四．基础型无线网安全机制

（1）更改无线AP的管理员登录初始口令和初始SSID

一般设备出厂时的管理口令和SSID都非常简单，同一个厂家的产品的出厂参数千篇一律，让人一猜即中，因此必须要更改成较为复杂的参数。

（2）SSID设置成隐藏，不广播SSID

大多数破解无线网的初始步骤都是先嗅探出无线AP所使用的频道和SSID，再进行下一个步抓包、破解。隐藏SSID广播功能可能对某些嗅探工具有用。

（3）WEP加密

尽管WEP已经被证明是比较脆弱的，但是采用加密方式比明文传播还是要安全一些。现在可以从互联网上下载到很多破解WEP加密的工具软件，象Airsnort这种工具可以对无线网信号进行抓包，进行破解WEP密钥，避免这种工具破解最有效的方法就是给WEP设置较为健壮的128位密钥，而不是40位的密钥，这样可以让破解的难度加大，而需要更长的时间。

（4）采用比WEP更安全的WPA，甚至WPA2

在上文《无线网的安全隐患》中我们提到过要破解WPA加密并非易事，需要监听到的数据包是合法客户端正在开始与无线AP进行“握手”的有关验证操作过程，而且还要提供一个正好包含有这个密钥的“字典文件”。除非为WPA设置了比如：ADMIN123，111222333444这样的“大众式”密钥，容易被猜中而收录在“字典”中，那么设置了复杂的密码组合还是比较安全的。而WPA2是WPA的第二代，它支持更高级的AES加密，因此能够更好地解决无线网络的安全问题。

（5）MAC地址访问控制列表

对于小型的无线网，可以采用MAC访问列表功能的精确限制哪些无线工作站可以连接到无线网中，而那些不在访问列表中的工作站，是无权进入无线网络中的。每一块无线网卡都有自己的MAC地址，我们可以在无线网络节点设备中创建一张“MAC访问控制表”，然后将合法的无线网卡MAC地址逐一录入到这个列表中，允许只有“MAC访问控制表”中显示的MAC地址，才能进入到无线网络中。当然MAC地址是有可能被非法访问者克隆，这要求我们妥善保管相关网卡的MAC信息，防止遗失。

（6）关闭SNMP功能

要是无线网络访问节点支持“简单网络管理”（SNMP）功能的话，笔者建议你尽量将该功能关闭，以防止非法攻击者轻易地通过无线网络节点，来获取整个无线局域网中的隐私信息。

一般的说，关闭SSID广播和采用较高级的加密手段(目前不建议用Р捎媒衔浜蟮腤EP加密)还是可以将大多数非法入侵者拒之门外。