SSID設(shè)置問(wèn)題面面觀
2024-09-07 13:38:37
供稿:網(wǎng)友
無(wú)線設(shè)置中有一個(gè)重要的選項(xiàng)那就是“SSID”,SSID是什么呢?SSID在設(shè)置時(shí)該注意些什么呢?本文就來(lái)跟你一起探究一下。
一、什么是SSID如何配置
SSID/ESSID(Service Set Identifier)也就是“服務(wù)區(qū)標(biāo)識(shí)符匹配”、“業(yè)務(wù)組標(biāo)識(shí)符”的簡(jiǎn)稱,最多可以有32個(gè)字符,通俗的說(shuō),它就好比有線局域網(wǎng)中的“工作組”標(biāo)識(shí)一樣或好比是無(wú)線客戶端與無(wú)線路由器之間的一道口令一樣,只有在完全相同的前提下才能讓無(wú)線網(wǎng)卡訪問(wèn)無(wú)線路由器,這也是保證無(wú)線網(wǎng)絡(luò)安全的重要措施之一。
配備無(wú)線網(wǎng)卡的無(wú)線工作站必須填寫(xiě)正確的SSID,并與無(wú)線訪問(wèn)點(diǎn)(AP或無(wú)線路由器)的SSID相同,才能訪問(wèn)AP;如果出示的SSID與AP或無(wú)線路由器的SSID不同,那么AP將拒絕他通過(guò)本服務(wù)區(qū)/工作組上網(wǎng)。因此可以認(rèn)為SSID是一個(gè)簡(jiǎn)單的口令,從而提供口令認(rèn)證機(jī)制,實(shí)現(xiàn)一定的安全。要更改無(wú)線網(wǎng)卡的SSID除了在無(wú)線網(wǎng)卡配置程序中更改外,還可再操作系統(tǒng)中直接更改。
以Windows98為例,進(jìn)入Windows系統(tǒng)中,右鍵“網(wǎng)上鄰居”,點(diǎn)擊“屬性”。在“網(wǎng)絡(luò)配置”中選定要修改的網(wǎng)卡,在“網(wǎng)絡(luò)”中選中在使用的無(wú)線網(wǎng)卡適配器名稱,選中該網(wǎng)卡之后,單擊“屬性”,再選擇“高級(jí)”欄。在“高級(jí)”選項(xiàng)中的SSID/ESSID選項(xiàng)中填入無(wú)線AP或路由的SSID名稱,再在SSID/ESSID選項(xiàng)中填入鍵值也是SSID名稱即可。
然而無(wú)線接入點(diǎn)AP向外廣播其SSID,使安全程度下降。另外,一般情況下,用戶自己配置客戶端系統(tǒng),所以很多人都知道該SSID,很容易共享給非法用戶。 標(biāo)準(zhǔn)工作組還表示:有的廠家支持“任何(ANY)”SSID方式,只要無(wú)線客戶端處在AP范圍內(nèi),它都會(huì)自動(dòng)連接到AP,這將繞過(guò)SSID的安全功能。所以在無(wú)線局域網(wǎng)接入點(diǎn)AP或無(wú)線路由上對(duì)此項(xiàng)技術(shù)的支持就是可不讓AP或無(wú)線路由器廣播其SSID號(hào),這樣無(wú)線工作站就必須提供正確的SSID才能與AP或無(wú)線路由器相聯(lián)。
二、SSID是否能保障無(wú)線使用安全
SSID的安全問(wèn)題主要來(lái)自兩類用戶群:一是初接觸無(wú)線網(wǎng)絡(luò)的個(gè)人用戶、辦公用戶,以及對(duì)安全不太關(guān)心的此類用戶,他們一般采用無(wú)線AP或路由所默認(rèn)使用SSID的允許廣播方式;一是用于公共無(wú)線網(wǎng)絡(luò)的無(wú)線熱點(diǎn)(也就是無(wú)線接入點(diǎn),亦由無(wú)線AP或無(wú)線路由組成,如賓館、圖書(shū)館、酒吧、大中學(xué)校園等等),為了讓服務(wù)區(qū)內(nèi)所有公眾或用戶使用無(wú)線接入,其同樣使用開(kāi)啟SSID廣播方式。
在最近兩年里,WLAN無(wú)線局域網(wǎng)正普遍受到主流用戶的青睞,從家庭、校園一直到咖啡店之中,各種無(wú)線接入點(diǎn)都可能會(huì)存在。無(wú)線局部網(wǎng)絡(luò)設(shè)備本身具有的高性價(jià)比的特點(diǎn),也讓任何人都可以建立一個(gè)無(wú)線接入點(diǎn)。對(duì)于一個(gè)需要任意廣播其SSID的無(wú)線接入點(diǎn)來(lái)說(shuō),不懷好意或黑客都可以使用相同SSID進(jìn)入任一個(gè)802.11接入點(diǎn),并輕而易舉的盜取用戶的有價(jià)值資料。
此外,另一種問(wèn)題就是,如果一個(gè)公共無(wú)線接入廣播了其SSID,只要懂一點(diǎn)技術(shù)的人都知道使用同一個(gè)SSID便可以設(shè)置另一個(gè)802.11接入點(diǎn),如果此信號(hào)比熱點(diǎn)的信號(hào)強(qiáng)或者不比其差的時(shí)候,一般用戶都會(huì)很容易的選擇強(qiáng)者并根據(jù)熟悉的SSID而進(jìn)入,你在“免費(fèi)”享用它的服務(wù)的同時(shí),您的一切更是在該“evil twin真假孫悟空”一樣的假悟空無(wú)線接入點(diǎn)的掌握之中。為了方便性,而在Windows操作系統(tǒng)中,由于用戶在設(shè)置無(wú)線網(wǎng)絡(luò)時(shí)一般設(shè)置無(wú)線網(wǎng)絡(luò)自動(dòng)連接到相同的無(wú)線網(wǎng)絡(luò),DHCP不會(huì)真正地關(guān)心你連接的是哪個(gè)熱點(diǎn),這更讓用戶不知不覺(jué)的進(jìn)入與公共無(wú)線接入點(diǎn)類同的SSID無(wú)線接入點(diǎn)中。
所以,對(duì)于一般用戶來(lái)說(shuō),在通過(guò)無(wú)線接入點(diǎn)免費(fèi)“服務(wù)”大眾的同時(shí),如果自己有較重要的資料需要安全保障(比如各種用戶名和密碼等等),還是在實(shí)際設(shè)置時(shí),將大多數(shù)無(wú)線AP或無(wú)線路由器在出廠時(shí)默認(rèn)的“允許廣播SSID”設(shè)為“不廣播SSID”。這樣其它用戶要想自動(dòng)進(jìn)入你的無(wú)線接入點(diǎn),就要先手工輸入正確的“SSID”才能進(jìn)入網(wǎng)絡(luò),這先在一定程度上可保證了WLAN的使用安全,防止不懷好意的用戶在并不太安全或并不太懂安全的個(gè)人WLAN里隨意亂逛。
除此而外,除了Windows XP等操作系統(tǒng)(802.11i標(biāo)準(zhǔn)擴(kuò)展了SSID廣播的定義,可以在原有的廣播包內(nèi)部放入擴(kuò)展SSID的信息;Windows XP SP2 的WPA2/802.11i相關(guān)補(bǔ)丁,都可以查看到擴(kuò)展的SSID)中可自動(dòng)掃描無(wú)線接入點(diǎn)外,大家會(huì)發(fā)現(xiàn)在主流無(wú)線網(wǎng)卡的驅(qū)動(dòng)/配置程序中的“SSID”選項(xiàng)中也會(huì)有一個(gè)“ANY(First Available Access Point)”,這個(gè)是干什么用的呢?其實(shí)它就是自動(dòng)偵測(cè)信號(hào)最強(qiáng)的無(wú)線網(wǎng)絡(luò)SSID的意思,當(dāng)你在有多個(gè)無(wú)線網(wǎng)絡(luò)或無(wú)線網(wǎng)絡(luò)情況不明的區(qū)域使用無(wú)線網(wǎng)卡時(shí),可選中此項(xiàng),其將自動(dòng)偵測(cè)SSID并連入無(wú)線網(wǎng)絡(luò)。這就是廣播SSID后能被幾乎所有配有無(wú)線網(wǎng)卡的移動(dòng)設(shè)備輕易進(jìn)入的原因。
所以對(duì)于需要安全的用戶來(lái)說(shuō),可以采用MAC地址訪問(wèn)控制、WEP、802.11x、WPA等安全標(biāo)準(zhǔn)來(lái)實(shí)現(xiàn)無(wú)線接入點(diǎn)的安全。但事物的優(yōu)/劣也多半是相輔相成的,首先是WEP本身就容易被破解,而且并不是所有的無(wú)線網(wǎng)卡都支持128位或以上加密方式WEP KEY乃至802.11x、WPA,有的老無(wú)線網(wǎng)卡可能只支持40位方式的加密或64位方式的加密,還有的根本就不支持。也并非所有網(wǎng)卡都能支持802.11x和WPA標(biāo)準(zhǔn),部分網(wǎng)卡通過(guò)升級(jí)驅(qū)動(dòng)可以支持,而多數(shù)早期網(wǎng)卡根本就不能支持。
所以在設(shè)置無(wú)線AP或無(wú)線路由器的WEP、802.11x、WPA加密時(shí)還需要根據(jù)無(wú)線網(wǎng)卡的情況來(lái)計(jì)劃進(jìn)行設(shè)置,而對(duì)于公無(wú)線熱點(diǎn)來(lái)說(shuō),進(jìn)行這些無(wú)線安全設(shè)置根本就不可能(MAC地址訪問(wèn)控制更不現(xiàn)實(shí)),因?yàn)樗旧砭褪欠?wù)性質(zhì)的。所以個(gè)人計(jì)算機(jī)用戶在進(jìn)入無(wú)線熱點(diǎn)時(shí)還是少設(shè)共享文件必需安裝防火墻軟件(設(shè)成高級(jí)別)等等。
三、SSID常見(jiàn)問(wèn)題實(shí)例解答
● 問(wèn):家里新裝了無(wú)線路由器并通過(guò)其共享上網(wǎng),但近來(lái)發(fā)現(xiàn)鄰居也在共享我的網(wǎng)絡(luò),造成網(wǎng)絡(luò)高峰期上網(wǎng)速度變慢或打不開(kāi)網(wǎng)頁(yè),該怎么辦?
答:可通過(guò)基礎(chǔ)的無(wú)線安全設(shè)置便能杜絕非法共享,以下兩點(diǎn)比較實(shí)用:
①禁用SSID廣播,進(jìn)入無(wú)線路由器的配置頁(yè)面中將允許SSID廣播選為禁用,就可杜絕無(wú)線網(wǎng)卡中一個(gè)特殊的SSID“ANY”,ANY可使其它用戶在無(wú)線網(wǎng)卡配置SSID時(shí)接入周邊性能最好的AP或無(wú)線路由器中,關(guān)閉了SSID之后其自然就掃不到了。
②由于家庭無(wú)線網(wǎng)絡(luò)是小型網(wǎng)絡(luò),所以MAC地址訪問(wèn)控制(MAC過(guò)濾)功能相當(dāng)有用,你可在無(wú)線AP或無(wú)線路由器的WEB配置頁(yè)面中啟用MAC過(guò)濾功能,然后手工錄入你家里幾臺(tái)電腦無(wú)線/有線網(wǎng)卡的MAC地址,這時(shí)就算是廣播SSID非法用戶也不能通過(guò)無(wú)線路由器共享接入了。
● 問(wèn):關(guān)閉無(wú)線AP或無(wú)線路由器的廣播SSID功能,在無(wú)線客戶端網(wǎng)卡中也沒(méi)選中“ANY”,但客戶端只要處在另一個(gè)廣播SSID的AP或無(wú)線路由器范圍之內(nèi),系統(tǒng)仍然會(huì)自動(dòng)切換到該無(wú)線路由器,怎么辦?
答:可能跟你的Windows XP中的設(shè)置有關(guān),Windows中選擇了“自動(dòng)連接非首選的網(wǎng)絡(luò)”其也會(huì)自動(dòng)接入。所以你可打開(kāi)“控制面板”→“網(wǎng)絡(luò)連接”,打開(kāi)“無(wú)線網(wǎng)絡(luò)連接”的“屬性”。點(diǎn)擊“無(wú)線網(wǎng)絡(luò)”→“高級(jí)”,將“自動(dòng)連接到非首選網(wǎng)絡(luò)”復(fù)選框中的勾去掉即可。
● 問(wèn):我是一個(gè)寫(xiě)字樓用戶,SSID問(wèn)題最近困擾著我,關(guān)閉SSID廣播后(也經(jīng)常SSID被泄露),本公司機(jī)器太多一一設(shè)置很是不方便,而不關(guān)閉便經(jīng)常有非法用戶使用我公司的無(wú)線接入點(diǎn),該怎么辦?
答:讓每個(gè)無(wú)線網(wǎng)卡客戶端用戶自己配置客戶端系統(tǒng),所以很多人都知道該SSID,很容易共享給非法用戶,所以對(duì)于這種情況防范的辦法并不多,可做以下選擇:
①關(guān)閉SSID廣播后,更改廠方默認(rèn)SSID設(shè)置,并定義一套復(fù)雜的SSID命名規(guī)則,并定期更改。如思科的默認(rèn)SSID是tsunami、Linksys的默認(rèn)SSID是linksys、TP-LINK的SSID就是TP-LINK,如果不更改這些設(shè)置,就算關(guān)閉了SSID廣播未授權(quán)用戶就比較容易獲得訪問(wèn)。
②禁用DHCP服務(wù)器(動(dòng)態(tài)主機(jī)配置協(xié)議),改用除192.168.0.1、192.168.1.1之類的常用IP地址外的靜態(tài)IP地址,以防止DHCP服務(wù)器自動(dòng)向訪問(wèn)無(wú)線網(wǎng)絡(luò)的任何人自動(dòng)分配IP地址。
③如果公司無(wú)線設(shè)備比較統(tǒng)一,可開(kāi)啟無(wú)線網(wǎng)卡支持的最高加密技術(shù)。
