我有一個共享 DSL 連接,我知道一些用戶的電腦不斷受到感染,因此我擔心網路安全。我的計算機是唯一一台透過乙太網路線(eth0 介面)連接到調變解調器(也是無線 AP)的計算機,其他所有使用者都是無線連接的(wlan0 介面)。
我應該採取什麼措施來隔離或保護我的電腦?我知道,如果連接到無線網絡,就可以攔截並讀取使用 Wireshark 和 ettercap 等軟體發送的包,那麼我如何避免讀取我發送的包,或者,如果這是不可能的,我還應該採取哪些其他預防措施?
我並不是尋找類似的答案“你一開始就不應該與他們分享你的人脈”,因為在家裡(和我的室友)和工作中都是這種情況(所以我對此無能為力)。
一些可能相關的設定:
開/自動
NAT
LAN to LAN (intra LAN) multicast
WMM(Wi-Fi Multimedia)
WMM APSD
Client Isolation
離開
Wireless Multicast Forwarding
Support 802.11n Client Only
OBSS Co-Existance
WMM No Acknowledgement
WPS
IGMP Snooping
QoS (quality of service)
LAN side firewall
其他
Network Authentication - mixed wpa2/wpa - psk
WPA/WAPI Encryption tkip+aes
DHCP slots match the number of clients
啟用 LAN 端防火牆使我失去了互聯網連接,所以我不想再把事情搞砸了 - 我不是網路專家。
接口分組:
Group Name | WAN Interface | LAN Interfaces
Default | ppp0 | eth3
| | eth2
| | eth1
| | eth0
| | wlan0
LAN 統計資料顯示只有 eth0 和 wl0 正在傳送/接收資料。
我的作業系統是Debian 6.0.7 (squeeze)
答案1
根據您所寫的內容,您目前與您的朋友位於同一網路上 - 儘管看起來感染他們目前並沒有試圖進一步感染您(因為只有 eth0 和 wl0 正在傳輸/接收資料)。
如果我的理解是正確的,客戶端隔離可能會有所幫助,但可能不會。
真正的解決方案是確保您的 PC 上運行防火牆,或者如果您更願意購買第二個路由器,並將主路由器連接到您的路由器,然後將您的 PC 連接到路由器。由於“雙重 nat”問題,這不是一個“很好的解決方案”,但它將為您提供更好的保護措施以及與其網路的隔離。
答案2
我建議購買一個具有訪客網路的路由器,與主要 WiFi 網路不同。
這將允許將無線網路分成兩個獨立的子網,因此不受信任的電腦根本無法存取您的網絡,而您仍然可以安全地將無線設備連接到您自己的網路。
下一個最好的事情是獲得一個輕鬆支援 DD-WRT(意味著無需任何機械工作)的路由器,可以透過這種方式分割網路。 DD-WRT 也支援 QoS,如果其他使用者過度使用互聯網,則可以限制其他使用者的頻寬。
對於後一種情況,請參見與您的朋友和鄰居安全地分享您的互聯網。
答案3
如果您無論如何都已連接並希望保持無線連接運行,我建議您從 eBay 購買一台帶有 2 個 NIC 的廉價計算機並安裝pfSense在上面。 pfSense 確實易於管理,而且它是一款出色的防火牆,可確保您的電腦安全。就窺探而言,這實際上取決於您的 WiFi 路由器,如果它是一個不錯的路由器,則它不應該透過無線網路發送有線流量,除非它專門嘗試到達無線機器,因為路由表不會那裡有直接的數據包。
答案4
許多路由器都有 DMZ 端口,您可以將 WIFI 路由器/AP 插入其中。這會按照您想要的方式對您的網路進行分段。您也可以購買一台交換器和另一個路由器,並將所有有線用戶端插入新路由器,並將無線用戶端保留在 AP 上。 (使用不同的子網路)