针对无线网络潜在的安全问题,首先必须发现网络中的可疑者。第一步大家应该检查无线网络的IP配置,在“开始→运行”处键入CMD,然后在命令行模式下键入Ipconfig查看分配到的IP地址(图1),并且记下默认的网关地址(即路由器地址)。
例如在图1中,这台主机分配到192.168.5.249地址,默认的网关为192.168.5.100。
了解网络的配置后,我们就可以使用某些端口扫描软件(如LANguard、PortScan等)对网络进行扫描,了解网络上是否存在可疑的主机。为了加速扫描的过程,我们一般只须对本网段进行扫描。在上文中,本机网络地址是192.168.5.249,因此我们只需要扫描192.168.5.0~192.168.5.254即可。端口扫描工具一般会列出此网段中的所有主机,扫描结束后,可对此结果进行分析。
图1
例如在上文中,我们使用LANguard进行扫描,并且结果显示除了网关和自身主机外,网络中还存在192.168.5.101和192.168.5.219这两台主机(图2)。
图2
除了LANguard外,我们也可以用命令“net view”检查在同一工作组中所连接的主机名称(图3)。
图3
例如在公司的无线网络中,我们就可以通过检查主机名称来发现是否存在可疑的主机。如果公司路由器支持的话,那么也可以通过核查路由器的访问日志来发现是否存在可疑的主机。
许多路由器都提供对Web访问页面,通过Web页面的访问,用户可以了解路由器的状态信息、安全日志和DHCP客户端日志(图4)。
图4
管理人员可以通过分析这些路由器日志(如连接的MAC地址、连接的频率、发送/接收数据包的流量)来发现可疑的主机,并在路由器中禁用此MAC地址。
网络共享的管理
和普通的局域网不同,通过无线局域网可以更加方便地访问其他主机提供的共享文件。如果大家对共享文件不提供额外的管理机制的话,入侵者可以轻易地得到共享文件夹中的所有内容。在Windows XP系统中,我们进入“控制面板→计算机管理”中,选择“共享文件夹”就可查看系统中共享的文件,操作系统还会自动罗列出所有的共享文件(图5)。
图5
右键点击共享文件夹,可以了解该文件的共享情况。我们可以取消文件的共享权限,但是一般情况是取消“允许网络用户更改我的文件”这个选项(图6),即网络中的用户只可以读取共享的文件,但不能进行写入、修改或删除等操作。
图6
如果你不希望共享的文件被其他用户看到,那么可在文件的共享名字后面加入$(图7),这样一来所共享的文件就不会在网络邻居中显示。如果好友要访问的话,那么只需要在访问的文件夹地址后面加上$即可(当然要事先告诉好友)。
图7
例如对隐藏“article”文件夹的访问,我们就可以在IE地址栏中输入访问的主机名字article$。
使用个人防火墙
目前最为有效的防止被攻击的措施是使用“个人防火墙”——例如国外比较有名的Zonealarm,其实Windows XP操作系统也集成了一个功能较为简单的防火墙。
集成在Windows XP操作系统中的个人防火墙可以防止网络中未经授权的用户对共享文件夹的访问,不过提供的功能极为有限。大家可在拨号连接中,右键点击“属性”,再选择“高级”,最后启动“防火墙”就可以了(图8)。
图8
和大型的无线路由器防火墙不同,个人防火墙一般通过软件来实现,它只是保护个人的主机,而大型的防火墙是保护整个网络系统。使用个人防火墙后,主机在网络中进出的数据都会受到严格的监控,未经授权的应用程序或者用户的数据会被禁止进入。
除了Windows XP自带的防火墙之外,更为常用的是例如诺顿、瑞星之类的个人专业防火墙,这些软件的安全机制是对系统中的每一个应用程序的发送数据进行监控,严格管理进出系统的数据包。本文就以国际上较为流行的Zonealarm个人防火墙为例加以介绍。
程序安装完成之后,ZoneAlarm就会根据系统应用程序动态地调整安全机制。例如,网络中若存在其他进行扫描的主机(一般使用Ping程序),ZoneAlarm就会弹出禁止访问的窗口。
而系统中的应用程序第一次访问网络时,它还会弹出如图9所示的对话框,用户可以对应用程序的访问等级进行设置。这样做的主要目的是在于查看系统中是否已经存在某些恶意的木马程序。