深圳市万网博通科技有限公司

智慧城市网试用11

收藏
搜索

TG-NET解析“为什么说公共Wi-Fi不安全”

时间:2014-12-17      阅读:1962

  我们经常会听到来自安全专家的警告,公共Wi-Fi不安全,请谨慎连接。
  
  这些警告确实都是正确的,有非常大比例的公共Wi-Fi点存在安全隐患。曾有一份抽样安全调查显示,全国8万个公共Wi-Fi中有21%存在风险。
  
  不过安全专家们对其中危害很少做原理性质的说明,大家只能知其然而不知其所以然。我们知道连上公共Wi-Fi后可能会被盗取各种账号,但为什么会被盗号却不太清楚。
  
  为什么呢?嗯,这就是一篇原理性质的讲解。下面TG-NET工程师就为您解答。通常来说,连上公共Wi-Fi后,我们可能面临两类攻击。
  
  内网jianting攻击
  
  简单的说,就是在一个共同的网络内,攻击者可以很容易地窃听你上网的内容,包括网盘上传的照片、刚发的微博等等。
  
  有两种方式,一种ARP攻击,用过几年前只有1Mb、2Mb宽带的人会比较熟悉,有人开迅雷下载了就马上用p2p限速软件,这种软件就是用的ARP攻击。它在你的手机/电脑和路由之间伪造成中转站,不但可以看到所有经过流量,还能对流量进行限速。
  
  混杂模式jianting
  
  另外一种是网卡的混杂模式监听,它可以收到网内所有的广播流量。这个有条件限制,就是网络内有在广播的设备,比如HUB。大家在公司或网吧经常可以看到HUB,一个“一条网线进,几十条网线出”的扩充设备。如果这个公共Wi-Fi内有这类设施,通常你上网的流量可能可以被窃听。
  
  针对以上两种方式的攻击,TG-NET工程师专程做出了“RE”系列路由器的功能防护。
  
  看TG-NET专家如何破解
  
  我们的“攻城狮”给大家带来了技术操作,给使用过或者即将使用我们产品的用户,带来一个关于TG路由器的安全管理。
  
  一、ARP攻击解析
  
  ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
  
  ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
  
  TG-NET路由器对此攻击做了有效的防御措施
  
  1.ARP绑定
  
  ARP绑定,可以有效的防止内网的攻击,更有效的管理内网电脑。只允许绑定的MAC和ip通过:只有一一绑定的ip才能正常通过。可以点击ARP扫描添加绑定列表;也可以手动批量绑定,如下图:
  

  之后可在设置下勾选只允许绑定的ip/mac通过;zui后点击保存&应用:完成此处配置且立即生效。如下图所示:
  

  2.ARP欺骗
  
  在局域网中,黑客经过收到的ARPRequest广播包,能够偷听到其它节点的(IP,MAC)地址,黑客就伪装为A,告诉B(受害者)一个假地址,使得B在发送给A的数据包都被黑客截取,而A,B浑然不知。
  
  冒充网关,欺骗内网PC,使内网PC掉线。
  
  冒充内网PC,欺骗网关,结果也是内网PC掉线。
  
  针对ARP欺骗RE路由器网络安全设置下有ARP绑定,ARP安全设置,在ARP安全设置下勾选免费arp发送,ARP攻击防御,ARP欺骗检测功能。在web管理界面下可以直接设置,如下图所示:

  
  二、多重设置防流量qieting
  
  RE500和WR100路由器支持无线上网,其无线网络设置如下:
  
  无线加密,设置加密类型和无线网络的密码
  
  加密类型:支持WEP、WPA-ESP、WPA2-ESP、WPA-ESP/WPA2-ESP多种类型
  
  WEP是WiredEquivalentPrivacy的简称,有线等效保密(WEP)协议是对在两台设备间无线传输的数据进行加密的方式,用以防止非法用户窃听或侵入无线网络。
  
  WPA全名为Wi-FiProtectedAccess,有WPA和WPA2两个标准,是一种保护无线电脑网络(Wi-Fi)安全的系统,它是应研究者在前一代的系统有线等效加密(WEP)中找到的几个严重的弱点而产生的。
  
  WPA2是经由Wi-Fi联盟验证过的IEEE802.11i标准的认证形式。

  
  绑定的LAN接口:可根据你的无线接入的lan口做相应的绑定。比如内网无线网络数据是从lan2口接入,则可绑定为Lan2
  
  保存&应用
  
  1、无线安全设置
  

  1、勾选隐藏SSID:可将无线网络隐藏,防止未被*的用户进入本网络出现蹭网情况。
  
  2、建议勾选隔离接入用户:让各个接入无线网络的客户端保持相互隔离,提供彼此间更加安全的接入,和防止病毒的传播。
  
  3、设置zui大接入用户数:可对无线接入用户数进行限制。
  
  4、设置MAC过滤,添加mac列表:仅允许列表内的用户上网,实现对接入用户的上网控制;勾选禁用:则对接入用户不做上网限制。

       客人网络
  
  RE500和WR100路由器支持客人网络模式,可选择不加密,使外访人员直接接入无线网
  

  建议勾选孤立客人网络,禁止客人网络的用户与主网络、有线网络通信,保持主网络与客人网络间的隔离,可有效避免主网络信息泄漏。
  
  为进一步保证整个无线网络的安全性可对路由器做以下设置
  
  1、白名单
  
  启用白名单,可使添加的不受上网行为禁止的控制,在在线列表中可查看当前状态,是否手机登入都可以看见,如下图
  

  2、过滤
  
  设置过滤可禁止内网IP访问不良,以便防止访问不良后产生病毒在内网传播

  
  3、启用防火墙规则
  
  设置防火墙规则可对内网IP访问某网络做控制。
  
  比如源IP组:办公网ip地址组不允许访问目的IP组:财务ip地址组可设置入接口为源IP组的网络接口,出接口可设置为目的IP组的网络接口;协议为所有协议,动作为禁止,可设优先级为高,越高越优先匹配

上一篇: 营销 TG-NET打造个性酒店网络 下一篇: TG-NET智能型安全营销WIFI管理——新玛特商场
提示

请选择您要拨打的电话: