張　明（1.新疆石河子烏蘭烏蘇農業(yè)氣象試驗站，新疆　石河子　832000）

?

便攜WWii
--FFii設備在局域網中的安全禁用*

張明
（1.新疆石河子烏蘭烏蘇農業(yè)氣象試驗站，新疆石河子832000）

摘要：將便攜Wi-Fi設備插入電腦USB接口，就能為智能手機、平板電腦等終端提供網絡接入服務。從原理上看，大多的便攜Wi-Fi設備是通過應用WindowsICS服務，將接入互聯網的網絡共享，通過自身搭建的AP熱點為其它終端提供接入互聯網服務。便攜Wi-Fi設備在單位局域網中的使用，是單位網絡安全的隱患。在不同的組網情況和網絡環(huán)境下，通過禁止網絡共享、使用行為管理工具、MAC篩選、信道干擾、多網卡禁用、終端限制、USB口管理等技術設定，可以限制便攜Wi-Fi設備的隨意使用。

關鍵詞：便攜Wi-Fi；安全禁用

目前，各種型號的便攜Wi-Fi設備只需插入電腦的USB接口，便能自行組建1個無線熱點，為智能手機、平板電腦等終端提供網絡接入服務。其價格便宜、操作簡單，解決了智能終端接入無線網絡的問題。雖然方便了大家，但也苦了單位網管，因為這些便攜Wi-Fi占用了單位的網絡寬帶，同時也占用了單位的無線通道，而且多數智能終端接入網絡的功能是社交、游戲等工具軟件，降低了工作效率，還可能帶來單位內部信息的流失，大多單位網管認為禁用此類便攜Wi-Fi非授權訪問局域網十分必要[1]。

1　便攜Wi-Fi設備硬件機制及工作原理

一般人都認為便攜Wi-Fi設備是微縮版的無線路由器，但從互聯網上測評機構的拆解來看，硬件上，這些設備本質上就是一個自來驅動的無線網卡，部分設備還帶有定向天線。大家知道，無線路由器是1個路由器+無線網卡+交換機的綜合體，具有路由和交換功能；而無線網卡只有簡單的網絡數據收發(fā)功能。無線網卡通常有Master、Managed、Adhoc、Monitor等幾種工作模式，常用的便攜Wi-Fi設備一般支持Master和Ad-hoc模式，其中當無線網卡工作在Master模式時，允許無線網卡使用特定的驅動程序和軟件工作，為其它設備提供網絡服務。確切的說，大多的便攜Wi-Fi設備都是1個無線網卡，只不過這個無線網卡不是用來連接其它設備，而是自己建立了1個無線AP以供其它設備接入。

便攜Wi-Fi設備本身不提供接入互聯網服務，它是應用了Windows的ICS服務接入互聯網的。ICS 即Internet連接共享（InternetConnectionSharing）的英文簡稱，是Windows系統針對家庭網絡或小型Internet網絡提供的一種Internet連接共享服務。他實際上相當于一種網絡地址轉換器，就是當數據包向前傳遞的過程中，轉換數據包中的IP地址和TCP/UDP端口等地址信息。便攜Wi-Fi設備正是通過此服務，將已經接入互聯網的網絡共享通過自身搭建的AP熱點為其它終端提供接入互聯網服務。

2　禁用方法

了解了便攜Wi-Fi設備的硬件機制及工作原理后，我們可以根據不同的組網情況和網絡環(huán)境，采用相關的技術設定，限制便攜Wi-Fi設備的使用。

2.1禁止網絡共享

便攜Wi-Fi設備基本依賴于ICS服務，只須關閉此服務，已經接入互聯網的網絡便不能夠共享，直接切斷了互聯網出口，便攜Wi-Fi設備只能提供自身搭建的局域網訪問，連同主機之間的通訊都無法進行，對大多數用戶自然就失去了意義。在域環(huán)境下，可以通過制定“組策略”，通過域控制器下發(fā)策略，從而關閉ICS服務，其具體方法：（1）單擊“開始”，在“開始搜索”框中鍵入mmcgpedit.msc，打開組策略管理編輯器。（2）在導航窗格中，打開以下文件夾：“本地計算機策略”、“計算機配置”、“管理模板”、“網絡”和“網絡連接”。（3）在細節(jié)窗格中，雙擊“禁止使用DNS域網絡上的Internet共享連接”。（4）執(zhí)行下列操作之一：若要禁止組策略設置并啟用ICS，單擊“已禁用”。（5）單擊“確定”，保存更改。對于沒有域環(huán)境的網絡，實施起來較為麻煩，一是限制的用戶不能有開啟服務的權限，即用戶身份不能是超級管理員，只能給予User身份；二是需要到計算機上操作，可以通過撰寫關閉ICS服務批處理文件，并將加入到計劃任務里，保證開機即執(zhí)行，對于Windows7和Windows8操作系統的計算機，必須“以管理員身份”執(zhí)行命令。批處理文件內容如下：

@echooff

netstop“SharedAccess”

scconfigSharedAccessstart=disabled

2.2使用行為管理工具

行為管理工具一般部署在網絡出口，一旦檢測到單一IP地址的多個特征值，比如每臺電腦的會話值是1～65535中的1個隨機值，同一臺電腦上會話值是依次遞增的，一旦檢測到的會話值有較大的跳變，則可通過檢測上網返回頁面的UserAgent值來確定是否有多種終端接入了網絡，從而認定是否存在私接現象，直接阻塞端口或禁止服務。

2.3通過MAC篩選法

對于通過網絡出口布置有代理服務器的網絡，可以通過代理服務器設置MAC地址篩選器，收集單位局域網內合法的終端計算機或設備的MAC地址，將這些MAC地址加入到代理服務器或DHCP服務器的MAC地址篩選器中，這樣經過授權的MAC地址可以允許接入到網絡，而其它便攜Wi-Fi設備將禁止接入到網絡。

2.4信道干擾法

信道干擾法即利用RougeAP技術，因為便攜Wi-Fi設備和普通的AP并無大的區(qū)別，一般使用1、6、11或13信道，對已部署有單位無線網絡的網絡，通過設置MonitorAP，掃描或監(jiān)聽無線介質，檢測無線網絡的非法AP，可以獲知其用的信道，以及其硬件特征碼，然后在管理的AC上進行查詢，看是否為已注冊的AP，如果是非法信號，則通過增益其非法AP所使用信道的原理，用本身的信號干擾非法AP，導致非法AP無法使用。目前主流的網絡設備Cisco、H3C、華為均有相應的解決方案。下面以H3C設備為例，簡要說明其配置：設定AP2為AC上合法的無線網絡，

system-view

[AC]Wlanapap2

[AC-wlan-ap-ap2]work-modemoniter

[AC-wlan-ap-ap2]radio1

//設置AP2的工作模式為Moniter

[AC-wlan-ap-ap2-radio-1]radioenable

//使用AP2的射頻

[AC]wlanids

//進入WlanIDS視圖

[AC-wlan-ids]devicepermitssidh3c

//將AP2的SSid添加到合法的SSid列表

[AC-wlan-ids]countermeasuresenable

//使用反制Rouge設備的功能，利用Rougeap檢測系統較適合大型的Wlan網絡。

2.5多網卡禁用法

便攜Wi-Fi設備接入到計算機后，計算機會識別為1個無線網卡，可以通部署客戶端的方式檢測用戶網卡數量，對于多網卡的現象，直接部署相應的處理機制，強制客戶端下線，從而達到禁止便攜Wi-Fi設備的使用。例如H3C的EAD準入系統、網絡崗軟件，這類設備主要依賴于客戶端軟件搜集機器本身網卡信息，網絡上出現多個破解的工具端，但這種破解的客戶端碎片化較嚴重，基本都不是可使用的版本，網管可以通過設定只有某些個版本以上的客戶端才允許登陸，這樣可以有效防止破解客戶端的問題。

2.6終端限制法

對于擁有桌面管理軟件的網絡，部分管理軟件具有硬件管理功能，其工作原理是：一旦檢測到設備插入到網絡，便根據其自身的硬件生成一個硬件代碼，然后去跟服務器端的硬件代碼池作比較，判斷此設備是否為單位網絡允許使用的硬件，一旦硬件代碼不能匹配代碼池中的代碼，則自動禁用此硬件設備。

2.7USB口管理法

通過對USB口的管控進行限制，可以采用封閉USB口或通過USB口管理軟件進行相應的設置，防止便攜Wi-Fi設備的非法使用。

3　小結

便攜Wi-Fi設備極大地方便了用戶智能終端拉入網絡，但其畢竟為便攜網絡設備，家用尚可，一旦接入單位網絡，對于單位信息安全是一巨大隱患。三分技術，七分管理，在規(guī)范便攜Wi-Fi設備的使用上，應通過制定相應的管理制度，明文規(guī)定在單位網絡中嚴禁使用此類設備，并輔用以上技術手段，以確保單位網絡的信息安全。

參考文獻

[1]張慧.Wi-Fi無線局域網安全協議分析[J].湖北第二師范學院學報，2011（2）：55-57.

收稿日期：2016—04—19

*本文由中國氣象局烏蘭烏蘇綠洲農田生態(tài)站資助。