在 AP 的設定方面

通常網路管理者需要針對企業內部的安全政策與安全需求來設定 並管理 AP，適當地設定管理密碼、加密設定、重置功能、自動網路連 線、網卡位置存取控制清單、WEP 金鑰以及 SNMP 功能等等都可以 避免許多的駭客攻擊事件。

變更預設的密碼

無線網路設備在出廠時就會預設一組管理密碼在設備中，部分的 設備甚至根本沒有密碼。而且通常相同廠牌的設備會使用相同的密 碼，使用這樣的密碼會帶來許多安全性的問題。如果沒有密碼，有心 人士便可以輕易進入無線網路設備中更改網路的設備；如果有密碼的 話，有心人士也可以用幾組廠商預設的密碼來試驗是否可以進入設

備。管理者應該要立即變更空白或是預設的密碼，最好依據上面的建 議選擇一個複雜的密碼。

選用適當的加密設定

建議使用產品中提供的最高等級加密方式。WEP 具備 40-bit 及 104-bit 兩種金鑰長度，較長的金鑰長度也就代表著較強壯的保護。由 於 WEP 只使用簡單的串流加密方式及互斥或演算法(XOR)，即使是 WPA，就現今的電腦系統而言，並不會浪費太多的電腦資源及運算時 間。要注意的是，某些設備會提供 128-bit 長度的金鑰加密方式，使用 這種加密方式時，會造成與其他設備的不相容。

控制重置功能

重置功能會造成一個嚴重的問題，它可以將管理者所做的任何安 全設定全部取消，也就是回復到出廠時的原廠設定。如果回復到出廠 的設定，AP 通常就沒有具備任何密碼(或使用該廠商的預設密碼)，或 是具備任何的保密措施。有心人士通常只要用一根針或一支筆就可以 按下設備背面的重置按鈕，就可以取消設備原本的 IP 設定，金鑰等等。

因此最好具備 AP 的實體保護，將它束之高閣或是將重置按鈕封死等 等，以減少威脅性。

使用 MAC 位址存取控制清單(ACL)功能

在網路上，每一張網路卡上具備唯一的 MAC 位址，管理者可以透 過 MAC 位址來確認不同的電腦設備。有許多的無線網路設備都具備 MAC 位址存取控制清單的功能，透過一個 MAC 位址表格來允許或拒 絕某一個 MAC 位址通過該設備。不過這樣的做法並不十分安全，由於 MAC 位址在無線網路傳輸的時候是以明碼的方式在空氣中傳遞，駭客 可以輕易地擷取合法電腦的 MAC 位址，並且假造該位址。另外某些設 備只能記錄固定數量的位址，這樣的設備就無法適用於中大型企業中。

改變預設的 SSID 值

無線網路設備的 SSID 值在出廠時通常是使用某個預設值或是該 廠牌的名稱，這會使得有心人士輕易地就猜出 SSID 值。因此，改變預 設的 SSID 值是必要的。雖然級數較高的駭客還是有可能從無線網路封 包得知 SSID 的值，但是至少可以防止一般的駭客輕易的進入您的網 路。

關閉 SSID 廣播功能

SSID 是無線網路中的一個識別名稱，大部分都會把它命名為網路 名稱或是給一個簡單的代號。想要加入無線網路客戶端，只要提供正 確的 SSID 名稱便可加入網路。SSID 是一個 0-32 位元組的值，0 則是 代表廣播的意思，如果客戶端發出一個 0 位元組 SSID 值的偵測要求 (probe request)封包，收到封包的 AP 則會回應自己的資訊包含 SSID 值。在某些廠牌的無線網路設備上具備關閉 SSID 廣播功能，開啟之後 AP 則會忽略該要求封包，這樣可以避免洩露自己的 SSID 值。

改變預設的加密金鑰值

某些無線網路設備在出廠時會使用預設的加密金鑰值，如果啟動 了 WEP 或 WPA 的加密方式，或是卻沒有變更加密金鑰，有心人士一 樣可以進入加密的網路中。所以無論您使用哪一種加密方式，記得改 變預設的加密金鑰值。

使用 SNMP

部分的無線網路設備內建 SNMP Agent 的功能，可以讓網管軟體 得知設備的狀態。前兩個版本的 SNMPv1 及 SNMPv2 只提供簡單的 認證功能，而且是明碼的方式，這樣是不夠安全的。SNMPv3 則提供 了一個較強化的認證方式。建議使用 v3 來代表 v1 及 v2，如果 SNMP

不是必要的，則建議關閉 SNMP 功能。另外，SNMP 的預設名稱通常 是 public，有些設備甚至同時具備 read 和 write 的權限，記得變更預 設名稱的值以及適當的設定讀和寫的權限。

改變預設的無線電波頻道

建議不要使用無線網路設備所提供的預設電波頻道。如果兩台無 線設備在同一個電波範圍之內，使用同一個頻道，則會造成阻絕服務 的攻擊。管理者必須事先做好現地勘查，確認無線網路設備的位置、

電波含蓋範圍，以避免兩台設備使用同一個頻道。

關閉 DHCP 功能

DHCP 可以讓客戶端設備在上線時自動取得一個動態地網路 IP 位 址。如果可行的話，將所有的設備設成固定 IP 位址，如此一來有心在 上線後也無法自動的加入網路。