详谈无线网络的SSID和MAC地址安全设定

    SSID值的设定

    每个无线网络都有一个识别名称，称为服务集标志符（Service Set Identifier即SSID）。 所有无线路由器或无线AP，都有自身的无线网络名称，而且所有无线网络的客户端，都必须提供与之对应的无线网络名称，才能成功建立无线连接。

    因此在购买无线产品后，首先需要更改预设的无线网络名称，并关闭无线网络名称广播模式。这样才不至于与同类产品发生信号交替的情况。在浏览器地址栏里输入无线AP的默认IP地址，进入其管理界面后找到类似下图所示界面，取消“广播SSID”前的复选，再点击“保存”按钮即可。

    然后将SSID值修改为自己容易记住的值，再打开无线连接计算机上的网卡设置，在高级属性设置下，也将SSID值设为与无线AP一致；这样即可建立安全的无线连接了。

    SSID值就像钥匙和锁对应的原理，AP上的SSID就是锁，网卡上的SSID就是钥匙。它需要通信双方设置的配合，属于一种“软”性的设置。其安全性相对较高，因为只要保证自己设置的SSID值够复杂，或者够长度，那么入侵者是很难破解的。

    而且实现容易，只需告诉连接端SSID值即可方便地建立连接；也可随时更换SSID值，保证长期安全。此种方式笔者认为更适合在随意性较大的无线环境中，比如经常有客户端接入，又经常有另外的客户端离开的情况。

   MAC地址控制

    每个工作正常的网卡都有一个独一无二的MAC地址，如果你在无线路由或无线AP中只允许所认识的MAC地址使用，那也大大降低了外来入侵的可能。目前几乎所有无线路由都有这样的功能，其设置也比较简单，是一个既方便又行之有效的自我保护方法。而如果对某些有入侵记录的MAC地址同样可以进行禁用。

    设置举例：

    STEP 1：获取无线网卡MAC地址

    这有很多种方式可以达到目的，比较常用的办法是进入DOS运行环境，输入“ipconfig/all”命令；然后找到“Physical Address”字段，后面列出的6组数值即为网卡MAC地址。

    STEP 2：设置无线路由器

    无线路由器里设置“MAC地址控制”选项一般在“访问控制”中进行。如下图所示，要进行MAC地址控制，可勾选“只允许选取的无线客户端”选项；然后单击“选择客户端”按钮，输入刚才查到的客户端网卡的MAC地址即可。

 
   MAC地址控制属于一种“硬”性的安全设置。但就笔者认为，它不够SSID设置安全，而且设置相对麻烦一些。有些读者可能会认为，MAC地址还不够安全吗？正是因为它是固化在网卡中的数据，修改起来相对麻烦，而且如果入侵者通过一定方式盗取，你将无法避免！

    另外，使用MAC访问控制针对中小企业是很好的安全方案，但是对于大型企业则会存在诸多问题：你要对每个AP进行MAC配置；每个AP接收MAC的数量是有限的，如果MAC太多，会降低速率，同时可能会因为溢出导致系统崩溃；而一但增加或减少用户，则每个AP都需要刷新一次，所以管理起来非常的麻烦。

    而且入侵者也可通过MAC欺骗技术来骗取AP的信任，如果AP不做任何安全设定，则任何一个符合Wi-Fi的网卡都可以登陆到网络上，对网络构成严峻威胁。因此笔者认为“MAC地址控制”方式适合在较固定或保密的环境中使用，再通过一些软硬件方面的设置来杜绝修改MAC地址，则可保证此无线网络固若金汤！

    知识加油站：比如想获得无线局域网内某台名为“admin”客户机的MAC地址，可先用Ping命令：Ping admin；这样在我们主机上面的ARP表的缓存中就会留下目标地址和MAC映射的记录，然后通过“ARP A”命令来查询ARP表，这样就得到了指定主机的MAC地址；再通过其它方式将这个MAC地址修改，入侵都即可利用修改前的MAC地址登录无线网络了，而那台名为“admin”的客户机则无法连入。

    后 记：

    以上介绍了两种在无线网络中的安全设置手段，它们的优缺点各参半。在某种无线环境中也可混合使用，但对普通家庭无线网络来说，还是选择SSID设置的方式更方便一些。另外这里也要提一下无线网络中WEP(等同于有线的加密)方式对数据加密的手段，通过这种方式加密后的数据信号即使被人截获，也不易破解。但其也存在不足：这主要是指无线网卡和AP设定WEP 后，要占用系统的CPU资源，如果是采用40位加密，一般将损失5%的带宽；如果采用128位加密则要损失更多的带宽。