王偉雄

摘要：通過實例簡述eas防蹭網(wǎng)系統(tǒng)的運行工作原理與實際應(yīng)用，增強無線網(wǎng)絡(luò)的安全。

關(guān)鍵詞：eas防蹭網(wǎng)系統(tǒng)；原理

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-5039（2018）16-0044-02

1 前言

隨著三網(wǎng)融合的趨勢，電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)逐漸進(jìn)行融合統(tǒng)一，簡單而言，一根物理傳輸線可提供語音、數(shù)據(jù)、圖像等業(yè)務(wù)，這在以前是不可想象的，伴隨著無線網(wǎng)絡(luò)技術(shù)的發(fā)展和普及，越來越多家庭布置無線網(wǎng)絡(luò)，但跟隨著無線網(wǎng)絡(luò)安全的問題也越來越突出，加密技術(shù)從最初的WEP（Wired Equivalent Privacy），WPA（Wi-FiProtectedAccess）發(fā)展到最新的WPA2（WPA第二版）加密算法，但還是無法完全杜絕居心不良的人通過卡王，WIFI無線鑰匙等技術(shù)，時刻窺伺著你的無線網(wǎng)絡(luò)，小則拖慢網(wǎng)速，大則容易導(dǎo)致數(shù)據(jù)泄露，從而產(chǎn)生信息安全問題。目前加密方案中較為流行的有WPA2密碼加密，WEB網(wǎng)頁驗證，黑白名單驗證，微信掃一掃上網(wǎng)等等。家庭使用首先排除布置成本高的WEB網(wǎng)頁驗證和微信連WIFI（需要采購專用的商用硬件設(shè)備），其次排除安全性低的WPA2密碼加密方案（該方案容易被WIFI無線鑰匙將密碼共享出去），剩下的就是采用黑白名單加密方案，但該方案人性化太低，需獲取設(shè)備的MAC地址，然后打開PC或者智能手機訪問路由器頁面，將MAC地址添加入白名單，對于普通用戶操作過程過于煩瑣，也容易出錯。因此，只需解決MAC地址的輸入過程過于煩瑣這個痛點，黑白名單方案對于家庭使用幾乎是完美的方案，具有布置成本低，安全性高，兼容性好等優(yōu)點。

2 網(wǎng)絡(luò)拓?fù)鋱D

典型的基于NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)的方案，光纖收發(fā)器（光貓）接EdgeRouterX路由器WAN口，通過NAT技術(shù)將公網(wǎng)地址轉(zhuǎn)為內(nèi)部局域網(wǎng)地址，LAN口分別接PC和AP，AP將網(wǎng)絡(luò)信號通過WIFI技術(shù)為智能手機，IPAD等服務(wù)。路由器采用UBNT公司的EdgeRouterX路由器，系統(tǒng)采用基于Debian定制的EdgeOS系統(tǒng)，具有高靈活，性能強，擴展性好，可在原系統(tǒng)上進(jìn)行軟件開發(fā)與編程，開發(fā)出無與倫比的程序。

本防蹭網(wǎng)系統(tǒng)就是基于這個硬件進(jìn)行開發(fā)，無線AP方面，無線AP必須具有無線和訪客網(wǎng)絡(luò)信號雙發(fā)射功能，可采購普通無線路由器刷第三方固件進(jìn)行擴展，以節(jié)省采購成本。

主網(wǎng)絡(luò)主要供主人的設(shè)備使用，可訪問互聯(lián)網(wǎng)和局域網(wǎng)，方便進(jìn)行數(shù)據(jù)交換。由于對安全性較高，因此使用強密碼WPA2加密和EAS系統(tǒng)方案，以加強安全性。

訪客網(wǎng)絡(luò)主要給來賓客人使用，該模式的優(yōu)點是無法訪問內(nèi)部局域網(wǎng)，無法接觸到重要數(shù)據(jù)，因此，為方便來賓客人使用，只需要使用EAS系統(tǒng)即可。

3 EAS系統(tǒng)安裝原理和認(rèn)證流程

通過git clone下載好源代碼后，通過winscp上傳到路由器的/tmp目錄，然后授予可執(zhí)行權(quán)限命令chmod +x EdgeMaxER-X-eas-Install.sh，進(jìn)行安裝，主程序會復(fù)制到/usr/local/eas目錄里，系統(tǒng)主要以Debian系統(tǒng)為基礎(chǔ)，通過系統(tǒng)內(nèi)置的iptables防火墻，當(dāng)系統(tǒng)啟動時，新建一個白名單鏈white_list，然后循環(huán)讀取已有的白名單設(shè)備MAC，加入白名單鏈，最后進(jìn)行非法訪問檢查，禁止非白名單訪問，并且加入接口等等操作。（詳細(xì)操作見源代碼）

當(dāng)新用戶掃描二維碼訪問時，系統(tǒng)會引導(dǎo)到一個認(rèn)證界面，在后臺會根據(jù)用戶設(shè)備的內(nèi)網(wǎng)地址獲取設(shè)備的MAC和IP地址后，根據(jù)用戶填寫的昵稱然后寫入白名單文件，然后加入白名單鏈，即可正常上網(wǎng)。

情況1、來賓訪客連接上專用不設(shè)密碼的WIFI："來訪用WIFI"，然后掃一掃帖在墻上的二維碼，系統(tǒng)會引導(dǎo)到昵稱輸入界面，輸入你的昵稱或者設(shè)備名稱，按登錄即可。

通過驗證后，系統(tǒng)提示已經(jīng)成功驗證，說明用戶的設(shè)備MAC地址已經(jīng)成功加入了白名單，可以享受高速安全的無線網(wǎng)絡(luò)服務(wù)了。

情況2、未經(jīng)授權(quán)用戶搜索到無線WIFI："來訪用WIFI"，由于該WIFI為方便來賓訪客，所以未加密碼，因此，當(dāng)未經(jīng)授權(quán)用戶連上WIFI后，由于沒有掃描二維碼，所以進(jìn)入了黑名單檢測模式，當(dāng)該用戶訪問超過設(shè)定的數(shù)據(jù)包后，系統(tǒng)自動將該用戶的MAC地址加入黑名單，加入黑名單后，將無法訪問任何服務(wù)，包括路由器，互聯(lián)網(wǎng)，由于使用的是訪客網(wǎng)絡(luò)模式，更不可能訪問到局域網(wǎng)主機，因此，不可能造成數(shù)據(jù)泄露。

4 EAS管理后臺

授權(quán)用戶登錄后，在瀏覽器上輸入http：//192.168.1.1：81/system.php即可登錄到管理后臺。查看二維碼，查看，添加，刪除白名單和黑名單等等相關(guān)功能。

由于篇幅關(guān)系，這里就不詳細(xì)說明了。

5 結(jié)論

當(dāng)網(wǎng)絡(luò)成為我們身邊必不可少的一部分時，網(wǎng)絡(luò)安全也越來越得到我們的重視，希望我的EAS系統(tǒng)能夠幫助大家實現(xiàn)網(wǎng)絡(luò)上的安全。（所有的源代碼均可在我的github中下載，地址為： https：//github.com/landvd/eas）