無線校園網的安全策略淺析

程 凱，董 雪

(1.河南教育學院 信息技術系，鄭州450046；2.河南教育學院 院長辦公室，鄭州450046)

如今，即使多數的有線網絡仍然擁有比無線網絡更大的帶寬，但無線網絡卻有著巨大的優勢：人們可以脫離網線的束縛，便利地訪問到所需的信息，這有力推動了信息傳播的革命。

相應地，校園無線網絡的發展迎合了教育信息化的發展趨勢，豐富了教學手段、提升了教學質量，在相當程度上促進了校園生活方式和工作學習方式的轉變。一方面為教職工和學生帶來更人性化、更靈活高效的工作、教學和學習體驗;另一方面也持續推動了校園文化步向更深刻的變革。

2012年9月22日，由教育部科技發展中心主辦的“2012高校無線校園網絡建設研討會”在京召開。大會主題為交流無線校園網建設與應用的經驗，集中探討無線校園網發展中的相關問題，其中，無線校園網的安全問題是討論的核心。由此可見，無線校園網的安全問題亟待解決。

1 .無線校園網的特點與優勢

1.1 移動性強

無線網絡擺脫了有線網絡的束縛，能夠使學習遠離教室，可以在網絡覆蓋范圍內的任何位置上網。無線網絡完全支持自由移動和持續連接，實現了移動辦公。

1.2 安裝方便

無線局域網的安裝簡單，無需破墻、掘地、穿線架管，這樣避免對建筑物及周邊環境影響，減少網絡布線工作量，一般只要安裝一個或多個接入點AP(Access Point)設備，就可建成覆蓋整個建筑或地區的局域網絡。一旦發生事故，不必尋找損壞路線，只要檢查信號發送端與接收端的信號是否正常即可。

1.3 帶寬很寬

無線網適合進行大量雙向和多向多媒體信息傳輸。在速度方面，標準802.11b的傳輸速度可提供11Mbps數據速率，而標準802.11g無線網速提升五倍，其數據傳輸率將達到54Mbps，充分滿足校園網用戶對網速的要求。

1.4 較強的靈活性

在有線網絡中，網絡設備的安放位置受網絡信息點位置的限制。而一旦無線局域網建成后，在無線網的信號覆蓋區域內任何一個位置都可以接入網絡。由于采用直接序列擴頻、跳頻、跳時等一系列無線擴展頻譜技術，使得其組網靈活，安全可靠。

1.5 維護成本低

無線網絡盡管在搭建時投入成本較高，但后期維護方便。由于有線網絡缺少靈活性，這就要求網絡規劃者盡可能地考慮未來發展的需要，這往往導致預設大量利用率較低的信息點。而一旦網絡的發展超出了設計規劃，又需花費較多費用進行網絡改造。而無線局域網可以避免或減少以上情況的發生，維護成本比有線網絡低50%左右。

1.6 易于擴展

無線局域網技術有對等模式、中心模式、中繼組網模式等多種配置方式，能夠根據需要靈活選擇，易于擴展。

2 .無線校園網存在的安全問題

在無線校園網的實際使用中，有可能碰到的威脅主要包括以下幾個方面：

2.1 網絡監聽

由于無線局域網具有開放訪問的特點，大多數無線網絡通信數據是以明文(非加密)格式出現的，這就會使處于無線信號覆蓋范圍之內的攻擊者可以乘機監聽并破解(讀取)通信。入侵者無需將竊聽或分析設備物理地接入被竊聽的網絡，就可以乘機在無線信號覆蓋范圍之內，進行竊聽、惡意修改并轉發數據。所以，這種威脅已經成為無線局域網面臨的最大安全問題之一。

2.2 信息重放

無線校園網在沒有足夠的安全防范辦法的情況下，很容易受到利用非法AP進行的中間人欺騙攻擊。對于這種攻擊行為，即使采用VPN(Virtual Private Network)等保護辦法也難以避免，它能對授權客戶端和AP進行雙重欺騙，進而對信息進行竊取和篡改。

2.3 加密協議(WEP)破解

互聯網上存在的一些非法程序，能夠捕捉位于AP信號覆蓋區域內的數據包，通過收集足夠多的WEP(Wired Equivalent Privacy)弱密鑰加密的數據包，進行分析以破解WEP密鑰。根據監聽無線通信的機器速度、WLAN(Virtual Local Area Network)內發射信號的無線主機數量，最快可以在約兩個小時之內破解WEP密鑰。

2.4 MAC地址欺騙和會話攔截

非法用戶通過網絡竊聽獲取數據，從而進一步獲得AP的靜態地址池，獲取合法站點的 MAC地址，然后通過 ARP(Address Resolution Protocol)欺騙，利用這些合法的 MAC地址進行欺騙攻擊。同時還可以通過截獲會話幀從而獲取更多信息。

2.5 拒絕服務

拒絕服務是最為嚴重的攻擊方式，一般有兩種攻擊方式，一是攻擊者對AP進行泛洪式的攻擊，使AP拒絕服務。二是攻擊者對移動模式內某個節點進行攻擊，讓它不停地提供服務或進行數據包轉發，使其能源耗盡而不能繼續工作，這通常被稱為能源消耗攻擊。

2.6 非法入侵

由于無線局域網數據具有公開、易獲取的特性，攻擊者一旦侵入無線網絡，即可未經授權而擅自使用網絡資源，甚至進一步入侵其他系統。這樣的安全隱患將成為整個校園網安全系統的漏洞，只要攻破無線網絡，整個網絡就將暴露在非法用戶面前，后果十分嚴重。

3 .解決方案

無線網絡進入校園以后，如何保證無線校園網絡的安全性呢?可以采取以下安全方案。

3.1 無線校園網絡的物理安全設計

3.1.1為保證校園網信息系統的物理安全，除在網絡規劃和場地、環境等要求之外，還要防止系統信息在空間的擴散。防范措施主要在三個方面入手：第一，對主機房及重要信息存儲、收發部門進行屏蔽處理，即建設一個具有高效屏蔽效能的屏蔽室，用它來安裝運行主要設備，以防止磁鼓、磁帶與高輻射設備等的信號外泄。第二，為提高屏蔽室的效能，在屏蔽室與外界的各項聯系、連接中均要采取相應的隔離措施和設計，如信號線、電話線、以及通風、波導等。第三，對本地網、局域網傳輸線路傳導輻射進行抑制。

3.1.2規劃天線的放置，掌控信號覆蓋范圍。要部署封閉的無線訪問點，第一步就是合理放置訪問點的天線，以便能夠限制信號在覆蓋區以外的傳輸距離。最好將天線放在需要覆蓋的區域中心，盡量減少信號泄露到墻外。部署了無線網絡之后，應該用可移動的無線設備徹底的勘測信號覆蓋情況，并反映在學校的網絡拓撲圖里。

3.2 無線校園網絡的安全配置

針對校內不同用戶群體對無線網絡需求的差異，為保障校園無線網絡使用的安全性，安全策略主要應從訪問控制和數據加密兩個方面加以改善。

3.2.1訪問控制。針對校園群體的特點，可以對不同用戶使用不同的認證方法，以此來確保無線校園網絡的安全性。一般來說，無線校園網絡的用戶可劃分為本地用戶和外來用戶兩大類。

①適宜校內師生用戶的端口訪問控制技術(802.1x 認證)802.1x 認證使用 802.1x RADIUS 認證和MAC地址聯合認證，用于防止非授權的非法用戶接入和訪問，確保只有合法用戶和客戶端設備才可訪問網絡。802.1x定義了三種身份：申請者、認證者和認證服務器。當申請者向認證服務器表明自己的身份時，認證服務器就對申請者進行認證，認證通過后將通信所需要的密鑰加密再發給申請者。申請者就可用這個密鑰與AP進行通信。目前是無線網絡中安全性很高的技術，特別適合校園內的師生用戶群體。

②外來用戶主要是針對來學校進行學術交流、培訓等用戶，這些用戶關注的是能夠方便、快捷的接入網絡，以進行相關的文件傳輸、瀏覽網站等工作。因此，對這類用戶可采用DHCP+強制Portal的認證方式，用戶可得到DHCP服務器分配的IP地址，當他們用瀏覽器訪問網頁時，強制Portal控制單元首先將用戶訪問的 Intenet定向到 Portal服務器中定制的網站，讓用戶僅可以訪問網站中提供的服務，而不能訪問校園網內部的一些受限資源。例如學校公共數據庫、圖書館期刊全文數據庫以及一些學校內部資源。如果用戶需要訪問校園網以外的數據，要先通過強制Portal認證，通過認證之后方可訪問網絡。根據不同用戶的需要采用不同的認證方法，從而保證無線校園網絡的安全性。

3.2.2 WEP 加密技術

WEP加密技術是8011b標準里定義的一個用于無線局域網的安全性協議，是對無線網絡上的流量進行加密的一種標準方法。由于在無線網絡中，無需物理連接就可以連接到網絡，因此，目前IEEE 802.11標準中的 WEP，在 15分鐘內就可被攻破，所以建議采用支持128位的WEP，并且不要使用生產商自帶的 WEP密鑰，防止未授權用戶的侵入。建議經常對WEP密鑰進行更換，在有條件的情況下啟用獨立的認證服務為WEP自動分配密鑰。

3.3 高校無線校園網的管理與維護的措施

如何保障無線校園網的正常運轉和信息通訊的暢達、安全，需要高校的網絡部門做好無線校園網的管理工作，具體建議如下。

3.3.1 建立高素質的網絡管理系統

高校要制定相關的管理制度，規范管理人員的行為，明確管理工作的責任和具體分工，保證管理人員自身的素質。采取分級網絡管理的方式，使管理人員可以各司其職，做好自己的網絡維護工作。另外，高校要考慮到無線網絡的技術和設備要求，建立完整的無線局域網網管系統WNMS。利用這一管理系統，可以實時的檢測校園網的工作狀態、信息傳輸的狀況以及無線信號的狀況，及時的更新相關的信息，確保網絡信息的正確性和有效性。同時也可以預防不良網絡的攻擊和黑客的襲擊，維護正常的網絡秩序。

3.3.2 做好校園網絡安全的管理工作

互聯網是一個開放的平臺，為了維護網絡資源的安全和有效性，管理時可以對所有的AP進行加密，對于機密性較高的信息或數據，管理時要根據相關規定，獨立設置加密體系。密碼加密并不可能一勞永逸，做好網絡安全的預防工作還需要管理員充分發揮自己的業務水平，依靠自己的職業直覺和技術，提高防范意識，加強對校園無線網絡的監控，定期的進行檢測，一旦發現有異?，F象，應該及時予以處理。另外，管理員還需要做好各項資料的備份，以防緊急情況的出現。

3.4 加強無線入侵檢測工作

通過提供商購買無線入侵檢測系統，增加對無線局域網用戶的檢測、監控、分析，判斷入侵事件的類型，檢測非法的網絡行為，對異常的網絡流量進行報警。無線入侵檢測系統不僅能檢測到MAC地址欺騙，通過一種順序分析，找出那些偽裝WAP的無線上網用戶，還能加強策略，使無線局域網更安全。

［1］楊哲.無線網絡安全攻防實戰［M］.北京：電子工業出版社，2011.

［2］王艷春，張晨霞.無線網絡安全研究［J］.齊齊哈爾大學學報，2005，21(2)：76 －78.

［3］徐小龍.無線局域網主動入侵防御的研究［J］.信息網絡安全，2005，55(7)：20 －21.

［4］蘇群，趙宇明，徐曉新，等.校園無線網的建設和管理［J］.工業儀表與自動化裝置，2011(2)：83 －85.

［5］齊鐵.高校內網信息安全研究［J］.赤峰學院學報：自然科學版，2011，27(4)：51 －52.