張　明（1.新疆石河子烏蘭烏蘇農(nóng)業(yè)氣象試驗(yàn)站，新疆　石河子　832000）

?

便攜WWii
--FFii設(shè)備在局域網(wǎng)中的安全禁用*

張明
（1.新疆石河子烏蘭烏蘇農(nóng)業(yè)氣象試驗(yàn)站，新疆石河子832000）

摘要：將便攜Wi-Fi設(shè)備插入電腦USB接口，就能為智能手機(jī)、平板電腦等終端提供網(wǎng)絡(luò)接入服務(wù)。從原理上看，大多的便攜Wi-Fi設(shè)備是通過應(yīng)用WindowsICS服務(wù)，將接入互聯(lián)網(wǎng)的網(wǎng)絡(luò)共享，通過自身搭建的AP熱點(diǎn)為其它終端提供接入互聯(lián)網(wǎng)服務(wù)。便攜Wi-Fi設(shè)備在單位局域網(wǎng)中的使用，是單位網(wǎng)絡(luò)安全的隱患。在不同的組網(wǎng)情況和網(wǎng)絡(luò)環(huán)境下，通過禁止網(wǎng)絡(luò)共享、使用行為管理工具、MAC篩選、信道干擾、多網(wǎng)卡禁用、終端限制、USB口管理等技術(shù)設(shè)定，可以限制便攜Wi-Fi設(shè)備的隨意使用。

關(guān)鍵詞：便攜Wi-Fi；安全禁用

目前，各種型號的便攜Wi-Fi設(shè)備只需插入電腦的USB接口，便能自行組建1個(gè)無線熱點(diǎn)，為智能手機(jī)、平板電腦等終端提供網(wǎng)絡(luò)接入服務(wù)。其價(jià)格便宜、操作簡單，解決了智能終端接入無線網(wǎng)絡(luò)的問題。雖然方便了大家，但也苦了單位網(wǎng)管，因?yàn)檫@些便攜Wi-Fi占用了單位的網(wǎng)絡(luò)寬帶，同時(shí)也占用了單位的無線通道，而且多數(shù)智能終端接入網(wǎng)絡(luò)的功能是社交、游戲等工具軟件，降低了工作效率，還可能帶來單位內(nèi)部信息的流失，大多單位網(wǎng)管認(rèn)為禁用此類便攜Wi-Fi非授權(quán)訪問局域網(wǎng)十分必要[1]。

1　便攜Wi-Fi設(shè)備硬件機(jī)制及工作原理

一般人都認(rèn)為便攜Wi-Fi設(shè)備是微縮版的無線路由器，但從互聯(lián)網(wǎng)上測評機(jī)構(gòu)的拆解來看，硬件上，這些設(shè)備本質(zhì)上就是一個(gè)自來驅(qū)動(dòng)的無線網(wǎng)卡，部分設(shè)備還帶有定向天線。大家知道，無線路由器是1個(gè)路由器+無線網(wǎng)卡+交換機(jī)的綜合體，具有路由和交換功能；而無線網(wǎng)卡只有簡單的網(wǎng)絡(luò)數(shù)據(jù)收發(fā)功能。無線網(wǎng)卡通常有Master、Managed、Adhoc、Monitor等幾種工作模式，常用的便攜Wi-Fi設(shè)備一般支持Master和Ad-hoc模式，其中當(dāng)無線網(wǎng)卡工作在Master模式時(shí)，允許無線網(wǎng)卡使用特定的驅(qū)動(dòng)程序和軟件工作，為其它設(shè)備提供網(wǎng)絡(luò)服務(wù)。確切的說，大多的便攜Wi-Fi設(shè)備都是1個(gè)無線網(wǎng)卡，只不過這個(gè)無線網(wǎng)卡不是用來連接其它設(shè)備，而是自己建立了1個(gè)無線AP以供其它設(shè)備接入。

便攜Wi-Fi設(shè)備本身不提供接入互聯(lián)網(wǎng)服務(wù)，它是應(yīng)用了Windows的ICS服務(wù)接入互聯(lián)網(wǎng)的。ICS 即Internet連接共享（InternetConnectionSharing）的英文簡稱，是Windows系統(tǒng)針對家庭網(wǎng)絡(luò)或小型Internet網(wǎng)絡(luò)提供的一種Internet連接共享服務(wù)。他實(shí)際上相當(dāng)于一種網(wǎng)絡(luò)地址轉(zhuǎn)換器，就是當(dāng)數(shù)據(jù)包向前傳遞的過程中，轉(zhuǎn)換數(shù)據(jù)包中的IP地址和TCP/UDP端口等地址信息。便攜Wi-Fi設(shè)備正是通過此服務(wù)，將已經(jīng)接入互聯(lián)網(wǎng)的網(wǎng)絡(luò)共享通過自身搭建的AP熱點(diǎn)為其它終端提供接入互聯(lián)網(wǎng)服務(wù)。

2　禁用方法

了解了便攜Wi-Fi設(shè)備的硬件機(jī)制及工作原理后，我們可以根據(jù)不同的組網(wǎng)情況和網(wǎng)絡(luò)環(huán)境，采用相關(guān)的技術(shù)設(shè)定，限制便攜Wi-Fi設(shè)備的使用。

2.1禁止網(wǎng)絡(luò)共享

便攜Wi-Fi設(shè)備基本依賴于ICS服務(wù)，只須關(guān)閉此服務(wù)，已經(jīng)接入互聯(lián)網(wǎng)的網(wǎng)絡(luò)便不能夠共享，直接切斷了互聯(lián)網(wǎng)出口，便攜Wi-Fi設(shè)備只能提供自身搭建的局域網(wǎng)訪問，連同主機(jī)之間的通訊都無法進(jìn)行，對大多數(shù)用戶自然就失去了意義。在域環(huán)境下，可以通過制定“組策略”，通過域控制器下發(fā)策略，從而關(guān)閉ICS服務(wù)，其具體方法：（1）單擊“開始”，在“開始搜索”框中鍵入mmcgpedit.msc，打開組策略管理編輯器。（2）在導(dǎo)航窗格中，打開以下文件夾：“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“管理模板”、“網(wǎng)絡(luò)”和“網(wǎng)絡(luò)連接”。（3）在細(xì)節(jié)窗格中，雙擊“禁止使用DNS域網(wǎng)絡(luò)上的Internet共享連接”。（4）執(zhí)行下列操作之一：若要禁止組策略設(shè)置并啟用ICS，單擊“已禁用”。（5）單擊“確定”，保存更改。對于沒有域環(huán)境的網(wǎng)絡(luò)，實(shí)施起來較為麻煩，一是限制的用戶不能有開啟服務(wù)的權(quán)限，即用戶身份不能是超級管理員，只能給予User身份；二是需要到計(jì)算機(jī)上操作，可以通過撰寫關(guān)閉ICS服務(wù)批處理文件，并將加入到計(jì)劃任務(wù)里，保證開機(jī)即執(zhí)行，對于Windows7和Windows8操作系統(tǒng)的計(jì)算機(jī)，必須“以管理員身份”執(zhí)行命令。批處理文件內(nèi)容如下：

@echooff

netstop“SharedAccess”

scconfigSharedAccessstart=disabled

2.2使用行為管理工具

行為管理工具一般部署在網(wǎng)絡(luò)出口，一旦檢測到單一IP地址的多個(gè)特征值，比如每臺電腦的會(huì)話值是1～65535中的1個(gè)隨機(jī)值，同一臺電腦上會(huì)話值是依次遞增的，一旦檢測到的會(huì)話值有較大的跳變，則可通過檢測上網(wǎng)返回頁面的UserAgent值來確定是否有多種終端接入了網(wǎng)絡(luò)，從而認(rèn)定是否存在私接現(xiàn)象，直接阻塞端口或禁止服務(wù)。

2.3通過MAC篩選法

對于通過網(wǎng)絡(luò)出口布置有代理服務(wù)器的網(wǎng)絡(luò)，可以通過代理服務(wù)器設(shè)置MAC地址篩選器，收集單位局域網(wǎng)內(nèi)合法的終端計(jì)算機(jī)或設(shè)備的MAC地址，將這些MAC地址加入到代理服務(wù)器或DHCP服務(wù)器的MAC地址篩選器中，這樣經(jīng)過授權(quán)的MAC地址可以允許接入到網(wǎng)絡(luò)，而其它便攜Wi-Fi設(shè)備將禁止接入到網(wǎng)絡(luò)。

2.4信道干擾法

信道干擾法即利用RougeAP技術(shù)，因?yàn)楸銛yWi-Fi設(shè)備和普通的AP并無大的區(qū)別，一般使用1、6、11或13信道，對已部署有單位無線網(wǎng)絡(luò)的網(wǎng)絡(luò)，通過設(shè)置MonitorAP，掃描或監(jiān)聽無線介質(zhì)，檢測無線網(wǎng)絡(luò)的非法AP，可以獲知其用的信道，以及其硬件特征碼，然后在管理的AC上進(jìn)行查詢，看是否為已注冊的AP，如果是非法信號，則通過增益其非法AP所使用信道的原理，用本身的信號干擾非法AP，導(dǎo)致非法AP無法使用。目前主流的網(wǎng)絡(luò)設(shè)備Cisco、H3C、華為均有相應(yīng)的解決方案。下面以H3C設(shè)備為例，簡要說明其配置：設(shè)定AP2為AC上合法的無線網(wǎng)絡(luò)，

system-view

[AC]Wlanapap2

[AC-wlan-ap-ap2]work-modemoniter

[AC-wlan-ap-ap2]radio1

//設(shè)置AP2的工作模式為Moniter

[AC-wlan-ap-ap2-radio-1]radioenable

//使用AP2的射頻

[AC]wlanids

//進(jìn)入WlanIDS視圖

[AC-wlan-ids]devicepermitssidh3c

//將AP2的SSid添加到合法的SSid列表

[AC-wlan-ids]countermeasuresenable

//使用反制Rouge設(shè)備的功能，利用Rougeap檢測系統(tǒng)較適合大型的Wlan網(wǎng)絡(luò)。

2.5多網(wǎng)卡禁用法

便攜Wi-Fi設(shè)備接入到計(jì)算機(jī)后，計(jì)算機(jī)會(huì)識別為1個(gè)無線網(wǎng)卡，可以通部署客戶端的方式檢測用戶網(wǎng)卡數(shù)量，對于多網(wǎng)卡的現(xiàn)象，直接部署相應(yīng)的處理機(jī)制，強(qiáng)制客戶端下線，從而達(dá)到禁止便攜Wi-Fi設(shè)備的使用。例如H3C的EAD準(zhǔn)入系統(tǒng)、網(wǎng)絡(luò)崗軟件，這類設(shè)備主要依賴于客戶端軟件搜集機(jī)器本身網(wǎng)卡信息，網(wǎng)絡(luò)上出現(xiàn)多個(gè)破解的工具端，但這種破解的客戶端碎片化較嚴(yán)重，基本都不是可使用的版本，網(wǎng)管可以通過設(shè)定只有某些個(gè)版本以上的客戶端才允許登陸，這樣可以有效防止破解客戶端的問題。

2.6終端限制法

對于擁有桌面管理軟件的網(wǎng)絡(luò)，部分管理軟件具有硬件管理功能，其工作原理是：一旦檢測到設(shè)備插入到網(wǎng)絡(luò)，便根據(jù)其自身的硬件生成一個(gè)硬件代碼，然后去跟服務(wù)器端的硬件代碼池作比較，判斷此設(shè)備是否為單位網(wǎng)絡(luò)允許使用的硬件，一旦硬件代碼不能匹配代碼池中的代碼，則自動(dòng)禁用此硬件設(shè)備。

2.7USB口管理法

通過對USB口的管控進(jìn)行限制，可以采用封閉USB口或通過USB口管理軟件進(jìn)行相應(yīng)的設(shè)置，防止便攜Wi-Fi設(shè)備的非法使用。

3　小結(jié)

便攜Wi-Fi設(shè)備極大地方便了用戶智能終端拉入網(wǎng)絡(luò)，但其畢竟為便攜網(wǎng)絡(luò)設(shè)備，家用尚可，一旦接入單位網(wǎng)絡(luò)，對于單位信息安全是一巨大隱患。三分技術(shù)，七分管理，在規(guī)范便攜Wi-Fi設(shè)備的使用上，應(yīng)通過制定相應(yīng)的管理制度，明文規(guī)定在單位網(wǎng)絡(luò)中嚴(yán)禁使用此類設(shè)備，并輔用以上技術(shù)手段，以確保單位網(wǎng)絡(luò)的信息安全。

參考文獻(xiàn)

[1]張慧.Wi-Fi無線局域網(wǎng)安全協(xié)議分析[J].湖北第二師范學(xué)院學(xué)報(bào)，2011（2）：55-57.

收稿日期：2016—04—19

*本文由中國氣象局烏蘭烏蘇綠洲農(nóng)田生態(tài)站資助。