TG-NET解析“为什么说公共Wi-Fi不安全”

    央广网财经北京11月30日消息 据经济之声《天天315》报道，互联网的世界是美好的，然而网络安全问题日益突出，病毒木马、电信诈骗、手机支付病毒等风险不断增大。本周，由中央网信办等多部门联合举办的首届国家网络安全宣传周活动旨在普及网络安全防护技能，公众希望借此解决心中对网络安全的疑虑。

    我们经常会听到来自安全专家的警告，公共Wi-Fi不安全，请谨慎连接。这些警告确实都是正确的，有非常大比例的公共Wi-Fi点存在安全隐患。曾有一份抽样安全调查显示，全国8万个公共Wi-Fi中有21%存在风险。

    不过安全专家们对其中危害很少做原理性质的说明，大家只能知其然而不知其所以然。我们知道连上公共Wi-Fi后可能会被盗取各种账号，但为什么会被盗号却不太清楚。

    为什么呢？嗯，这就是一篇原理性质的讲解。下面TG-NET工程师就为您解答。通常来说，连上公共Wi-Fi后，我们可能面临两类攻击。

    内网监听攻击
    简单的说，就是在一个共同的网络内，攻击者可以很容易地窃听你上网的内容，包括百度网盘上传的照片、刚发的微博等等。
有两种方式，一种ARP攻击，用过几年前只有1Mb、2Mb宽带的人会比较熟悉，有人开迅雷下载了就马上用p2p限速软件，这种软件就是用的ARP攻击。它在你的手机/电脑和路由之间伪造成中转站，不但可以看到所有经过流量，还能对流量进行限速。

    混杂模式监听
    另外一种是网卡的混杂模式监听，它可以收到网内所有的广播流量。这个有条件限制，就是网络内有在广播的设备，比如HUB。大家在公司或网吧经常可以看到HUB，一个“一条网线进，几十条网线出”的扩充设备。如果这个公共Wi-Fi内有这类设施，通常你上网的流量可能可以被窃听。

     针对以上两种方式的攻击，TG-NET工程师专程做出了“RE”系列路由器的功能防护。

    看TG-NET专家如何破解

    我们的“攻城狮”给大家带来了技术操作，给使用过或者即将使用我们产品的用户，带来一个关于TG路由器的安全管理。

一、ARP 攻击解析
    ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

    ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

    TG-NET路由器对此攻击做了有效的防御措施
    1.ARP绑定
    ARP绑定，可以有效的防止内网的攻击，更有效的管理内网电脑。只允许绑定的 MAC 和 ip 通过：只有一一绑定的 ip 才能正常通过。可以点击ARP扫描添加绑定列表；也可以手动批量绑定，如下图

    之后可在高级设置下勾选只允许绑定的ip/mac通过；最后点击保存&应用： 完成此处配置且立即生效。如下图所示

    2.ARP欺骗
    在局域网中，黑客经过收到的ARP Request广播包，能够偷听到其它节点的 (IP, MAC) 地址, 黑客就伪装为A，告诉B (受害者) 一个假地址，使得B在发送给A 的数据包都被黑客截取，而A, B 浑然不知。

     冒充网关，欺骗内网PC，使内网PC掉线。

     冒充内网PC，欺骗网关，结果也是内网PC掉线。

     针对ARP欺骗RE路由器网络安全设置下有ARP绑定，ARP安全设置，在ARP安全设置下勾选免费arp发送，ARP攻击防御，ARP欺骗检测功能。在web管理界面下可以直接设置，如下图所示：

二、多重设置防流量窃听

    RE500和WR100路由器支持无线上网，其无线网络设置如下：

    无线加密：设置加密类型和无线网络的密码
    加密类型：支持WEP、WPA-ESP、WPA2-ESP、WPA-ESP/WPA2-ESP多种类型
     WEP是Wired Equivalent Privacy的简称，有线等效保密（WEP）协议是对在两台设备间无线传输的数据进行加密的方式，用以防止非法用户窃听或侵入无线网络。
     WPA 全名为 Wi-Fi Protected Access，有WPA 和 WPA2两个标准，是一种保护无线电脑网络(Wi-Fi)安全的系统，它是应研究者在前一代的系统有线等效加密（WEP）中找到的几个严重的弱点而产生的。
    WPA2 是经由 Wi-Fi 联盟验证过的 IEEE 802.11i 标准的认证形式。

    绑定的LAN接口：可根据你的无线接入的lan口做相应的绑定。比如内网无线网络数据是从lan2口接入，则可绑定为Lan2
保存&应用

    1、无线安全设置

    1、勾选隐藏SSID：可将无线网络隐藏，防止未被授权的用户进入本网络出现蹭网情况。
    2、建议勾选隔离接入用户：让各个接入无线网络的客户端保持相互隔离，提供彼此间更加安全的接入，和防止病毒的传播。
    3、设置最大接入用户数：可对无线接入用户数进行限制。
    4、设置MAC过滤，添加mac列表：仅允许列表内的用户上网，实现对接入用户的上网控制；勾选禁用：则对接入用户不做上网限制

客人网络
    RE500和WR100路由器支持客人网络模式，可选择不加密，使外访人员直接接入无线网

    建议勾选孤立客人网络，禁止客人网络的用户与主网络、有线网络通信，保持主网络与客人网络间的隔离，可有效避免主网络信息泄漏。

为进一步保证整个无线网络的安全性可对路由器做以下设置

   1、QQ白名单
   启用QQ白名单，可使添加的QQ不受上网行为禁止QQ的控制，在QQ在线列表中可查看当前在线QQ状态，是否手机登入都可以看见，如下图

    2、网址过滤
    设置网址过滤可禁止内网IP访问不良网站，以便防止访问不良网址后产生病毒在内网传播

    3、启用防火墙规则
    设置防火墙规则可对内网IP访问某网络做控制。
    比如源IP组：办公网ip地址组不允许访问目的IP组：财务ip地址组 可设置入接口为源IP组的网络接口，出接口可设置为目的IP组的网络接口；协议为所有协议，动作为禁止，可设优先级为高，越高越优先匹配