家庭局域网的安全防护

页面分类: 局域网安全

天下维客，你可以修改的网络知识库

现在家庭网络接入一般都是ADSL接入，家里有两台pc或者更多的不在少数。而且越来越丰富的数字化生活使家庭局域网 变成了黑客的目标，在无线网络如此发达的今天，如何保证家庭网络的安全呢。这就是本文所要讨论的问题。

单纯多台个人电脑的用户

ADSL安全设置部分

1. 使用路由器共享上网，可以对路由器做简单的安全设置。如IP和MAC的绑定等。一个这样的路由器也就100~200元之间。如：TP-link。
2. 修改ADSL的上网密码。就是那个宽带服务商给的那个密码。
3. 关闭DHCP，绑定IP和MAC；可以杜绝ARP欺骗类病毒。
4. 修改ADSL路由器的登录密码； →更多相关内容请参见路由器配置
5. 把ADSL设置为禁止外网登录。 →更多相关内容请参见ADSL
6. 增强自己的安全意识。→更多相关内容请参见安全意识
7. 安装防火墙、及杀毒软件，及时更新系统，打好系统补丁（打补丁推荐360安全卫士）。

无线路由器安全设置部分

1. 关闭SSID广播。非常重要，否则无线网卡自带程序和Windows的组件就能搜索到你；
2. 关闭DHCP，绑定IP和MAC；
3. 使用一组简单的加密，128位已经足够强，家庭用40也够了；
4. 最重要一点，把管理界面加上密码，否则别人都能上去改配置。

• 具体设置方法可以参考说明书来处理。一般做到以上的八点，家庭网络就算基本安全的了。

数字家庭的用户

数字家庭用户对网络安全提出了更高的要求。现在的家庭中，不仅有计算机而且还有其它信息设备组成的网络。当这些信息设备与因特网连接时，它们很容易暴露在多种攻击之下。而用户并不想因此泄漏他们的个人隐私。所以这些家庭网络环境需要一个安全、可靠的解决方案。目前，虽然有很多家庭网络安全产品，比如说防火墙、虚拟个人网络（Virtual Private Network（ VPN））、安全无线局域网（wireless LAN security）等，但是还缺少一种综合的安全解决方案来保护家庭网络免受有线和无线攻击。

家庭用户得有这样的安全意识：

1. 传输数据的安全。很多情况下，用户需要从家庭外部使用移动设备来控制家庭内部的设施；
2. 对家庭网关的监测和控制；
3. 对家庭内部无线局域网的访问控制和入侵检测；
4. 用户管理。基于以上因素，本文阐述一个管理家庭网络安全的解决方案。

解决方案

（资料并不好-比较繁琐）

Open Service Gateway initiative（OSGi）的家庭网络中间件。OSGi为家庭网络定义了一个开放的共同体系结构，详细定义了服务网关的标准。OSGi通过其基础系统来联结各种中间件并支持各种接口。OSGi定了自己的安全服务，但是这些方法还有不足之处。本文使用在OSGi服务结构体系之上增加了4种家庭网络安全服务。

家庭设备安全控制服务

从家庭外部网络访问和控制家庭设备时，控制请求必须通过因特网。但因特网并不是一个安全的区域。因此我们设计了一套针对家庭设施的安全控制服务。这个服务在移动设备和家庭网关之间建立了一个安全信道。

Type字段定义了信息包的类型。序列号（Sequence Number）和端口号（Port）用于防止MITM攻击。Integrity用于检查数据的完整性。操作程序如下：首先，客户端向服务器端发送认证包。服务器收到后，认证用户。如果该用户是注册的用户，服务器返回信息接受；否则拒绝。客户端只有在收到接受信息后才能继续与服务器通信。

经过以上程序，所有家庭网关和PDA之间传输的信息将通过SEED block cipher Algorithm加密。除加密外，所有加密数据附带Integrity值以确保数据的完整性。我们使用MD5 hash算法计算Integrity值。

基于传输状态的防火墙

基于传输状态的防火墙能够检测并控制网络传输。它可以保护家庭网络免受拒绝服务（Denial of Service（DoS））的攻击，同时还可以拒绝或接收来自特定IP地址和端口号的数据。

我们使用安全状态图表检测传输。基于这个原理，我们实现了一个传输检测引擎。这个引擎由一个传输状态信息收集器和安全策略管理器构成。

传输状态信息收集器以状态单元（State Unit）的形式收集通信信息并使用统计方法对其进行分析。状态单元包括传输模式和相应的统计信息。安全策略管理器通过使用安全状态图表建立安全策略。它能反映所有出现在网络上的通信状态。安全状态图表根据传输的状态转移来相应地改变安全策略。过滤规则发生器将新的安全策略转换成过滤规则。传输控制器使用该规则控制传输。当状态转移信号发生器发送状态转移信息给状态表时，代表传输状态的S1状态将检测自身状况，看是否能接受状态转移信号。这个引擎能有效进行网络安全管理以应对迅速变化的传输状况。管理员可以保存并通过图形界面分析传输信息和安全策略日志。基于传输状态的防火墙根据家庭网关中的IP地址列表来控制数据传输并能拒绝或允许来自用户指定的特定IP地址和端口的信息包。

无线局域网安全服务

无线局域网安全服务具备入侵检测[7]和访问控制的能力。入侵检测系统包括代理搜集和入侵检测服务器。代理搜集监察和收集接入点信息以及通过无线网络传送数据的移动站点。收集到的数据传送给检测引擎并被转换成审计数据的格式。

我们使用802.11管理数据帧来监控无线网络。 MAC数据帧收集器负责收集管理帧，然后信息提取器负责提取状态信息和统计信息。状态信息用来表示站点和接入点的状态。统计信息代表每一个信道的吞吐量和误码率，以及不同类型帧的数目和传输信息等。然后审计数据发生器使用审计数据格式重建这些数据。审计数据包括7个字段。它们是MAC地址、当前状态、请求计数、分离计数、非鉴定计数、当前序列号、序列号门限等等。探测引擎通过唯一身份（Organizationally Unique Identifiers（OUI））列表匹配模块和序列号分析模块来检测入侵。

在入侵者攻击无线局域网之前，他们需要伪造MAC地址。IEEE已经分配6 278个前缀给硬件生产商用于指定网卡的MAC地址。通过比较OUIs和分配列表，我们能够检测到通过伪造随机的MAC地址前缀进行入侵的攻击者。IEEE推荐了一种通过使用数据帧排序来容纳碎片地址的方法。序列控制字段中4 bits用于碎片地址，而12 bit用于序列号。序列号字段是一个序列计数器，每产生一个非碎片数据帧，序列计数器就会加一。它从0开始，按4 096取模。除非数据帧是一个大数据包的碎片，否则碎片计数总是0。黑客在破解802.11数据帧的时候并没有办法将这个参数设置成任意值。当模块接收到第一个管理数据帧时，它提取序列号并作为临时变量保存。然后模块接收第二帧时，会与第一帧的序列号做比较。如果第二帧的序列号不大于第一帧的序列号，它将认为这是攻击。管理员能监测每个站点和接入点的状态。它能注册信任的接入点并使用MAC地址过滤器来管理那些家庭使用无线局域网资源的站点。

用户管理服务

用户管理服务向用户提供认证和授权。我们使用基于以角色为访问控制模型（RBAC）来实现，RBAC模型通过分配角色给访问权限和用户来简化授权管理；不是根据用户来确定访问权限，用户和许可都被赋予一个角色，用户的许可权既是被赋予的角色的许可权。每个家庭网络用户都会分配一个角色，例如用父亲来代表管理员，孩子以及访客。管理员能够向访客或孩子分配控制家庭设施和网络资源的权限。每个希望从外部访问家庭网络的用户必须有ID和口令。管理员通过使用综合管理界面来向每个用户分配使用家庭设施的权限。

家庭网络的先天优势

家庭局域网相对企业网络来说,在环境上本身具有一定的安全性.

• 第一,企业网络复杂,提供的服务多,机器数量庞大,本身就提高了风险程度,并且对入侵者的诱惑力也是不小的.
• 第二,家庭网络因为只是家庭内部成员使用,所以本身对入侵者提供的信息就很少,而且对入侵者也没有什么吸引力.

主要的威胁可能有

1. 网页木马和病毒.这个是比较难防范的,唯一该做的就是选择一款出色的防火墙和杀毒软件,再一个做好重要数据备份就足够了~另外,防火墙和杀毒软件经常注意升级,保持系统的补丁不漏~
2. 做好权限设置.分配好每一个用户帐号的权限和功能,不要使一个普通用户拥有过多的权限,重要文件夹的权限只分给特权用户,并且给特权用户设置一个复杂好记的密码.
3. 尽量避免对外提供服务,多一个服务就多一份危险.
4. 经常更新你的知识.一个好的环境总是掌握在掌握最新知识人的手上!

相关知识

相关条目

网线 - 组网 - 网络安全 - 局域网安全软件

外部链接

• http://www.enet.com.cn/eschool/includes/zhuanti/zt/lan/27.shtml 硅谷动力局域网专题。