这个问题其实非常简单,也很容易解决。对于没有网络基础的人来说,他们可能只需要一个能够使用的网络,而不会考虑到安全性的问题。在这里,我先分享一个相关的故事,大约在6到7年前,我住的地方无法拉网线上网,但周围有很多WiFi信号。于是我自己配备了一个高功率的无线网卡,外接一个天线到阳台,然后使用BT、水滴、奶瓶(beini)等软件,破解了周围所有能够破解的WiFi网络,总共大约有二三十个网络信号(见下图)。
这些网络主要采用WEP加密,还有一些是WPA加密的。对于密码比较简单的网络,我可以通过跑字典或者利用未关闭WPS的路由器进行破解。然后我就可以使用这些网络进行上网,这样做并不被鼓励,我现在也可以通过有线网络连接,不再进行这样的操作。但通过这个过程,我学到了很多关于WiFi的知识和技巧。同时,这也凸显出很多家庭对于网络安全的基本意识非常淡薄。我记得当时破解的很多WiFi信号中,无线路由器的管理登录密码都没有修改过,仍然使用的是厂商默认的密码。我可以轻易地进入路由器管理界面,查看里面的上网账号、密码以及连接设备数量等等,一目了然。
我印象最深的是有一次,我连接了一个WiFi网络,打开网络邻居时,竟然发现在同一网络内有一台电脑的分区是共享的。我进去一看,里面除了夫妻的婚纱照,还有一两部岛国的大片和其他一些个人资料。而且,我还认识这个网络的主人。当时我感到非常不妥,有一种说不出的负罪感,所以我立刻退出了该网络,以后再也没有连接过它。
正所谓道高一尺,魔高一丈,网络安全体现在攻与防的较量之中。正是通过上述的经历,我在搭建无线网络时特别注意这些问题,包括为朋友家庭、工厂和办公室搭建网络时,都会考虑到这些问题,并采取必要的安全措施。这是非常有必要的。
实际上,普通家庭无线网络的安全主要是防止他人蹭网(消耗带宽)和接入共享的本地网络(安全隐患),同时隔离共享资料(防止资料外泄)。只要做到这些,对于普通人来说,威胁是可以忽略不计的。你家的网络不是大型企业或政府部门的网络,也没有很多有价值的资料,黑客们一般不会花费精力去攻击或破解你的网络。
根据你目前的情况,想要做到安全并不难,我个人有很多经验,搭建过许多这样的小型网络。
(一)设备方面
1)路由器:购买一个千兆以太网口的有线路由器(不要选择无线一体的),性能稍微好一点,因为你可能需要使用一些网络管理功能,比如QoS、VLAN、ACL、MAC过滤、上网管理等。适合家庭使用的SOHO级别或中小企业入门级别的路由器都可以,但要注意不要选择功耗太大的,因为发热问题也会很麻烦。像D-Link、TP-Link、艾泰、飞鱼星、磊科、Linksys、思科、UBNT、Netgear等品牌都有很多可供选择的型号,价格在600到1000之间。但一定要确保具备一定的网络管理功能,有些价格较低的普通家用路由器可能没有一些必要的管理功能,具体可以查看设备官网的相关规格和技术参数。
另外,如果你有网络基础,也可以自己搭建一个低功耗、主动散热的小型软路由主机,安装ROS或pfsense等路由系统,这样也可以实现很多不错的功能,价格不高,性能也不错,但前提是你要有相关的知识和技能。
2)交换机:购买一个全千兆的二层交换机,带有一定的网络管理功能,比如VLAN划分等,还要注意端口和协议的支持是否与路由器配套。一般来说,大多数交换机都支持这些功能,有很多可供选择的品牌和型号,可以在各大厂商的官方网站上找到相关信息,这方面的资料非常丰富,我就不再赘述了。
3)无线AP(无线WiFi):购买一个可以划分多个SSID信号的吊顶式无线AP(至少要能划分3个以上的SSID信号)。随着现在WiFi技术的发展,如果预算允许,尽量选择支持802.11AC Wave2的设备,因为现在无线上网的设备越来越多,这样可以满足未来三五年的使用需求。如果你只需要覆盖两个WiFi点,那么多花一些钱也是值得的。当然,如果需要覆盖的区域很大,成本就会很高,这就另当别论了。另外,对于家庭用户来说,如果不是非常大的豪宅并且预算有限,其实没有必要购买高端的AC设备。高端设备不仅价格昂贵,而且会增加功耗,家庭网络也没有专人维护,所以在满足使用需求的前提下,尽量简化和减少不必要的节点。现在一些厂商的无线AP已经可以通过自带的虚拟无线控制软件来实现类似AC的统一控制管理本地网络内其他同型号的无线AP的信号,这样可以实现同一SSID信号的覆盖,比如优科的Ruckus Unleashed、Aruba的即时无线接入,以及Netgear等厂商也推出了类似的技术。
最后,不管是路由器、交换机还是无线AP,有时候要注意及时更新官方固件,以防止出现不必要的后门或漏洞问题。
(二)配置方面
在配置时,可以参考我在知乎上的另一个回答中提到的思路(见上图表),通过无线AP的SSID信号划分和交换机、路由器的VLAN划分接入,实现不同网段的隔离连网,从而实现相应的网络安全管理。我在一些办公室和家庭中尝试过这种配置,效果不错。具体的设置细节我就不一一赘述了,在上面的表格中简单介绍了实现安全管理的要点和思路。
通过划分三个不同的WiFi信号,接入三个不同的VLAN网段,每个VLAN网段都是相互隔离的。
1)个人专用信号:SSID信号(001),接入到VLAN01。设置好信号名称和密码后,最好将其隐藏,一般人是搜索不到的(尽管有些专用软件可以搜索到,但没有人会闲得无聊去这么做)。当你需要连接网络时,只需输入WiFi名称和密码即可连接。请注意,密码一定要设置为WPA2类型的,不要使用WEP类型的密码。密码最好稍微复杂一些,包括大小写字母、数字和特殊符号,这样一般人很难破解。在这个信号上关闭DHCP,将你需要上网的电脑、笔记本、手机、摄像头、NAS设备等设备的MAC地址设置为MAC白名单,增加一层安全性。毕竟这个信号是你个人使用的,设置数量也不多,也不会太麻烦。
2)家人专用信号:SSID信号(002),接入到VLAN02。这个信号供家人使用,可以采取与第一个信号类似的设置,关闭DHCP,将上网设备的MAC地址绑定,增加安全性。但由于家人不一定都懂得连接网络,也可以打开DHCP,让他们输入密码即可方便地连接网络。同时要叮嘱他们,密码最好只告诉他们自己知道,不要告诉外人。当有客人来访需要使用无线网络时,可以告诉他们下面第三个来访客人专用信号的密码。如果觉得麻烦的话,你可以帮助家人输入密码,以后他们的设备就会自动连接,对于没有网络基础的人来说,他们也不知道去哪里找密码。
3)来访客人专用信号:根据图表中的权限设置,可以清楚地理解,这个信号只能在VLAN03网段上连接外网,在本地网络中与前两个本地网段完全隔离。也就是说,前两个网段(VLAN01和VLAN02)共享的资料,比如NAS上的视频、图片和监控视频,在这个网段上是无法访问的,以防止个人资料泄露。此外,在路由器中还可以通过流量控制,限制访客使用迅雷BT下载等行为,或者限制他们在观看视频时的流量,以避免不必要的带宽消耗,影响整体网络速度。另外,密码最好定期更改,也可以设置一个有限时长的验证码上网,比如设置为12或24小时后失效,然后将这些验证码提供给客人使用。过了时效,他们将无法再连接上网。一般来说,我在公司或办公室的无线网络中采用这种方式。对于家庭使用,我个人倾向于定期更改密码,也不算太麻烦。为什么要这样做,我下面会解释原因。
最后,我不得不提一下几年前手机上流行的一个App,叫做”万能WiFi密钥”。有一次,我朋友的孩子来我家,使用了我的WiFi网络,结果不到两天,我的网络就被别人蹭了,网速明显下降。我进入路由器一看,发现有三台不属于我家的设备连接到了我的网络,其中有两台设备的流量非常大,导致我自己上网都很卡。通过协议分析,我发现其中一台设备正在使用迅雷BT下载文件,另一台设备正在观看电影。此外,为了方便我自己的电脑与手机共享连接,我还设置了共享文件夹,在本地网络中可以被搜索到(当时我使用的是普通的路由器,没有设置多个SSID信号和VLAN划分)。这让我非常惊讶,我立即更改了信号和密码,重启了路由器,一切才恢复正常。
后来,我也大致研究了一下这个所谓的”万能WiFi密钥”。它的原理是,当有人的手机安装了这个App后,你需要先打开手机网络(4G或3G网络),然后搜索附近的WiFi信号。当你一个个尝试连接WiFi时,它会连接到云端服务器,并根据服务器中存储的其他用户通过手机自动上传的WiFi资料库来验证SSID(WiFi信号名称)、无线路由器的MAC地址等信息,一旦匹配成功,就可以连接上网了。但只要密码或信号名称有任何更改,就无法连接上网了。
这就是我从技术角度对”万能WiFi密钥”的理解。如果有不正确的地方,欢迎大神们指正。这也是我在第三点中提到的来访客人专用信号不定期更改密码的原因。
对于”万能WiFi密钥”这个软件,很多人可能会说是共享经济、分享经济的体现,但我保留我的意见,不愿去评论它的优劣。我也不会阻止别人使用,几年前试玩过一次之后,我就不再使用了,包括一些公共网络,我也不会随便连接。