当前位置: 首页>>技术交流>>正文
无线ssid标识是网络安全的第一道防线
2014-08-20 12:27  
一、什么是无线ssid标识,如何配置

  ssid/essid(service set identifier)也就是“服务区标识符匹配”、“业务组标识符”的简称,最多可以有32个字符,通俗的说,它就好比有线局域网中的“工作组”标识一样或好比是无线客户端与无线路由器之间的一道口令一样,只有在完全相同的前提下才能让无线网卡访问无线路由器,这也是保证无线网络安全的重要措施之一。

  配备无线网卡的无线工作站必须填写正确的无线ssid标识,并与无线访问点(ap或无线路由器)的ssid相同,才能访问ap;如果出示的ssid与ap或无线路由器的ssid不同,那么ap将拒绝他通过本服务区/工作组上网。因此可以认为ssid是一个简单的口令,从而提供口令认证机制,实现一定的安全。要更改无线网卡的ssid除了在无线网卡配置程序中更改外,还可再操作系统中直接更改。

  以windows98为例,进入windows系统中,右键“网上邻居”,点击“属性”。在“网络配置”中选定要修改的网卡,在“网络”中选中在使用的无线网卡适配器名称,选中该网卡之后,单击“属性”,再选择“高级”栏。在“高级”选项中的ssid/essid选项中填入无线ap或路由的ssid名称,再在ssid/essid选项中填入键值也是ssid名称即可。

  然而无线接入点ap向外广播其ssid,使安全程度下降。另外,一般情况下,用户自己配置客户端系统,所以很多人都知道该ssid,很容易共享给非法用户。 标准工作组还表示:有的厂家支持“任何(any)”ssid方式,只要无线客户端处在ap范围内,它都会自动连接到ap,这将绕过ssid的安全功能。所以在无线局域网接入点ap或无线路由上对此项技术的支持就是可不让ap或无线路由器广播其ssid号,这样无线工作站就必须提供正确的ssid才能与ap或无线路由器相联。

  二、无线ssid标识是否能保障无线使用安全

  ssid的安全问题主要来自两类用户群:一是初接触无线网络的个人用户、办公用户,以及对安全不太关心的此类用户,他们一般采用无线ap或路由所默认使用ssid的允许广播方式;一是用于公共无线网络的无线热点(也就是无线接入点,亦由无线ap或无线路由组成,如宾馆、图书馆、酒吧、大中学校园等等),为了让服务区内所有公众或用户使用无线接入,其同样使用开启ssid广播方式。

  在最近两年里,wlan无线局域网正普遍受到主流用户的青睐,从家庭、校园一直到咖啡店之中,各种无线接入点都可能会存在。无线局部网络设备本身具有的高性价比的特点,也让任何人都可以建立一个无线接入点。对于一个需要任意广播其ssid的无线接入点来说,不怀好意或黑客都可以使用相同ssid进入任一个802.11接入点,并轻而易举的盗取用户的有价值资料。

  此外,另一种问题就是,如果一个公共无线接入广播了其无线ssid标识,只要懂一点技术的人都知道使用同一个ssid便可以设置另一个802.11接入点,如果此信号比热点的信号强或者不比其差的时候,一般用户都会很容易的选择强者并根据熟悉的ssid而进入,你在“免费”享用它的服务的同时,您的一切更是在该“evil twin真假孙悟空”一样的假悟空无线接入点的掌握之中。为了方便性,而在windows操作系统中,由于用户在设置无线网络时一般设置无线网络自动连接到相同的无线网络,dhcp不会真正地关心你连接的是哪个热点,这更让用户不知不觉的进入与公共无线接入点类同的ssid无线接入点中。

  所以,对于一般用户来说,在通过无线接入点免费“服务”大众的同时,如果自己有较重要的资料需要安全保障(比如各种用户名和密码等等),还是在实际设置时,将大多数无线ap或无线路由器在出厂时默认的“允许广播ssid”设为“不广播ssid”。这样其它用户要想自动进入你的无线接入点,就要先手工输入正确的“ssid”才能进入网络,这先在一定程度上可保证了wlan的使用安全,防止不怀好意的用户在并不太安全或并不太懂安全的个人wlan里随意乱逛。

  除此而外,除了windows xp等操作系统(802.11i标准扩展了ssid广播的定义,可以在原有的广播包内部放入扩展无线ssid标识的信息;windows xp sp2 的wpa2/802.11i相关补丁,都可以查看到扩展的ssid)中可自动扫描无线接入点外,大家会发现在主流无线网卡的驱动/配置程序中的“ssid”选项中也会有一个“any(first available access point)”,这个是干什么用的呢?其实它就是自动侦测信号最强的无线网络ssid的意思,当你在有多个无线网络或无线网络情况不明的区域使用无线网卡时,可选中此项,其将自动侦测无线ssid标识并连入无线网络。这就是广播ssid后能被几乎所有配有无线网卡的移动设备轻易进入的原因。

  所以对于需要安全的用户来说,可以采用mac地址访问控制、wep、802.11x、wpa等安全标准来实现无线接入点的安全。但事物的优/劣也多半是相辅相成的,首先是wep本身就容易被破解,而且并不是所有的无线网卡都支持128位或以上加密方式wep key乃至802.11x、wpa,有的老无线网卡可能只支持40位方式的加密或64位方式的加密,还有的根本就不支持。也并非所有网卡都能支持802.11x和wpa标准,部分网卡通过升级驱动可以支持,而多数早期网卡根本就不能支持。

  所以在设置无线ap或无线路由器的wep、802.11x、wpa加密时还需要根据无线网卡的情况来计划进行设置,而对于公无线热点来说,进行这些无线安全设置根本就不可能(mac地址访问控制更不现实),因为它本身就是服务性质的。所以个人计算机用户在进入无线热点时还是少设共享文件必需安装防火墙软件(设成高级别)等等。
上一条:三分钟轻松学会DOS下杀毒
下一条:如何提高开机速度?
关闭窗口