EAS防蹭網(wǎng)系統(tǒng)簡(jiǎn)介

王偉雄

摘要：通過(guò)實(shí)例簡(jiǎn)述eas防蹭網(wǎng)系統(tǒng)的運(yùn)行工作原理與實(shí)際應(yīng)用，增強(qiáng)無(wú)線(xiàn)網(wǎng)絡(luò)的安全。

關(guān)鍵詞：eas防蹭網(wǎng)系統(tǒng)；原理

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-5039（2018）16-0044-02

1 前言

隨著三網(wǎng)融合的趨勢(shì)，電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)逐漸進(jìn)行融合統(tǒng)一，簡(jiǎn)單而言，一根物理傳輸線(xiàn)可提供語(yǔ)音、數(shù)據(jù)、圖像等業(yè)務(wù)，這在以前是不可想象的，伴隨著無(wú)線(xiàn)網(wǎng)絡(luò)技術(shù)的發(fā)展和普及，越來(lái)越多家庭布置無(wú)線(xiàn)網(wǎng)絡(luò)，但跟隨著無(wú)線(xiàn)網(wǎng)絡(luò)安全的問(wèn)題也越來(lái)越突出，加密技術(shù)從最初的WEP（Wired Equivalent Privacy），WPA（Wi-FiProtectedAccess）發(fā)展到最新的WPA2（WPA第二版）加密算法，但還是無(wú)法完全杜絕居心不良的人通過(guò)卡王，WIFI無(wú)線(xiàn)鑰匙等技術(shù)，時(shí)刻窺伺著你的無(wú)線(xiàn)網(wǎng)絡(luò)，小則拖慢網(wǎng)速，大則容易導(dǎo)致數(shù)據(jù)泄露，從而產(chǎn)生信息安全問(wèn)題。目前加密方案中較為流行的有WPA2密碼加密，WEB網(wǎng)頁(yè)驗(yàn)證，黑白名單驗(yàn)證，微信掃一掃上網(wǎng)等等。家庭使用首先排除布置成本高的WEB網(wǎng)頁(yè)驗(yàn)證和微信連WIFI（需要采購(gòu)專(zhuān)用的商用硬件設(shè)備），其次排除安全性低的WPA2密碼加密方案（該方案容易被WIFI無(wú)線(xiàn)鑰匙將密碼共享出去），剩下的就是采用黑白名單加密方案，但該方案人性化太低，需獲取設(shè)備的MAC地址，然后打開(kāi)PC或者智能手機(jī)訪問(wèn)路由器頁(yè)面，將MAC地址添加入白名單，對(duì)于普通用戶(hù)操作過(guò)程過(guò)于煩瑣，也容易出錯(cuò)。因此，只需解決MAC地址的輸入過(guò)程過(guò)于煩瑣這個(gè)痛點(diǎn)，黑白名單方案對(duì)于家庭使用幾乎是完美的方案，具有布置成本低，安全性高，兼容性好等優(yōu)點(diǎn)。

2 網(wǎng)絡(luò)拓?fù)鋱D

典型的基于NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)的方案，光纖收發(fā)器（光貓）接EdgeRouterX路由器WAN口，通過(guò)NAT技術(shù)將公網(wǎng)地址轉(zhuǎn)為內(nèi)部局域網(wǎng)地址，LAN口分別接PC和AP，AP將網(wǎng)絡(luò)信號(hào)通過(guò)WIFI技術(shù)為智能手機(jī)，IPAD等服務(wù)。路由器采用UBNT公司的EdgeRouterX路由器，系統(tǒng)采用基于Debian定制的EdgeOS系統(tǒng)，具有高靈活，性能強(qiáng)，擴(kuò)展性好，可在原系統(tǒng)上進(jìn)行軟件開(kāi)發(fā)與編程，開(kāi)發(fā)出無(wú)與倫比的程序。

本防蹭網(wǎng)系統(tǒng)就是基于這個(gè)硬件進(jìn)行開(kāi)發(fā)，無(wú)線(xiàn)AP方面，無(wú)線(xiàn)AP必須具有無(wú)線(xiàn)和訪客網(wǎng)絡(luò)信號(hào)雙發(fā)射功能，可采購(gòu)普通無(wú)線(xiàn)路由器刷第三方固件進(jìn)行擴(kuò)展，以節(jié)省采購(gòu)成本。

主網(wǎng)絡(luò)主要供主人的設(shè)備使用，可訪問(wèn)互聯(lián)網(wǎng)和局域網(wǎng)，方便進(jìn)行數(shù)據(jù)交換。由于對(duì)安全性較高，因此使用強(qiáng)密碼WPA2加密和EAS系統(tǒng)方案，以加強(qiáng)安全性。

訪客網(wǎng)絡(luò)主要給來(lái)賓客人使用，該模式的優(yōu)點(diǎn)是無(wú)法訪問(wèn)內(nèi)部局域網(wǎng)，無(wú)法接觸到重要數(shù)據(jù)，因此，為方便來(lái)賓客人使用，只需要使用EAS系統(tǒng)即可。

3 EAS系統(tǒng)安裝原理和認(rèn)證流程

通過(guò)git clone下載好源代碼后，通過(guò)winscp上傳到路由器的/tmp目錄，然后授予可執(zhí)行權(quán)限命令chmod +x EdgeMaxER-X-eas-Install.sh，進(jìn)行安裝，主程序會(huì)復(fù)制到/usr/local/eas目錄里，系統(tǒng)主要以Debian系統(tǒng)為基礎(chǔ)，通過(guò)系統(tǒng)內(nèi)置的iptables防火墻，當(dāng)系統(tǒng)啟動(dòng)時(shí)，新建一個(gè)白名單鏈white_list，然后循環(huán)讀取已有的白名單設(shè)備MAC，加入白名單鏈，最后進(jìn)行非法訪問(wèn)檢查，禁止非白名單訪問(wèn)，并且加入接口等等操作。（詳細(xì)操作見(jiàn)源代碼）

當(dāng)新用戶(hù)掃描二維碼訪問(wèn)時(shí)，系統(tǒng)會(huì)引導(dǎo)到一個(gè)認(rèn)證界面，在后臺(tái)會(huì)根據(jù)用戶(hù)設(shè)備的內(nèi)網(wǎng)地址獲取設(shè)備的MAC和IP地址后，根據(jù)用戶(hù)填寫(xiě)的昵稱(chēng)然后寫(xiě)入白名單文件，然后加入白名單鏈，即可正常上網(wǎng)。

情況1、來(lái)賓訪客連接上專(zhuān)用不設(shè)密碼的WIFI："來(lái)訪用WIFI"，然后掃一掃帖在墻上的二維碼，系統(tǒng)會(huì)引導(dǎo)到昵稱(chēng)輸入界面，輸入你的昵稱(chēng)或者設(shè)備名稱(chēng)，按登錄即可。

通過(guò)驗(yàn)證后，系統(tǒng)提示已經(jīng)成功驗(yàn)證，說(shuō)明用戶(hù)的設(shè)備MAC地址已經(jīng)成功加入了白名單，可以享受高速安全的無(wú)線(xiàn)網(wǎng)絡(luò)服務(wù)了。

情況2、未經(jīng)授權(quán)用戶(hù)搜索到無(wú)線(xiàn)WIFI："來(lái)訪用WIFI"，由于該WIFI為方便來(lái)賓訪客，所以未加密碼，因此，當(dāng)未經(jīng)授權(quán)用戶(hù)連上WIFI后，由于沒(méi)有掃描二維碼，所以進(jìn)入了黑名單檢測(cè)模式，當(dāng)該用戶(hù)訪問(wèn)超過(guò)設(shè)定的數(shù)據(jù)包后，系統(tǒng)自動(dòng)將該用戶(hù)的MAC地址加入黑名單，加入黑名單后，將無(wú)法訪問(wèn)任何服務(wù)，包括路由器，互聯(lián)網(wǎng)，由于使用的是訪客網(wǎng)絡(luò)模式，更不可能訪問(wèn)到局域網(wǎng)主機(jī)，因此，不可能造成數(shù)據(jù)泄露。

4 EAS管理后臺(tái)

授權(quán)用戶(hù)登錄后，在瀏覽器上輸入http：//192.168.1.1：81/system.php即可登錄到管理后臺(tái)。查看二維碼，查看，添加，刪除白名單和黑名單等等相關(guān)功能。

由于篇幅關(guān)系，這里就不詳細(xì)說(shuō)明了。

5 結(jié)論

當(dāng)網(wǎng)絡(luò)成為我們身邊必不可少的一部分時(shí)，網(wǎng)絡(luò)安全也越來(lái)越得到我們的重視，希望我的EAS系統(tǒng)能夠幫助大家實(shí)現(xiàn)網(wǎng)絡(luò)上的安全。（所有的源代碼均可在我的github中下載，地址為： https：//github.com/landvd/eas）