TG-NET解析“為什么說公共Wi-Fi不安全”

??? 央廣網財經北京11月30日消息 據經濟之聲《天天315》報道，互聯網的世界是美好的，然而網絡安全問題日益突出，病毒木馬、電信詐騙、手機支付病毒等風險不斷增大。本周，由中央網信辦等多部門聯合舉辦的首屆國家網絡安全宣傳周活動旨在普及網絡安全防護技能，公眾希望借此解決心中對網絡安全的疑慮。

??? 我們經常會聽到來自安全專家的警告，公共Wi-Fi不安全，請謹慎連接。這些警告確實都是正確的，有非常大比例的公共Wi-Fi點存在安全隱患。曾有一份抽樣安全調查顯示，全國8萬個公共Wi-Fi中有21%存在風險。

??? 不過安全專家們對其中危害很少做原理性質的說明，大家只能知其然而不知其所以然。我們知道連上公共Wi-Fi后可能會被盜取各種賬號，但為什么會被盜號卻不太清楚。

??? 為什么呢？嗯，這就是一篇原理性質的講解。下面TG-NET工程師就為您解答。通常來說，連上公共Wi-Fi后，我們可能面臨兩類攻擊。

??? 內網監聽攻擊
??? 簡單的說，就是在一個共同的網絡內，攻擊者可以很容易地竊聽你上網的內容，包括百度網盤上傳的照片、剛發的微博等等。
有兩種方式，一種ARP攻擊，用過幾年前只有1Mb、2Mb寬帶的人會比較熟悉，有人開迅雷下載了就馬上用p2p限速軟件，這種軟件就是用的ARP攻擊。它在你的手機/電腦和路由之間偽造成中轉站，不但可以看到所有經過流量，還能對流量進行限速。

??? 混雜模式監聽
??? 另外一種是網卡的混雜模式監聽，它可以收到網內所有的廣播流量。這個有條件限制，就是網絡內有在廣播的設備，比如HUB。大家在公司或網吧經常可以看到HUB，一個“一條網線進，幾十條網線出”的擴充設備。如果這個公共Wi-Fi內有這類設施，通常你上網的流量可能可以被竊聽。

???? 針對以上兩種方式的攻擊，TG-NET工程師專程做出了“RE”系列路由器的功能防護。

??? 看TG-NET專家如何破解

??? 我們的“攻城獅”給大家帶來了技術操作，給使用過或者即將使用我們產品的用戶，帶來一個關于TG路由器的安全管理。

一、ARP 攻擊解析
??? ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞，攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網絡中斷或中間人攻擊。

??? ARP攻擊主要是存在于局域網網絡中，局域網中若有一臺計算機感染ARP木馬，則感染該ARP木馬的系統將會試圖通過“ARP欺騙”手段截獲所在網絡內其它計算機的通信信息，并因此造成網內其它計算機的通信故障。

??? TG-NET路由器對此攻擊做了有效的防御措施
??? 1.ARP綁定
??? ARP綁定，可以有效的防止內網的攻擊，更有效的管理內網電腦。只允許綁定的 MAC 和 ip 通過：只有一一綁定的 ip 才能正常通過。可以點擊ARP掃描添加綁定列表；也可以手動批量綁定，如下圖

??? 之后可在高級設置下勾選只允許綁定的ip/mac通過；最后點擊保存&應用： 完成此處配置且立即生效。如下圖所示

?

??? 2.ARP欺騙
??? 在局域網中，黑客經過收到的ARP Request廣播包，能夠偷聽到其它節點的 (IP, MAC) 地址, 黑客就偽裝為A，告訴B (受害者) 一個假地址，使得B在發送給A 的數據包都被黑客截取，而A, B 渾然不知。

???? 冒充網關，欺騙內網PC，使內網PC掉線。

???? 冒充內網PC，欺騙網關，結果也是內網PC掉線。

???? 針對ARP欺騙RE路由器網絡安全設置下有ARP綁定，ARP安全設置，在ARP安全設置下勾選免費arp發送，ARP攻擊防御，ARP欺騙檢測功能。在web管理界面下可以直接設置，如下圖所示：

二、多重設置防流量竊聽

??? RE500和WR100路由器支持無線上網，其無線網絡設置如下：

??? 無線加密：設置加密類型和無線網絡的密碼
??? 加密類型：支持WEP、WPA-ESP、WPA2-ESP、WPA-ESP/WPA2-ESP多種類型
???? WEP是Wired Equivalent Privacy的簡稱，有線等效保密（WEP）協議是對在兩臺設備間無線傳輸的數據進行加密的方式，用以防止非法用戶竊聽或侵入無線網絡。
???? WPA 全名為 Wi-Fi Protected Access，有WPA 和 WPA2兩個標準，是一種保護無線電腦網絡(Wi-Fi)安全的系統，它是應研究者在前一代的系統有線等效加密（WEP）中找到的幾個嚴重的弱點而產生的。
??? WPA2?是經由 Wi-Fi 聯盟驗證過的 IEEE?802.11i?標準的認證形式。

??? 綁定的LAN接口：可根據你的無線接入的lan口做相應的綁定。比如內網無線網絡數據是從lan2口接入，則可綁定為Lan2
保存&應用

??? 1、無線安全設置

??? 1、勾選隱藏SSID：可將無線網絡隱藏，防止未被授權的用戶進入本網絡出現蹭網情況。
??? 2、建議勾選隔離接入用戶：讓各個接入無線網絡的客戶端保持相互隔離，提供彼此間更加安全的接入，和防止病毒的傳播。
??? 3、設置最大接入用戶數：可對無線接入用戶數進行限制。
??? 4、設置MAC過濾，添加mac列表：僅允許列表內的用戶上網，實現對接入用戶的上網控制；勾選禁用：則對接入用戶不做上網限制

客人網絡
??? RE500和WR100路由器支持客人網絡模式，可選擇不加密，使外訪人員直接接入無線網

??? 建議勾選孤立客人網絡，禁止客人網絡的用戶與主網絡、有線網絡通信，保持主網絡與客人網絡間的隔離，可有效避免主網絡信息泄漏。

為進一步保證整個無線網絡的安全性可對路由器做以下設置

?? 1、QQ白名單
?? 啟用QQ白名單，可使添加的QQ不受上網行為禁止QQ的控制，在QQ在線列表中可查看當前在線QQ狀態，是否手機登入都可以看見，如下圖

??? 2、網址過濾
??? 設置網址過濾可禁止內網IP訪問不良網站，以便防止訪問不良網址后產生病毒在內網傳播

??? 3、啟用防火墻規則
??? 設置防火墻規則可對內網IP訪問某網絡做控制。
??? 比如源IP組：辦公網ip地址組不允許訪問目的IP組：財務ip地址組 可設置入接口為源IP組的網絡接口，出接口可設置為目的IP組的網絡接口；協議為所有協議，動作為禁止，可設優先級為高，越高越優先匹配