”消极”的安全作法(例如可以借着收集主动扫瞄的probe request得知”被隐藏”的SSID或是MAC位址可以伪造等)。但是,多上个几道锁,就算不是上等的好锁,至少可以防止”一般闲杂人等”随意进出家里大门,对吧!!