我很快就要为我和一些朋友建立一个无线网络,并(希望)确保它的安全。我对此有一些疑问和顾虑,想请这里的人帮我指点迷津,为我指明正确的方向。
我有一台装载了出厂固件的 WRT55AG(版本 2)。我听说可以将自己的固件加载到这样的路由器上。这样做值得吗?这样做能实现什么目的?
我想知道我应该在无线网络上使用哪种安全措施。理想情况下,我希望所有设备都能被“接受”,但我不确定如何实现这一点。我猜这与 MAC 地址有关,但我对它们一无所知。如果除了加密之外(我听说 WPA2 是最好的),每台设备都需要添加到某种列表中,然后才能访问 AP,那就太好了。
我想到的另一个功能是完全隐藏我的无线网络,不让它出现在其他人的电脑上。这可能吗(就像 SSID 广播一样)。值得这么麻烦吗?
我想要实现的另一个选项是带宽计算器。理想情况下,路由器中应该有某种东西可以测量正在使用的带宽量以及当月使用了多少带宽(这显然与账单和限额有关)。当达到某个限制时,是否可以降低速度?
这些观点很多,但我希望有人比我更了解这个主题,可以给我一些帮助和指点。希望这一切都是可能的,我不是在做梦 :)
答案1
好的,我会尽可能地回答这些问题:是的,可以升级或将路由器上的固件更改为其他类型。这样做,您将可以访问出厂固件中尚未拥有的更多设置。请查看本文,了解如何使用 DD-WRT 进行操作: http://www.howtogeek.com/56612/turn-your-home-router-into-a-super-powered-router-with-dd-wrt/
WPA2 是一种很好的加密方法,基本上可以让任何知道您的密码的人连接。您还谈到了 MAC 地址过滤,它基本上为连接增加了另一层安全性,这意味着如果您在连接中添加了 MAC 过滤,那么尽管您知道密码,但如果您的 MAC 地址不在表中,您将无法连接。MAC 地址基本上只是与特定硬件相关联的唯一标识符。您需要知道设备的 MAC 地址才能连接,因为您必须将其添加到路由器安全设置部分的表中。
关闭 SSID 很容易。这样,当计算机或设备扫描可用网络时,您的网络就不会显示出来。尝试连接的人必须手动在连接对话框中输入您的 SSID 名称。这值得吗?嗯,这只是另一层安全措施,所以如果您想要的话,可以。但请记住,任何认真的黑客都可以毫不费力地绕过这一点。
带宽计算器。如果您想要这个,那么这基本上为您做出了关于第 1 点的决定。如果您想要此功能,则需要更改路由器上的固件。
我会阅读上述文章,然后决定您是否愿意按照其中的建议去做。祝你好运。
答案2
对已发布的答案的一些补充信息:
是的,您应该使用 MAC 地址过滤作为额外的一层来劝阻临时用户,但是伪造 MAC 地址非常简单,所以不要以为它可以保护您免受任何具有合理技术水平的人的攻击。攻击者所要做的就是观察连接并复制它们的其他 MAC 地址:-)
是的,DD-WRT 或番茄非常值得一看。特别是 Tomato 允许带宽测量等。
隐藏您的 SSID 基本上毫无意义 - 它仍然会在帧中广播 SSID,只是不会在信标帧中广播,因此任何攻击工具仍然会找到它。隐藏的 SSID 实际上会影响您的有效用户,因为有时如果 Windows 无线驱动程序在足够短的时间内无法看到 SSID,就会出现问题。
是的,目前建议至少使用 WPA2 TKIP。
答案3
如果您不愿意使用备用固件(例如 dd-wrt)刷新设备,Linksys 固件对于普通家庭用户来说就足够了。
就安全性而言,WPA2-PSK (AES) 是特定路由器所能提供的最佳安全协议,也是一个不错的选择。您还可以进行 MAC 地址过滤,这样只有具有您指定的 MAC 地址的设备才有机会使用安全密钥进行身份验证。
您的路由器将能够隐藏 SSID(路由器名称)。这样,只有知道 SSID 名称的人才能尝试连接,这在人口密集的地区是个好主意。
路由器本身无法测量带宽,但您可以使用各种技术来做到这一点。您可以根据路由器上的各种标准(但不是基于每月限制)执行 QoS 来限制或优先分配带宽,但从我对 Linksys 的经验来看,他们的 QoS 效果并不好。Wireshark 和 Spiceworks 等软件或 SNMP 监控可以让您了解带宽消耗情况。
答案4
如果您启用了 WPA2 并设置了强密码,那么在大多数情况下,其余的措施都是多余的。MAC 地址很容易被伪造,隐藏的 SSID 也可以被嗅探。
进行 MAC 过滤和隐藏 SSID 的缺点是复杂性和增加管理负担。但它们绝对可以轻松完成。
但我确实推荐 dd-wrt。