2022年便携Wi-Fi设备在局域网中的安全禁用.docx

便携 Wi-Fi设备在局域网中的安全禁用- 农学论文便携 Wi-Fi 设备在局域网中的安全禁用张明（1.新疆石河子乌兰乌苏农业气象试验站，新疆石河子832000 ）摘要：将便携 Wi- Fi 设备插入电脑 USB 接口，就能为智能手机、平板电脑等终端供应网络接入服务；从原理上看，大多的便携Wi- Fi 设备是通过应用WindowsICS 服务，将接入互联网的网络共享，通过自身搭建的AP 热点为其它终端供应接入互联网服务；便携Wi - Fi设备在单位局域网中的使用，是单位网络安全的隐患；在不同的组网情形和网络环境下，通过禁止网络共享、使用行为治理工具、 MAC挑选、信道干扰、多网卡禁用、终端限制、USB 口治理等技术设定，可以限制便携 Wi - Fi设备的随便使用；关键词：便携 Wi - Fi ；安全禁用目前，各种型号的便携 Wi- Fi 设备只需插入电脑的USB 接口，便能自行组建 1 个无线热点，为智能手机、平板电脑等终端供应网络接入服务；其价格廉价、操作简洁，解决了智能终端接入无线网络的问题；虽然便利了大家，但也苦了单位网管，由于这些便携 Wi - Fi占用了单位的网络宽带，同时也占用了单位的无线通道，而且多数智能终端接入网络的功能是社交、嬉戏等工具软件， 降低了工作效率，仍可能带来单位内部信息的流失，大多单位网管认为禁用此 类便携 Wi - Fi非授权拜访局域网非常必要 1 ；1 便携 Wi - Fi设备硬件机制及工作原理一般人都认为便携 Wi- Fi 设备是微缩版的无线路由器，但从互联网上测评机构的拆解来看，硬件上，这些设备本质上就是一个自来驱动的无线网卡，部分设备仍带有定向天线；大家知道，无线路由器是1 个路由器 +无线网卡 +交换机的综合体，具有路由和交换功能；而无线网卡只有简洁的网络数据收发功能；无线网卡通常有Master 、Managed、Ad-hoc 、Monitor等几种工作模式，常用的便携 Wi - Fi 设备一般支持 Master和 Ad - hoc 模式，其中当无线网卡工作在 Master模式时，答应无线网卡使用特定的驱动程序和软件工作， 为其它设备供应网络服务；准确的说，大多的便携Wi- Fi 设备都是 1 个无线网卡，只不过这个无线网卡不是用来连接其它设备，而是自己建立了1 个无线AP 以供其它设备接入；便携 Wi-Fi 设备本身不供应接入互联网服务，它是应用了Windows的 ICS服 务接 入互 联 网的 ； ICS即 Internet连 接共 享（ InternetConnection Sharing ）的英文简称，是 Windows系统针对家庭网络或小型Internet网络供应的一种 Internet连接共享服务；他实际上相当于一种网络地址转换器，就 是当数据包向前传递的过程中，转换数据包中的IP 地址和 TCP/UDP 端口等地址信息；便携 Wi - Fi设备正是通过此服务，将已经接入互联网的网络共享通过 自身搭建的 AP 热点为其它终端供应接入互联网服务；2 禁用方法明白了便携 Wi-Fi 设备的硬件机制及工作原理后，我们可以依据不同的组网情形和网络环境，采纳相关的技术设定，限制便携Wi - Fi设备的使用；2.1 禁止网络共享便携 Wi- Fi 设备基本依靠于 ICS 服务，只须关闭此服务，已经接入互联网的网络便不能够共享，直接切断了互联网出口，便携Wi - Fi设备只能供应自身搭建的局域网拜访，连同主机之间的通讯都无法进行，对大多数用户自然就失去了意义；在域环境下，可以通过制定“组策略”，通过域掌握器下发策略，从 而关闭 ICS 服务，其详细方法：（ 1 ）单击“开头”，在“开头搜寻”框中键入 mmcgpedit.msc，打开组策略治理编辑器；（ 2 ）在导航窗格中，打开以下文件夹：“本地运算机策略”、“运算机配置”、“治理模板”、“网络”和“网络连接”；（ 3 ）在细节窗格中，双击“禁止使用DNS域网络上的Internet共享连接”；（ 4 ）执行以下操作之一：如要禁止组策略设置并启用ICS，单击“已禁用”；（ 5）单击“确定”，储存更换；对于没有域环境的网络，实施起来较为麻烦，一是限制的用户不能有开启服务的权限，即用户身份不能是超级治理员，只能赐予User身份；二是需要到运算机上操作，可以通过撰写关闭 ICS 服务批处理文件，并将加入到方案任务里，保证开机即执行， 对于 Windows7 和 Windows8 操作系统的运算机，必需“以治理员身份” 执行命令；批处理文件内容如下：echo offnet stop“ Shared Access”sc config Shared Access start=disabled2.2 使用行为治理工具行为治理工具一般部署在网络出口，一旦检测到单一IP 地址的多个特点值， 比如每台电脑的会话值是 165535中的 1 个随机值，同一台电脑上会话值是依次递增的，一旦检测到的会话值有较大的跳变，就可通过检测上网返回页面的 UserAgent值来确定是否有多种终端接入了网络，从而认定是否存在私接现象，直接堵塞端口或禁止服务；2.3 通过 MAC 挑选法对于通过网络出口布置有代理服务器的网络，可以通过代理服务器设置MAC 地址挑选器，收集单位局域网内合法的终端运算机或设备的MAC地址，将这些 MAC 地址加入到代理服务器或 DHCP 服务器的 MAC 地址挑选器中，这样经过授权的 MAC 地址可以答应接入到网络，而其它便携Wi - Fi设备将禁止接入到网络；2.4 信道干扰法信道干扰法即利用 RougeAP 技术，由于便携 Wi - Fi 设备和一般的 AP 并无大的区分，一般使用 1 、6、11 或 13 信道，对已部署有单位无线网络的网络， 通过设置 MonitorAP，扫描或监听无线介质，检测无线网络的非法AP，可以获知其用的信道，以及其硬件特点码，然后在治理的AC 上进行查询，看是否为已注册的 AP，假如是非法信号，就通过增益其非法AP 所使用信道的原理， 用本身的信号干扰非法AP，导致非法 AP 无法使用；目前主流的网络设备Cisco 、H3C 、华为均有相应的解决方案；下面以H3C设备为例，简要说明其配置：设定 AP2 为 AC 上合法的无线网络，ACsystem-view ACWlan ap ap2AC-wlan-ap-ap2work-modemoniter AC-wlan-ap-ap2radio 1/ 设置 AP2 的工作模式为 MoniterAC- wlan-ap-ap2-radio-1radio enable/ 使用 AP2 的射频ACwlanids/ 进入 Wlan IDS视图AC-wlan-idsdevice permit ssid h3c/ 将 AP2 的 SSid 添加到合法的 SSid 列表AC-wlan-idscountermeasures enable/ 使用反制Rouge设备的功能，利用Rougeap检测系统较适合大型的Wlan 网络；2.5 多网卡禁用法便携 Wi - Fi 设备接入到运算机后，运算机会识别为1 个无线网卡，可以通部署客户端的方式检测用户网卡数量，对于多网卡的现象，直接部署相应的处理机制，强制客户端下线，从而达到禁止便携Wi- Fi 设备的使用；例如 H3C 的EAD 准入系统、网络岗软件，这类设备主要依靠于客户端软件搜集机器本身网卡信息，网络上显现多个破解的工具端，但这种破解的客户端碎片化较严峻， 基本都不是可使用的版本，网管可以通过设定只有某些个版本以上的客户端才答应登陆，这样可以有效防止破解客户端的问题；2.6 终端限制法对于拥有桌面治理软件的网络，部分治理软件具有硬件治理功能，其工作原理是：一旦检测到设备插入到网络，便依据其自身的硬件生成一个硬件代码，然后去跟服务器端的硬件代码池作比较，判定此设备是否为单位网络答应使用的硬件，一旦硬件代码不能匹配代码池中的代码，就自动禁用此硬件设备；2.7USB 口治理法通过对 USB 口的管控进行限制，可以采纳封闭USB 口或通过 USB 口治理软件进行相应的设置，防止便携 Wi - Fi设备的非法使用；3 小结便携 Wi-Fi 设备极大地便利了用户智能终端拉入网络，但其究竟为便携网络设备，家用尚可，一旦接入单位网络，对于单位信息安全是一庞大隐患；三分技术，七分治理，在规范便携 Wi - Fi设备的使用上，应通过制定相应的治理制度，明文规定在单位网络中严禁使用此类设备，并辅用以上技术手段，以确保单位网络的信息安全；参考文献1 张慧.Wi- Fi 无线局域网安全协议分析J. 湖北其次师范学院学报，2021（ 2）： 55-57.