便携WWii
--FFii设备在局域网中的安全禁用*

张　明（1.新疆石河子乌兰乌苏农业气象试验站，新疆　石河子　832000）



便携WWii
--FFii设备在局域网中的安全禁用*

张明
（1.新疆石河子乌兰乌苏农业气象试验站，新疆石河子832000）

摘要：将便携Wi-Fi设备插入电脑USB接口，就能为智能手机、平板电脑等终端提供网络接入服务。从原理上看，大多的便携Wi-Fi设备是通过应用WindowsICS服务，将接入互联网的网络共享，通过自身搭建的AP热点为其它终端提供接入互联网服务。便携Wi-Fi设备在单位局域网中的使用，是单位网络安全的隐患。在不同的组网情况和网络环境下，通过禁止网络共享、使用行为管理工具、MAC筛选、信道干扰、多网卡禁用、终端限制、USB口管理等技术设定，可以限制便携Wi-Fi设备的随意使用。

关键词：便携Wi-Fi；安全禁用

目前，各种型号的便携Wi-Fi设备只需插入电脑的USB接口，便能自行组建1个无线热点，为智能手机、平板电脑等终端提供网络接入服务。其价格便宜、操作简单，解决了智能终端接入无线网络的问题。虽然方便了大家，但也苦了单位网管，因为这些便携Wi-Fi占用了单位的网络宽带，同时也占用了单位的无线通道，而且多数智能终端接入网络的功能是社交、游戏等工具软件，降低了工作效率，还可能带来单位内部信息的流失，大多单位网管认为禁用此类便携Wi-Fi非授权访问局域网十分必要[1]。

1　便携Wi-Fi设备硬件机制及工作原理

一般人都认为便携Wi-Fi设备是微缩版的无线路由器，但从互联网上测评机构的拆解来看，硬件上，这些设备本质上就是一个自来驱动的无线网卡，部分设备还带有定向天线。大家知道，无线路由器是1个路由器+无线网卡+交换机的综合体，具有路由和交换功能；而无线网卡只有简单的网络数据收发功能。无线网卡通常有Master、Managed、Adhoc、Monitor等几种工作模式，常用的便携Wi-Fi设备一般支持Master和Ad-hoc模式，其中当无线网卡工作在Master模式时，允许无线网卡使用特定的驱动程序和软件工作，为其它设备提供网络服务。确切的说，大多的便携Wi-Fi设备都是1个无线网卡，只不过这个无线网卡不是用来连接其它设备，而是自己建立了1个无线AP以供其它设备接入。

便携Wi-Fi设备本身不提供接入互联网服务，它是应用了Windows的ICS服务接入互联网的。ICS 即Internet连接共享（InternetConnectionSharing）的英文简称，是Windows系统针对家庭网络或小型Internet网络提供的一种Internet连接共享服务。他实际上相当于一种网络地址转换器，就是当数据包向前传递的过程中，转换数据包中的IP地址和TCP/UDP端口等地址信息。便携Wi-Fi设备正是通过此服务，将已经接入互联网的网络共享通过自身搭建的AP热点为其它终端提供接入互联网服务。

2　禁用方法

了解了便携Wi-Fi设备的硬件机制及工作原理后，我们可以根据不同的组网情况和网络环境，采用相关的技术设定，限制便携Wi-Fi设备的使用。

2.1禁止网络共享

便携Wi-Fi设备基本依赖于ICS服务，只须关闭此服务，已经接入互联网的网络便不能够共享，直接切断了互联网出口，便携Wi-Fi设备只能提供自身搭建的局域网访问，连同主机之间的通讯都无法进行，对大多数用户自然就失去了意义。在域环境下，可以通过制定“组策略”，通过域控制器下发策略，从而关闭ICS服务，其具体方法：（1）单击“开始”，在“开始搜索”框中键入mmcgpedit.msc，打开组策略管理编辑器。（2）在导航窗格中，打开以下文件夹：“本地计算机策略”、“计算机配置”、“管理模板”、“网络”和“网络连接”。（3）在细节窗格中，双击“禁止使用DNS域网络上的Internet共享连接”。（4）执行下列操作之一：若要禁止组策略设置并启用ICS，单击“已禁用”。（5）单击“确定”，保存更改。对于没有域环境的网络，实施起来较为麻烦，一是限制的用户不能有开启服务的权限，即用户身份不能是超级管理员，只能给予User身份；二是需要到计算机上操作，可以通过撰写关闭ICS服务批处理文件，并将加入到计划任务里，保证开机即执行，对于Windows7和Windows8操作系统的计算机，必须“以管理员身份”执行命令。批处理文件内容如下：

@echooff

netstop“SharedAccess”

scconfigSharedAccessstart=disabled

2.2使用行为管理工具

行为管理工具一般部署在网络出口，一旦检测到单一IP地址的多个特征值，比如每台电脑的会话值是1～65535中的1个随机值，同一台电脑上会话值是依次递增的，一旦检测到的会话值有较大的跳变，则可通过检测上网返回页面的UserAgent值来确定是否有多种终端接入了网络，从而认定是否存在私接现象，直接阻塞端口或禁止服务。

2.3通过MAC筛选法

对于通过网络出口布置有代理服务器的网络，可以通过代理服务器设置MAC地址筛选器，收集单位局域网内合法的终端计算机或设备的MAC地址，将这些MAC地址加入到代理服务器或DHCP服务器的MAC地址筛选器中，这样经过授权的MAC地址可以允许接入到网络，而其它便携Wi-Fi设备将禁止接入到网络。

2.4信道干扰法

信道干扰法即利用RougeAP技术，因为便携Wi-Fi设备和普通的AP并无大的区别，一般使用1、6、11或13信道，对已部署有单位无线网络的网络，通过设置MonitorAP，扫描或监听无线介质，检测无线网络的非法AP，可以获知其用的信道，以及其硬件特征码，然后在管理的AC上进行查询，看是否为已注册的AP，如果是非法信号，则通过增益其非法AP所使用信道的原理，用本身的信号干扰非法AP，导致非法AP无法使用。目前主流的网络设备Cisco、H3C、华为均有相应的解决方案。下面以H3C设备为例，简要说明其配置：设定AP2为AC上合法的无线网络，

system-view

[AC]Wlanapap2

[AC-wlan-ap-ap2]work-modemoniter

[AC-wlan-ap-ap2]radio1

//设置AP2的工作模式为Moniter

[AC-wlan-ap-ap2-radio-1]radioenable

//使用AP2的射频

[AC]wlanids

//进入WlanIDS视图

[AC-wlan-ids]devicepermitssidh3c

//将AP2的SSid添加到合法的SSid列表

[AC-wlan-ids]countermeasuresenable

//使用反制Rouge设备的功能，利用Rougeap检测系统较适合大型的Wlan网络。

2.5多网卡禁用法

便携Wi-Fi设备接入到计算机后，计算机会识别为1个无线网卡，可以通部署客户端的方式检测用户网卡数量，对于多网卡的现象，直接部署相应的处理机制，强制客户端下线，从而达到禁止便携Wi-Fi设备的使用。例如H3C的EAD准入系统、网络岗软件，这类设备主要依赖于客户端软件搜集机器本身网卡信息，网络上出现多个破解的工具端，但这种破解的客户端碎片化较严重，基本都不是可使用的版本，网管可以通过设定只有某些个版本以上的客户端才允许登陆，这样可以有效防止破解客户端的问题。

2.6终端限制法

对于拥有桌面管理软件的网络，部分管理软件具有硬件管理功能，其工作原理是：一旦检测到设备插入到网络，便根据其自身的硬件生成一个硬件代码，然后去跟服务器端的硬件代码池作比较，判断此设备是否为单位网络允许使用的硬件，一旦硬件代码不能匹配代码池中的代码，则自动禁用此硬件设备。

2.7USB口管理法

通过对USB口的管控进行限制，可以采用封闭USB口或通过USB口管理软件进行相应的设置，防止便携Wi-Fi设备的非法使用。

3　小结

便携Wi-Fi设备极大地方便了用户智能终端拉入网络，但其毕竟为便携网络设备，家用尚可，一旦接入单位网络，对于单位信息安全是一巨大隐患。三分技术，七分管理，在规范便携Wi-Fi设备的使用上，应通过制定相应的管理制度，明文规定在单位网络中严禁使用此类设备，并辅用以上技术手段，以确保单位网络的信息安全。

参考文献

[1]张慧.Wi-Fi无线局域网安全协议分析[J].湖北第二师范学院学报，2011（2）：55-57.

收稿日期：2016—04—19

*本文由中国气象局乌兰乌苏绿洲农田生态站资助。