不讓便利變威脅無線局域網設置

時間：2010-07-15 22:38:29 整理：佚名 []

無線網絡的安全問題已經成為不可忽視的主題。我們將會詳細討論一下WPA的細節問題，尤其針對家庭和小型企業用戶；隨后介紹的是Windows XP SP2的無線設置向導，該向導利用USB閃存技術大大簡化了無線局域網的安全設置過程。

　　WPA簡介

　　進入正題之前，首先來了解一下WPA。WPA的確能夠解決WEP所不能解決的安全問題。其中細節并非三言兩語所能道清，簡單說來，WEP的問題來源于網絡上各臺設備共享使用一個密鑰。該密鑰存在不安全因素，其調度算法上的弱點讓惡意黑客能相對容易地攔截并破壞WEP密碼，進而訪問到局域網的內部資源。

　　WPA通過使用一種名為TKIP（暫時密鑰完整性協議）的新協議來解決上述問題。使用的密鑰與網絡上每臺設備的MAC地址及一個更大的初始化向量合并，來確信每一站點均使用一個不同的密鑰流對其數據進行加密。隨后TKIP會使用RC4加密算法對數據進行加密，但與WEP不同的是，TKIP修改了常用的密鑰，從而使網絡更為安全，不易遭到破壞。

　　WPA也包括完整性檢查功能以確信密鑰尚未收到攻擊，同時也加強了由WEP提供的形同虛設的用戶認證功能，包含對802. 1x和EAP(擴展認證協議)的支持。這樣WPA既可以通過外部Radius（撥入用戶遠程驗證）服務對無線用戶進行認證，也可以在大網絡中使用Radius協議自動更該和分配密鑰。

　　實現WPA

　　在支持新的IEEE 802.11i安全標準的硬件出現之前，作為一個權宜之計，WPA主要針對的是密鑰相對容易被捕捉和破壞的企業網絡。與家庭或是小型企業局域網相比，企業網絡密鑰被竊取的過程相對容易，黑客只需要從幾天的網絡流量中搜集并創建攻擊所需信息即可完成對密鑰的竊取。同樣，WPA也適用于不需要外部認證、使用簡單共享密鑰的小型網絡。設計者的初衷是通過向已存在的無線設備中加入WPA，利用設備固件或是相關的客戶端軟件進行升級。但不幸的是，這項技術的發展需要時間，技術的實施也是如此，假如你想使用WPA，好先確認一下你的服務提供商是否支持這項技術。大多數服務提供商支持，但并不是所有的。更重要的是，一些較老的設備可能并不能升級，因此應首先與服務提供商取得聯系，并對相應事宜進行核實。

　　別忘了，你需要對所有的設備進行升級以支持WPA，這包括接入點、無線路由器、客戶端網絡適配器、無線橋接器和打印機服務器等，任何存在無線接口的設備都需要升級，而不能與WEP兼容使用。另外，如果你是Windows XP用戶，你還需要對軟件進行升級以增加WPA支持，利用Windows自動升級服務或直接安裝SP2都能實現。詳情參見微軟知識庫第815485號文章。（http://support.microsoft.com/?kbid=815485）

　　網絡和SP2

　　無疑，Windows XP SP2 給無線網絡帶來的改進是巨大的，我們接下來要討論的便是其無線網絡設置向導中的Windows智能網絡密鑰技術。該技術允許用戶將無線設置（包括WEP和WPA密鑰）保存在一個XML文件中，并可利用該文件對所有無線設備包括接入點路由器、無線PC等進行相同的定制。

　　該技術支持使用USB閃存，因此要設置一個無線設備你只需插入存有設置數據的U盤就可以了。

　　也許有人會對此產生疑問，因為接入點和路由器中很少能提供USB接口。我只見過幾款支持USB的設備，它們用USB接口連接寬帶調制解調器或是打印機。不過相信用不了多久，廠商就會意識到其中的市場潛力并彌補設備功能上的小缺憾——更何況為這些設備添加USB接口并不復雜。

　　接下來便可以開始利用新的無線網絡設置向導對你的設備進行自動定制了，當然，前提是你已經安裝了SP2。微軟的官方網站上已經提供了SP2 的免費下載資源，不過文件很大，寬帶下載時間大約需要1小時左右。

　　無線向導

　　在XP SP2系統中，無線網絡設定向導可以用幾種方式啟動。你可以在控制面板的“網絡和Internet連接”里找到，“網上鄰居”里也同樣有該向導的啟動快捷方式。在PC上運行向導不需要啟動無線界面，但是如果你想將設置自動轉換到其他設備上的話，必須借助于USB端口。

　　假如以前已經設置了一個無線網絡，向導會首先詢問是否你想在網絡上增加新的電腦或設備，否則就默認為增加一個全新的網絡設置。這是由服務設定識別器（Service Set Identifier/SSID）來識別的，無論你選擇執行的加密的種類和級別如何，都要求有一個有效的無線網絡名。

　　如圖3所示，網絡有一個無線SSID，你既可以讓向導自動分配網絡密鑰（推薦選項）或者手動進行分配。該向導僅僅用來設置那些利用一個或多個接入點接入網絡的無線局域網（所謂的公共設施模式），不能用在ad-hoc網絡。雖然WEP加密是默認的，你也可以選擇使用受限WPA。需要提醒的是，WPA與WEP不同，并不能支持所有設備。

　　圖4展示的是手動分配網絡密鑰的操作界面。這是針對WPA的情況，但是當選擇WEP時，除了密鑰的長度提供了兩個選擇外，其余基本上是一樣的。

　　密鑰既可以用普通的ASCII字符（如鍵盤上可找到的數字，字母，和符號）也可以用十六進制數字，向導通過鍵入的字符數可以識別出字符的種類，如果你鍵入8至63個字符作為WPA密鑰，就識別為ASCII記法。如果鍵入了5個或13個字符作為WEP密鑰，則識別為十六進制數字。同樣的，16進制的密鑰在WPA得有64位字符，在WEP得有10或26位字符（10位是64位加密，26位是128位加密）。你也可選擇在輸入的時候顯示輸入的字符，這樣可避免手誤。　　

　　接下來你需要在自動和手動分配之間進行選擇，這里我們介紹的是自動分配。首先準備一個U盤，選擇“使用USB閃存驅動器”選項，之后你被要求插入U盤然后選擇系統分配的驅動盤符。隨后向導會將無線網絡設置連同其他幾個所需的文件一起存入U盤中，保存為一個XML文件。

　　剩下的工作就很簡單了，把U盤插入無線AP或者任何你想在無線局域網內使用的無線設備上，XML文件里的設置將會被自動更新到這些設備上。

　　對于使用XP SP2的PC來說，插入U盤后，當系統識別出該設備，便可以對PC的無線網絡進行設置了。這時無線網絡設置向導會自動啟動，并詢問你是否想向無線網絡上增添電腦。點擊確定，設置就會使用U盤中備份的設置信息來完成整個設置過程。

　　在完成無線局域網上所有設備的設置工作之后，你應該把U盤插回運行無線網絡設置向導的PC，并點擊下一步。為了安全起見，當你點擊完成時，向導將會要求刪除包含設置信息的XML文件。你可以將這些文件備份，或者通過網絡打印設備來打印一份文檔，便于以后繼續使用。

　　