學校無線局域網的安全防范

現在，無線局域網已經形成了主流趨勢，各類公司都想把有線LAN和無線LAN進行集成，我們學校就是這種情況，作為網絡管理人員都希望無線能夠提供和有線一樣的安全性，但無線網絡確實存在很多問題，最近我們學校的無線局域網就基本處于癱瘓狀態，大部分機器會瞬間掉線或大面積的斷網，不停的提示受到ARP攻擊，看癥狀應該是ARP欺騙在作怪，但奇怪的是有線網絡很正常，只在2號樓使用無線網絡的時候會出現問題。在不斷的排查解決問題的過程中，我翻閱了很多資料，對無線局域網的安全及防范有了些心得體會。

一、無線局域網的安全機制

無線局域網的安全性，主要包括訪問控制和加密。訪問控制保證敏感數據只能由授權用戶訪問，加密則保證發射的數據只能被所期望的用戶接收和理解。IEEE 802.11b標準定義了兩種方法實現無線局域網的訪問控制和加密:系統ID(SSID)和有線對等加密(WEP)。

1.認證機制

當一個站點與另一個站點建立網絡連接之前，必須首先通過認證。IEEE 802.11b標準詳細定義了兩種認證服務:一是開放系統認證，二是共享密鑰認證。

認證使用的服務組標識符提供一個最底層的接入控制。一個SSID是一個無線局域網子系統內通用的網絡名稱，它服務于該子系統內的邏輯段。因為SSID本身沒有安全性，所以用SSID作為接入控制是不夠安全的。接入點作為無線局域網用戶的連接設備，通常廣播SSID。

2.WEP加密

WEP即有線對等保密，它提供了兩種用于無線局域網的WEP加密方案:第一種方案可提供四個缺省密鑰以供所有的終端共享-包括一個子系統內的所有接入點和客戶適配器。當用戶得到缺省密鑰以后，就可以與子系統內所有用戶安全地通信。缺省密鑰存在的問題是當它被廣泛分配時可能會危及安全。第二種方案中是在每一個客戶適配器建立一個與其他用戶聯系的密鑰表。比前種方案安全，但隨著終端數量的增加給每一個終端分配密鑰很困難。WEP標準是在無線網的早期創建的，它的主要問題是設計上的缺陷:陳舊低效!但仍是現在許多個人甚至公司保障安全的常用的方法。

二、影響無線網絡安全的因素

1.MAC地址和WEP密鑰的安全缺陷

標準的WEP支持每個信息包加密功能，并不支持對每個信息包的驗證。黑客可從對已知數據包的響應來重構信息流，發送欺騙信息包。彌補這個安全弱點的途徑之一是定期更換WEP密鑰。

2.來自外部的非法訪問和ARP攻擊

眾所周知ARP攻擊不是病毒，卻勝似病毒。一些非法入侵者只要了解了ARP的工作原理，就能利用各種手段發動ARP攻擊。

3.虛假接入點

無線網絡經常會出現無法連接的問題，這時我們需要檢測網絡中是否存在虛假接入點。簡單的檢測方法是在你的有線網絡中的一臺電腦中打開命令行模式，然后ping無線接入點的IP地址，如果沒有響應，可能是網絡中存在虛假接入點。

三、無線局域網的安全解決方案

文章開頭提到的我校的無線網絡問題是通過此種方式解決的:

1.確定范圍

在大型的無線網絡環境中，如果僅部分用戶無法連接網絡很有可能是某個接入點出現了故障。通過察看出問題的客戶端的物理位置，能大概判斷是哪個接入點出現問題。

2.檢查接入點的可連接性

要檢測無線接入點的連接，可以ping它的IP，如果沒有響應，可能是無線連接出了問題。

3.軟件防護

使用ARP防護軟件，如360安全衛士。

當然每個無線局域網的結構和配置不同，問題也不同，又由于無線網絡通過空氣傳播的不確定性，還有很多問題解決不了，但通過實踐總結對無線路由器的安全設置，一般有以下幾種方案:

1.開啟IP地址過濾，限制使用MAC地址

通過開啟此功能允許特定的無線網絡設備與本地無線路由器連接，只有IP地址在列表中的用戶才能正常訪問無線網絡，其他的就無法連入網絡了。

2.禁用接入點的DHCP服務

無線接入點都自帶DHCP功能。一般這些DHCP服務器都會將192.168.0.x這個地址段分配給無線客戶端。而且DHCP接入點也不接受別的IP地址的連接請求。這意味著具有靜態IP地址或從其他DHCP獲取IP的客戶端可能無法正常連接，要解決這個問題，應該在每個接入點上設定不同的IP地址分配范圍，以防止地址重疊。

3.拒絕SSID對外廣播

同一生產商推出的無線路由器或AP都使用了相同的SSID，一旦那些企圖非法連接的攻擊者利用通用的初始化字符串來連接無線網絡，就極易建立起一條非法的連接。因此，最好能夠將SSID命名為一些較有個性的名字，或者干脆“禁止SSID廣播”。

4.VPN技術

VPN即“虛擬專用網絡”。它從90年代以來一直被作為一種點到點的安全方式。它就好比是架設了一條專線一樣，但并不需要真正的去鋪設光纜之類的物理線路。

如下圖所示:要在在遠程辦公室的出口設備上配置Easy VPN Remote端;網絡能夠安全互訪，可以配置總部到分部的VPN。

四、總結

網絡的開放性決定了它的復雜性和多樣性，而新興的無線網絡在給我們帶來更多便捷的同時也帶來了很多新的網絡安全問題，因此無線網絡安全技術已成為21世紀信息網絡發展的關鍵技術，我國信息網絡安全技術的研究和產品開發仍處于起步階段，仍有大量的工作需要我們去探索!

作者單位:江蘇省前黃高中國際分校信息技術組