我有一个共享的 DSL 连接,我知道有些用户的计算机经常被感染,所以我担心网络安全。我的计算机是唯一通过以太网电缆(eth0 接口)连接到调制解调器(也是无线 AP)的计算机,其他所有用户都是无线连接的(wlan0 接口)。
我应该采取什么措施来隔离或保护我的计算机?我知道如果连接到无线网络,可以使用 Wireshark 和 ettercap 等软件拦截和读取正在发送的数据包,那么我该如何避免读取我发送的数据包?或者,如果这不可能,我还应该采取什么其他预防措施?
我不是在寻找这样的答案“你首先就不应该与他们分享你的网络”,因为在家里(和我的室友)和在工作中都是这种情况(所以我对此无能为力)。
一些可能相关的设置:
开/自动
NAT
LAN to LAN (intra LAN) multicast
WMM(Wi-Fi Multimedia)
WMM APSD
Client Isolation
离开
Wireless Multicast Forwarding
Support 802.11n Client Only
OBSS Co-Existance
WMM No Acknowledgement
WPS
IGMP Snooping
QoS (quality of service)
LAN side firewall
其他
Network Authentication - mixed wpa2/wpa - psk
WPA/WAPI Encryption tkip+aes
DHCP slots match the number of clients
启用 LAN 端防火墙导致我失去了互联网连接,所以我不想再把事情搞糟了——我不是网络专家。
接口分组:
Group Name | WAN Interface | LAN Interfaces
Default | ppp0 | eth3
| | eth2
| | eth1
| | eth0
| | wlan0
LAN 统计数据显示只有 eth0 和 wl0 正在传输/接收数据。
我的操作系统是Debian 6.0.7 (squeeze)
答案1
根据您所写的内容,您目前与您的朋友在同一个网络上 - 尽管看起来他们目前并没有试图进一步感染您(因为只有 eth0 和 wl0 正在传输/接收数据)。
如果我的理解正确的话,客户端隔离可能会有点帮助,但可能不会。
真正的解决方案是确保在 PC 上运行防火墙,或者如果您愿意,可以使用第二个路由器,将主路由器连接到路由器,然后将 PC 连接到路由器。由于存在“双重 nat”问题,这不是一个“好的解决方案”,但它将为您提供更好的保护措施和与网络的隔离。
答案2
我建议购买一个具有访客网络的路由器,与主 WiFi 网络不同。
这样就可以将无线网络分成两个独立的子网络,这样不受信任的计算机根本无法访问您的网络,而您仍然可以安全地将无线设备连接到您自己的网络。
下一个最佳选择是购买一台可以轻松支持 DD-WRT(无需任何机械工作)的路由器,这样就可以以这种方式分割网络。DD-WRT 还支持 QoS,如果其他用户过度使用互联网,则可以限制其带宽。
对于后一种情况,请参见与您的朋友和邻居安全地共享互联网。
答案3
如果你已经连接了网络,并且想保持无线连接,我建议你从 eBay 上买一台便宜的电脑,里面有 2 个网卡,然后安装普富思就它而言。pfSense 非常易于管理,它是一款出色的防火墙,可以保证您的计算机安全。至于监听,这实际上取决于您的 wifi 路由器,如果路由器还算不错,它不应该通过无线网络发送有线流量,除非它专门尝试访问无线机器,因为路由表不会将数据包定向到那里。
答案4
许多路由器都有一个 DMZ 端口,您可以将 WIFI 路由器/AP 插入其中。这样可以按照您想要的方式划分您的网络。您还可以购买交换机和另一个路由器,将所有有线客户端插入新路由器,并将无线客户端保留在 AP 上。(使用不同的子网)