自从有了各种破解Wi-Fi密码的软件之后,笔者家里的Wi-Fi密码不管怎么设置,设置得多么复杂,总是会被别人破解,甚至有时一些蹭网的人会下载电影或者在线看电影,家里的网速被拖慢很多,被逼得实在没办法,只能一次又一次地更改无线网络密码。相信很多人也遇到过这种情况。而且如果别人随便就能接入我们家的无线网络,那么可想而知通过攻击获取我们的信息有多容易,哪天被盗号、盗银行卡号密码也不一定了。
经过一番搜索,尝试了多种方法无果,其间也看到有一些讲无线局域网安全技术的文章,有人推荐WAPI技术,稍做研究决定试一试,所以购买了一台WAPI路由器,价格还算亲民。设置成功后,终于完美地解决了这个问题,详细过程是这样的。
WAPI是什么
引用搜索来的部分WAPI技术介绍:
随着无线局域网技术和市场的迅速发展,其安全问题日益受到人们的关注。数据通过射频无线电传输,这为恶意攻击者实施窃听提供了极为便利的条件。与有线网络相比较,无线网络难以采用物理控制措施,因此保护无线网络的安全难度要远大于保护有线网络。
WAPI中文全称是无线局域网鉴别与保密基础结构(WLAN Authentication and Privacy Infrastructure,WAPI),是一种无线局域网安全协议。它是国内外首次提出的一种终端与网络对等鉴别技术思想和框架方法,普遍适用于无线、有线网络。该普适性网络安全接入技术保障了“合法终端接入合法网络”的安全需求。
这两段看起来很是高大上和晦涩。个人简单理解是这样的,WAPI是一种有更高安全性的安全模式,用WAPI这种安全模式可以摆脱被蹭网、钓鱼AP、用户数据被截获伪造等等的无线网络安全问题。
WAPI安全无线路由器长啥样
WAPI安全无线路由器和其它无线路由器在外观上并没有明显区别。笔者秀一把自己的WAPI路由器:
图 1 TOTOLINK WAPI家庭版安全路由器
那么WAPI无线路由器该怎么用?答案很简单:和其它无线路由器基本是一样的。如果你使用过其它的无线路由器,那么给你一个WAPI无线路由器也不会造成多大的困扰,因为大部分配置都一样。
怎么设置WAPI网络
拿到这台WAPI家庭版安全路由器后,把原先的无线路由器替换了,网线连接方式都不变,仍然是WAN口接外网(我家是直连小区宽带,有用到modem的话路由器WAN口连到modem),电脑接LAN口。
接下来登录路由器,登录地址就不说了,在操作手册上有(也可以自己改地址,我是用默认地址登录后改的)。第一步配置的就是上网方式,这部分配置所有的无线路由器都是大同小异。
图 2 PPPoE方式上网配置
静态地址、动态地址、PPPoE三种上网方式选择一种进行配置。笔者是PPPoE方式即如上图示,输入从运营商得到的账号密码来拨号上网。
第二步配置无线网络,从这里开始才和WAPI有关。在无线局域网页面点击添加或修改对无线SSID、加密方式进行配置。
图 3配置无线网络
图 4配置SSID
图 5 配置安全类型为WAPI-Cert
红框处可选的安全类型有常见的WPA/WPA2等;还有WAPI-PSK和WAPI-Cert推荐最高安全级别的WAPI-Cert即WAPI证书模式,选择WAPI-Cert后确认。
WAPI证书模式需要给路由器和手机、平板电脑这些设备安装证书,这里有一个新的概念——WAPI鉴别服务器,其主要作用就是给WAPI无线路由器和手机、平板等终端颁发证书,以及鉴别证书是否合法。终端接入时鉴别服务器对无线路由器、终端双方的身份(证书)进行验证,任一方身份不合法则拒绝接入,从而保证终端和接入的网络都是合法的。WAPI安全无线路由器内置了WAPI鉴别服务器。
如下图6所示,登录内置WAPI鉴别服务器颁发证书。无线路由器安装的是ASU证书和AE证书,终端安装的是ASU证书和ASUE证书。ASU证书在页面上方红字处导出保存到本地,AE证书和ASUE证书颁发时需选择对应类型,填写有效期,点颁发后选择保存到本地。
图 6 内置AS导出ASU证书,颁发AP证书、用户证书
证书保存到本地后回到WAPI无线路由器,在高级配置中浏览选择刚导出的ASU证书和颁发的AE证书,确认后显示证书已安装,到这里WAPI-Cert模式的无线网络就准备好了。
图 7 WAPI无线路由器证书安装
怎么接入WAPI网络
手机等终端接入WAPI-Cert安全模式的无线网络需要安装ASU证书和ASUE证书,那么证书怎么在手机安装呢?
笔者将前面颁发的ASU证书和ASUE证书拷贝到手机根目录,在系统设置àWLANà高级àWAPI证书管理 选项下“添加”证书按照弹出提示安装。安装后点击对应的SSID,选择证书后确定连接,一次认证成功后即可一键连接。
图 8安卓手机安装证书、连接WAPI-Cert网络
笔者了解了一下,目前终端的WAPI证书下载主要有三种方式(如下),其中第二种第三种都是比较方便操作的,终端和WAPI路由器也都是支持的。
第一种方法:
笔者用了这种方法。Android操作的终端,将证书拷贝到手机存储的根目录,在终端的系统设置àWLANà高级àWAPI证书管理选项下“添加”证书按照弹出提示安装。
iOS操作系统的终端,将证书文件以邮件附件发送到终端,终端直接打开证书文件,按照提示安装。
第二种方法:使用WAPI证书自动下载APP。先安装WAPI证书自动下载APP(如北京CA的“WAPI凭证管理”APP,需要和对应WAPI鉴别服务器配合使用),在APP中需要输入鉴别服务器地址和申请信息即可一键下载,自动安装证书。
第三种方法:在线申请证书。用终端从WAPI鉴别服务器申请证书后下载安装,如图6。
总结
用了这台WAPI路由器后,再也没人能蹭笔者的无线网了,破解软件也没用。使用WAPI证书模式的安全无线网络,大幅度提高了笔者家中无线网络安全性。虽然终端首次接入WAPI网络需安装证书,但是一次连接成功后即可一键连接,无需重复安装,用稍微复杂的操作换来的安全性大提升,还是很值的。