校園無(wú)線網(wǎng)絡(luò)安全綜合防御

趙建超，尹新富

ZHAO Jian-chao1，YIN Xin-fu2

（1.河南工業(yè)職業(yè)技術(shù)學(xué)院 計(jì)算機(jī)工程系，南陽(yáng) 473009；2.鄭州經(jīng)貿(mào)職業(yè)學(xué)院，鄭州 450006）

0 引言

隨著帶有無(wú)線功能筆記本的普及，校園內(nèi)無(wú)線需求激增。無(wú)論是教師或者是學(xué)生都希望在校園內(nèi)隨時(shí)隨地接入網(wǎng)絡(luò)，因此無(wú)線校園網(wǎng)迅速得到了普及。但是由于無(wú)線網(wǎng)絡(luò)采用的是公共電磁波，類(lèi)似早期的HUB，任何人都有條件竊聽(tīng)或干擾信息。使用OmniPeek等抓包工具分析后，能夠比較容易的免費(fèi)上網(wǎng)甚至入侵學(xué)校的服務(wù)器[1]。2008 WPA加密首先已經(jīng)被國(guó)外人員率先破解[2]。最近，Elcomsoft 推出ElcomSoft Distributed Password Recovery分布式密碼暴力破解工具，能夠利用Nvidia顯卡使WPA和WPA2無(wú)線密鑰破解速度提高100倍。由于軟件還允許數(shù)千臺(tái)計(jì)算機(jī)聯(lián)網(wǎng)進(jìn)行分布式并行計(jì)算[3]，無(wú)線網(wǎng)絡(luò)受到的極大的威脅。

1 傳統(tǒng)的無(wú)線安全措施及其缺點(diǎn)

1.1 軟件安全設(shè)置及其優(yōu)缺點(diǎn)

傳統(tǒng)的軟件安全設(shè)置主要包括修改默認(rèn)的SSID并禁止廣播和設(shè)置黑白MAC地址名單并綁定相應(yīng)的VLAN[4,5]。

每個(gè)無(wú)線網(wǎng)絡(luò)都有一個(gè)服務(wù)區(qū)標(biāo)識(shí)符（SSID），類(lèi)似windows中的域，只有SSID相同的無(wú)線客戶端（STA）才能通過(guò)AP（無(wú)線接入點(diǎn)）接入網(wǎng)絡(luò)。為適應(yīng)商業(yè)網(wǎng)絡(luò)STA經(jīng)常流動(dòng)的需要，無(wú)線交換機(jī)通常默認(rèn)啟用SSID的廣播。因?yàn)樾@網(wǎng)的上網(wǎng)成員相對(duì)固定，因此，有必要禁用SSID廣播來(lái)提高網(wǎng)絡(luò)的安全性。通常設(shè)備制造商都在他們的產(chǎn)品中設(shè)了一個(gè)默認(rèn)的SSID。例如思科linksys設(shè)備的SSID通常是“l(fā)inksys”，TPLINK的為“TP-LINK”。修改以阻止非授權(quán)的無(wú)線客戶端通過(guò)猜測(cè)來(lái)進(jìn)入該網(wǎng)絡(luò)是最基礎(chǔ)的防護(hù)手段。

理論上說(shuō)，任何一個(gè)網(wǎng)絡(luò)設(shè)備都一個(gè)獨(dú)一無(wú)二的物理地址，稱(chēng)之為MAC地址。因此，在無(wú)線交換機(jī)上可以設(shè)置黑白名單：在黑名單上可以禁止一些MAC用戶接入，白名單為合法用戶，允許接入。

不過(guò)，上面的兩條安全措施僅僅只能在一定程度上防止網(wǎng)絡(luò)入侵。例如在XP系統(tǒng)下，用戶很容易修改自己網(wǎng)卡的MAC地址。另外，通過(guò)對(duì)無(wú)線抓包軟件的仔細(xì)分析后，也可以得到白名單的MAC地址。即使接入點(diǎn)禁止廣播 SSID，在客戶端和接入點(diǎn)之間來(lái)回傳送的流量最終也會(huì)暴露出SSID。即使攻擊者并非刻意監(jiān)控 RF 頻段，也可在上述傳輸過(guò)程中通過(guò)無(wú)線抓包軟件嗅探到 SSID，因?yàn)樗且约兾谋靖袷桨l(fā)送的。

1.2 無(wú)線加密傳輸及其優(yōu)缺點(diǎn)

由于WEP天然的缺陷[6]，所以很快推出了WPA。802.11i 規(guī)定了兩種企業(yè)級(jí)加密機(jī)制，分別是：TKIP（臨時(shí)密鑰完整性協(xié)議）和 AES（高級(jí)加密標(biāo)準(zhǔn)），這兩種加密機(jī)制已分別被 Wi-Fi 聯(lián)盟納入 WPA 和 WPA 2 認(rèn)證中。

由于WPA TKIP協(xié)議的缺陷，破解者可以得到通信的密鑰，從而看到通信的數(shù)據(jù)。但是，由于WPA協(xié)議采用的是每一節(jié)點(diǎn)均使用一個(gè)不同的密鑰對(duì)其數(shù)據(jù)進(jìn)行加密，因此不存在全部破解的問(wèn)題，看到的僅僅某個(gè)用戶的數(shù)據(jù)。因此，校園網(wǎng)用戶不必草木皆兵。在關(guān)鍵區(qū)域，用戶可以采用其它的通信加密措施，讓整個(gè)通信過(guò)程更安全。比如可以使用VPN系統(tǒng)配合WPA進(jìn)行工作，這樣即使數(shù)據(jù)被截獲，也無(wú)法看到真正的信息。

由于加密會(huì)耗費(fèi)無(wú)線交換機(jī)的CPU資源，尤其在低檔的校園無(wú)線交換機(jī)上，無(wú)線網(wǎng)絡(luò)的安全特性極大影響傳輸性能。多次測(cè)試表明，當(dāng)采用WEP128位加密傳輸模式時(shí)，網(wǎng)絡(luò)傳輸性能會(huì)損失28%-75%，傳輸性能的損失與交換機(jī)CPU處理速度直接相關(guān)。

2 綜合無(wú)線安全防護(hù)措施

軟件和加密協(xié)議簡(jiǎn)單易行，但是僅僅靠上述方法無(wú)法實(shí)現(xiàn)校園網(wǎng)絡(luò)的安全。而應(yīng)該和其他手段共同配合來(lái)提高安全性。

2.1 天線的合理選用和布局

WLAN是工作在2.4G或者5.8G頻段。由于頻點(diǎn)很高，因此穿墻的能力非常弱，只能穿過(guò)一般的門(mén)窗。由于考慮的成本和覆蓋范圍考慮，不少學(xué)校AP配置的天線為桿狀全向天線。這種天線向周?chē)鶆虬l(fā)射，造成覆蓋范圍過(guò)大，使得入侵者很容易收到信號(hào)，從而入侵網(wǎng)絡(luò)。在校園的不同區(qū)域，應(yīng)該選用不同的天線類(lèi)型和安裝方式。比如在普通教學(xué)區(qū)域，可以把AP布放在走廊邊，采用吸頂式定向天線伸出天花板進(jìn)行安裝。如下圖所示。吸頂天線與平常使用的全向天線不同，它在內(nèi)部設(shè)計(jì)上增加了一個(gè)反射板，把輻射更多地向下反射，能夠提高輻射范圍的信號(hào)強(qiáng)度。使得覆蓋范圍內(nèi)信號(hào)很強(qiáng)，也覆蓋范圍之外信號(hào)變得非常弱（因?yàn)樘炀€方向向下）。一方面可以實(shí)現(xiàn)有效覆蓋。另外，其他樓層來(lái)說(shuō)由于是定向天線，加上穿過(guò)樓板后信號(hào)衰減，網(wǎng)絡(luò)不能覆蓋。因此入侵網(wǎng)絡(luò)基本變得極其困難。吸頂式天線價(jià)格很便宜，僅僅幾十元，很容易推廣。

在操場(chǎng)開(kāi)闊地區(qū)，應(yīng)該采用全向天線以加強(qiáng)覆蓋。但是在天線選址的時(shí)候一定要注意盡可能的在操場(chǎng)中間，避免無(wú)線信號(hào)覆蓋校園其他部位。為了防止非法用戶入侵，還應(yīng)該加上其他身份認(rèn)證措施。

2.2 合理配置AP發(fā)射功率

如果能夠滿足覆蓋要求的話，一定要設(shè)法降低AP的發(fā)射功率。功率降低會(huì)減少對(duì)其他AP的干擾，因?yàn)楦采w范圍有限，又降低了網(wǎng)絡(luò)入侵的可能性。對(duì)于H3C無(wú)線AP來(lái)說(shuō)，多數(shù)默認(rèn)最大發(fā)射功率為100mW（20dBm），可以通過(guò)max-power 15命令，將最大功率降低為15dBm。在降低發(fā)射功率的時(shí)候，千萬(wàn)不要采用摘掉天線的做法，否則可能對(duì)AP的發(fā)射管造成損壞。

2.3 接入進(jìn)行身份認(rèn)證

在有線網(wǎng)絡(luò)中，通常接入局域網(wǎng)中不進(jìn)行身份認(rèn)證。也有的學(xué)校在無(wú)線網(wǎng)絡(luò)建設(shè)中，采用了類(lèi)似的模式，特別是部分高校和運(yùn)營(yíng)商合作，即校園網(wǎng)內(nèi)部不進(jìn)行認(rèn)證和收費(fèi)，如果要上互聯(lián)網(wǎng)必須通過(guò)運(yùn)營(yíng)商的認(rèn)證收費(fèi)系統(tǒng)。這種認(rèn)證模式客觀上會(huì)造成非法終端不經(jīng)過(guò)任何認(rèn)證入侵校園網(wǎng)內(nèi)部，必須加以避免。

圖1 無(wú)線網(wǎng)絡(luò)認(rèn)證結(jié)構(gòu)圖

在圖1中，任何接入到AP的無(wú)線網(wǎng)絡(luò)設(shè)備，必須通過(guò)認(rèn)證服務(wù)器的認(rèn)證才能夠接入網(wǎng)絡(luò)。設(shè)置身份認(rèn)證身份驗(yàn)證撥號(hào)用戶服務(wù)后，沒(méi)有合法授權(quán)的用戶將不能通過(guò)身份驗(yàn)證，因此無(wú)線校園網(wǎng)解決了接入的安全問(wèn)題。在實(shí)踐中可以通過(guò)應(yīng)用WPA、802.1x/EAP等無(wú)線安全技術(shù),與校園內(nèi)部的統(tǒng)一賬號(hào)管理平臺(tái)或者一卡通數(shù)據(jù)庫(kù)進(jìn)行聯(lián)動(dòng)聯(lián)動(dòng)認(rèn)證,無(wú)線接入認(rèn)證系統(tǒng)對(duì)接入校園的無(wú)線辦公網(wǎng)絡(luò)的終端進(jìn)行身份認(rèn)證[7]。

2.4 對(duì)入侵者訴諸法律

無(wú)線定位可以分為軟件和硬件。硬件的有專(zhuān)門(mén)的無(wú)線電測(cè)向儀，可以對(duì)無(wú)線用戶進(jìn)行定位。軟件如Ekahau公司的Ekahau Vision軟件，無(wú)需增加額外的硬件設(shè)施（如讀卡器、exciter、激勵(lì)器、天線等），利用現(xiàn)有無(wú)線網(wǎng)絡(luò)WiFi的網(wǎng)絡(luò)設(shè)備即可進(jìn)行定位。其基于專(zhuān)利技術(shù)高精度算法的軟件，通過(guò)定位引擎計(jì)算定位，定位精度在3米左右，最高能至1米。如果發(fā)現(xiàn)有入侵的無(wú)線客戶端，可以使用定位系統(tǒng)或者無(wú)線電測(cè)向儀等共同配合進(jìn)行查找[8]，將入侵者訴諸法律。

3 結(jié)論

由于無(wú)線網(wǎng)絡(luò)的開(kāi)發(fā)性，在無(wú)線校園網(wǎng)時(shí)代，必須采用綜合的安全措施才能最大程度的保證網(wǎng)絡(luò)安全。這些措施不僅包括技術(shù)上的問(wèn)題，必要的時(shí)候，對(duì)入侵者訴諸法律，將大大威懾網(wǎng)絡(luò)入侵行為。

[1]羅燕羽.WPA被破解后的對(duì)策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009,4.

[2]WILDPACKETS,INC.OmniPeek Network Analyzer.[DB/OL].http://www.wildpackets.com/products/network_ analysis_and_monitoring/omnipeek_network_analyzer.[2009-9-1].

[3]Elcomsoft.Password recovery software.[DB/OL].http://www.elcomsoft.com/edpr.html#formats.[2010-9-1].

[4]呂海燕,呂紅,任穎,趙媛,周立軍.無(wú)線網(wǎng)絡(luò)的安全機(jī)制及其實(shí)施[J].中國(guó)現(xiàn)代教育裝備,2010,（03）.

[5]楊天化.淺談無(wú)線網(wǎng)絡(luò)安全及防范策略[J].浙江工貿(mào)職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2010,（02）.

[6]袁愛(ài)杰,胡中棟,萬(wàn)梅芬.基于無(wú)線網(wǎng)絡(luò)安全WEP協(xié)議的探究[J].計(jì)算機(jī)時(shí)代2009,（04）.

[7]陳亮,張鵬,陳旭翔,蔡世貴,毛仕文.基于統(tǒng)一賬號(hào)認(rèn)證的無(wú)線接入綜合管理平臺(tái)[J].電信工程技術(shù)與標(biāo)準(zhǔn)化,2010,（06）：48-51.

[8]R·A·馬拉尼.無(wú)線網(wǎng)絡(luò)中的定位安全服務(wù)[P].中國(guó)專(zhuān)利：CN101044711,2007-09-26.