便携WWii
--FFii设备在局域网中的安全禁用*
2016-02-20新疆石河子乌兰乌苏农业气象试验站新疆石河子832000
张 明(1.新疆石河子乌兰乌苏农业气象试验站,新疆 石河子 832000)
便携WWii
--FFii设备在局域网中的安全禁用*
张明
(1.新疆石河子乌兰乌苏农业气象试验站,新疆石河子832000)
摘要:将便携Wi-Fi设备插入电脑USB接口,就能为智能手机、平板电脑等终端提供网络接入服务。从原理上看,大多的便携Wi-Fi设备是通过应用WindowsICS服务,将接入互联网的网络共享,通过自身搭建的AP热点为其它终端提供接入互联网服务。便携Wi-Fi设备在单位局域网中的使用,是单位网络安全的隐患。在不同的组网情况和网络环境下,通过禁止网络共享、使用行为管理工具、MAC筛选、信道干扰、多网卡禁用、终端限制、USB口管理等技术设定,可以限制便携Wi-Fi设备的随意使用。
关键词:便携Wi-Fi;安全禁用
目前,各种型号的便携Wi-Fi设备只需插入电脑的USB接口,便能自行组建1个无线热点,为智能手机、平板电脑等终端提供网络接入服务。其价格便宜、操作简单,解决了智能终端接入无线网络的问题。虽然方便了大家,但也苦了单位网管,因为这些便携Wi-Fi占用了单位的网络宽带,同时也占用了单位的无线通道,而且多数智能终端接入网络的功能是社交、游戏等工具软件,降低了工作效率,还可能带来单位内部信息的流失,大多单位网管认为禁用此类便携Wi-Fi非授权访问局域网十分必要[1]。
1 便携Wi-Fi设备硬件机制及工作原理
一般人都认为便携Wi-Fi设备是微缩版的无线路由器,但从互联网上测评机构的拆解来看,硬件上,这些设备本质上就是一个自来驱动的无线网卡,部分设备还带有定向天线。大家知道,无线路由器是1个路由器+无线网卡+交换机的综合体,具有路由和交换功能;而无线网卡只有简单的网络数据收发功能。无线网卡通常有Master、Managed、Adhoc、Monitor等几种工作模式,常用的便携Wi-Fi设备一般支持Master和Ad-hoc模式,其中当无线网卡工作在Master模式时,允许无线网卡使用特定的驱动程序和软件工作,为其它设备提供网络服务。确切的说,大多的便携Wi-Fi设备都是1个无线网卡,只不过这个无线网卡不是用来连接其它设备,而是自己建立了1个无线AP以供其它设备接入。
便携Wi-Fi设备本身不提供接入互联网服务,它是应用了Windows的ICS服务接入互联网的。ICS 即Internet连接共享(InternetConnectionSharing)的英文简称,是Windows系统针对家庭网络或小型Internet网络提供的一种Internet连接共享服务。他实际上相当于一种网络地址转换器,就是当数据包向前传递的过程中,转换数据包中的IP地址和TCP/UDP端口等地址信息。便携Wi-Fi设备正是通过此服务,将已经接入互联网的网络共享通过自身搭建的AP热点为其它终端提供接入互联网服务。
2 禁用方法
了解了便携Wi-Fi设备的硬件机制及工作原理后,我们可以根据不同的组网情况和网络环境,采用相关的技术设定,限制便携Wi-Fi设备的使用。
2.1禁止网络共享
便携Wi-Fi设备基本依赖于ICS服务,只须关闭此服务,已经接入互联网的网络便不能够共享,直接切断了互联网出口,便携Wi-Fi设备只能提供自身搭建的局域网访问,连同主机之间的通讯都无法进行,对大多数用户自然就失去了意义。在域环境下,可以通过制定“组策略”,通过域控制器下发策略,从而关闭ICS服务,其具体方法:(1)单击“开始”,在“开始搜索”框中键入mmcgpedit.msc,打开组策略管理编辑器。(2)在导航窗格中,打开以下文件夹:“本地计算机策略”、“计算机配置”、“管理模板”、“网络”和“网络连接”。(3)在细节窗格中,双击“禁止使用DNS域网络上的Internet共享连接”。(4)执行下列操作之一:若要禁止组策略设置并启用ICS,单击“已禁用”。(5)单击“确定”,保存更改。对于没有域环境的网络,实施起来较为麻烦,一是限制的用户不能有开启服务的权限,即用户身份不能是超级管理员,只能给予User身份;二是需要到计算机上操作,可以通过撰写关闭ICS服务批处理文件,并将加入到计划任务里,保证开机即执行,对于Windows7和Windows8操作系统的计算机,必须“以管理员身份”执行命令。批处理文件内容如下:
@echooff
netstop“SharedAccess”
scconfigSharedAccessstart=disabled
2.2使用行为管理工具
行为管理工具一般部署在网络出口,一旦检测到单一IP地址的多个特征值,比如每台电脑的会话值是1~65535中的1个随机值,同一台电脑上会话值是依次递增的,一旦检测到的会话值有较大的跳变,则可通过检测上网返回页面的UserAgent值来确定是否有多种终端接入了网络,从而认定是否存在私接现象,直接阻塞端口或禁止服务。
2.3通过MAC筛选法
对于通过网络出口布置有代理服务器的网络,可以通过代理服务器设置MAC地址筛选器,收集单位局域网内合法的终端计算机或设备的MAC地址,将这些MAC地址加入到代理服务器或DHCP服务器的MAC地址筛选器中,这样经过授权的MAC地址可以允许接入到网络,而其它便携Wi-Fi设备将禁止接入到网络。
2.4信道干扰法
信道干扰法即利用RougeAP技术,因为便携Wi-Fi设备和普通的AP并无大的区别,一般使用1、6、11或13信道,对已部署有单位无线网络的网络,通过设置MonitorAP,扫描或监听无线介质,检测无线网络的非法AP,可以获知其用的信道,以及其硬件特征码,然后在管理的AC上进行查询,看是否为已注册的AP,如果是非法信号,则通过增益其非法AP所使用信道的原理,用本身的信号干扰非法AP,导致非法AP无法使用。目前主流的网络设备Cisco、H3C、华为均有相应的解决方案。下面以H3C设备为例,简要说明其配置:设定AP2为AC上合法的无线网络,
[AC]Wlanapap2
[AC-wlan-ap-ap2]work-modemoniter
[AC-wlan-ap-ap2]radio1
//设置AP2的工作模式为Moniter
[AC-wlan-ap-ap2-radio-1]radioenable
//使用AP2的射频
[AC]wlanids
//进入WlanIDS视图
[AC-wlan-ids]devicepermitssidh3c
//将AP2的SSid添加到合法的SSid列表
[AC-wlan-ids]countermeasuresenable
//使用反制Rouge设备的功能,利用Rougeap检测系统较适合大型的Wlan网络。
2.5多网卡禁用法
便携Wi-Fi设备接入到计算机后,计算机会识别为1个无线网卡,可以通部署客户端的方式检测用户网卡数量,对于多网卡的现象,直接部署相应的处理机制,强制客户端下线,从而达到禁止便携Wi-Fi设备的使用。例如H3C的EAD准入系统、网络岗软件,这类设备主要依赖于客户端软件搜集机器本身网卡信息,网络上出现多个破解的工具端,但这种破解的客户端碎片化较严重,基本都不是可使用的版本,网管可以通过设定只有某些个版本以上的客户端才允许登陆,这样可以有效防止破解客户端的问题。
2.6终端限制法
对于拥有桌面管理软件的网络,部分管理软件具有硬件管理功能,其工作原理是:一旦检测到设备插入到网络,便根据其自身的硬件生成一个硬件代码,然后去跟服务器端的硬件代码池作比较,判断此设备是否为单位网络允许使用的硬件,一旦硬件代码不能匹配代码池中的代码,则自动禁用此硬件设备。
2.7USB口管理法
通过对USB口的管控进行限制,可以采用封闭USB口或通过USB口管理软件进行相应的设置,防止便携Wi-Fi设备的非法使用。
3 小结
便携Wi-Fi设备极大地方便了用户智能终端拉入网络,但其毕竟为便携网络设备,家用尚可,一旦接入单位网络,对于单位信息安全是一巨大隐患。三分技术,七分管理,在规范便携Wi-Fi设备的使用上,应通过制定相应的管理制度,明文规定在单位网络中严禁使用此类设备,并辅用以上技术手段,以确保单位网络的信息安全。
参考文献
[1]张慧.Wi-Fi无线局域网安全协议分析[J].湖北第二师范学院学报,2011(2):55-57.
收稿日期:2016—04—19
*本文由中国气象局乌兰乌苏绿洲农田生态站资助。