当前,在许多企事业单位局域网中,通过无线路由器上网的现象越来越多。这一方面方便了员工使用笔记本、移动设备上网,另一方面也使得外部电脑、手机、平板等容易接入公司局域网“蹭网”。蹭网行为(如在线看视频、下载文件)会极大占用网络带宽,影响正常工作;同时非法蹭网访问不良网站、病毒网站等,可能导致病毒侵袭甚至法律责任。因此,必须防止蹭网,保护网络安全并合理利用资源。
如果你使用的是路由器,可以在IE浏览器地址栏输入192.168.1.1(或路由器实际管理地址),输入用户名和密码(默认多为admin/admin),查看“当前连接项目”。如果发现有多余的电脑或设备,则说明可能被蹭网。对于无线路由器,建议关闭无线广播以增强安全性。
蹭网族常用傻瓜破解软件只能破解WEP加密的无线信号;高级蹭网者虽可抓包分析WEP密钥,但若采用WPA-PSK或WPA2-PSK加密,则很难被蹭网。这是目前最有效的防蹭网方法。设置方法:进入无线设置,将加密模式改为WPA-PSK并输入密钥即可。
设置无线加密后,通过关闭无线路由/AP的SSID广播,“蹭网”者将很难搜索到你的无线网络,从而减少被蹭机会。同时建议修改个性化的SSID名称。设置方法:进入无线路由/AP的Web配置界面,找到“基本设置”菜单,修改SSID名称,选择“停用SSID广播”,点击确定。
关闭SSID广播后,还需关闭DHCP功能(禁止无线路由/AP自动分配IP地址)。为进一步防蹭网,建议修改默认IP地址,如将默认的192.168.1.1改为10.0.0.1。设置方法:进入“局域网设置”菜单,修改默认IP地址并“停用DHCP服务器”,点击确定。
部分无线路由/AP支持调节无线发射功率,通过降低功率可以控制无线网络覆盖范围,使邻居难以搜索到信号。同时,升级无线路由/AP固件可修复安全漏洞并增加额外防护功能,提升安全性。
利用MAC地址唯一性,设置“允许MAC地址连接”列表,仅允许列表中的客户端连接无线网络。这样即使无线密钥被破解,蹭网者也无法接入。设置方法:在无线路由/AP的“高级设置”菜单中启用MAC地址过滤功能,输入允许连接的客户端MAC地址列表并确定。
首先关闭DHCP服务器(防止自动分配IP方便蹭网)。然后修改路由器默认IP(网关地址),例如从192.168.1.1改为172.88.88.1。内部电脑手动指定IP为172.88.88.X网段,使蹭网者无法摸清内网IP设置,无法自行分配IP上网。
国内有多种局域网网络准入控制系统,可阻止未授权电脑接入共用路由器上网。例如部署网络准入控制系统后,可实时监测接入局域网的电脑、手机或平板,通过黑名单阻止其访问内外网,实现禁止蹭网功能。
总之,局域网防止蹭网的方法很多,大体上分为通过设置无线路由器或通过专门的网络准入控制软件两种方式。企事业单位可根据自身需求选择合适的方法。