高校WLAN安全隱患及其應對策略

【摘要】 WLAN已經成為眾多高校一個重要的組成部分，但是隨之而來的安全問題也影響著高校WLAN安全穩定運行，本文分析了高校WLAN面臨的安全隱患，并提出了相應的安全策略來保障WLAN的安全性、穩定性和可用性。

【關鍵詞】 高校WLAN 安全 應對策略

一、引言

隨著WLAN的不斷推廣和普及，高校師生可以使用帶有無線網卡的終端方便的接入到網絡。但安全問題也隨之而來，無線網絡使用電磁波作為傳輸介質，容易被竊聽或干擾。使用相應的工具，可以方便的抓取網絡中傳輸的數據包并破解。另外，由于使用群體知識層次較高、對WLAN的攻擊性較強，因此制定行之有效的安全策略，保障高校WLAN通信的安全，已經成為高校網絡管理者必須認真面對的問題。

二、高校WLAN存在的安全問題

高校WLAN存在的安全威脅主要分為兩種：一是針對網絡接入、訪問控制、數據保密性和完整性的攻擊。二是針對WLAN的設計、部署以及運行而進行的攻擊，主要表現如下：（1）加密機制的弱點。WEP加密算法因為本身的缺陷，非常容易遭到破解，雖然絕大多數設備已經不再使用該加密方式，但早期的某些終端仍然在使用，這就給整個網絡帶來巨大的威脅。2008年國外已經破解了WPA加密算法，隨后蹭網卡的大量出現，帶來SpoonWPA廣泛使用。44GB WPA Hash Table的出現和GPU時代的來臨，配合EWSA攻擊利器，使得個人破解WPA成為可能，也給高校的WLAN帶來了更多的威脅。基于802.1X的認證協議是目前主流的無線網絡認證協議，但802.1X協議也存在漏洞，容易受到重放、拒絕服務等攻擊。針對802.1X的攻擊也日益增多，針對EAP擴展MD5、LEAP、TLS等協議的攻擊模型也日漸成熟。（2）攻擊手段的多樣化。主動攻擊，攻擊者通過多種攻擊手段，針對WLAN發動攻擊，如攻擊者通過非法的無線電干擾，致使AP無法正常工作。還可以通過重放、修改報文等手段達到欺騙的目的。攻擊者還可通過拒絕服務攻擊使網絡癱瘓，無法為合法用戶提供正常的服務。被動攻擊，主要是收集相關信息，高校的WLAN具有開放性，攻擊值可以通過收集大量的用戶數據包來分析個人信息，被動攻擊具有較強的隱蔽性，很難被檢測到，防范難度也就變得更大。（3）網絡設備自身的漏洞。網絡設備的漏洞也日益增多，如IOS本身存在漏洞、安全規則和網絡協議漏洞等，針對網絡設備漏洞的攻擊也日益增多，而大多數WLAN設備廠商沒有良好的安全響應機制，不能及時發布安全補丁或者安全通告，這就使得WLAN網絡安全受到越來越多的威脅。

三、高校WLAN安全應對策略

高校的WLAN的安全需要采取多項措施來保證網絡的安全，這些措施主要包含身份認證、數據加密、訪問控制、入侵檢測等技術手段。

（1）身份認證和訪問控制。通過身份認證措施，禁止未授權用戶接入網絡。流行的寬帶接入的認證方式主要有：PPPoE、Web/Portal和802.1X等認證方式，建議高校WLAN采用802.1X認證，該認證方式可以很好的支持組播業務，可以將用戶映射到不同認證登記的VLAN，數據包無需進行多層協議的封裝，認證過程和業務分離。另外，不同的用戶具有不同的訪問權限，很多敏感資源進行保護。（2）數據加密。目前高校WLAN普遍采用瘦AP模式，認證過程可以采用802.11i認證方式，采用的加密算法是AES-CCMP，該算法是目前最安全的無線安全協議，采用專用認證服務器，提供了加密、認證、數據完整性檢測和重放保護等安全機制。另外，在關鍵區域，可采用VPN等加密措施，對客戶端和AP間的通信過程進行保護，即使攻擊者截獲到通信數據，也無法了解通數據包詳細內容。（3）網絡可用性。不管是由于拒絕服務攻擊還是由于設備故障，WLAN建設中關鍵部分需要保證客戶端正常訪問網絡，在高校WLAN的食堂、圖書館的等數據流量大的區域，當一個新的客戶端需要接入網絡，從而提供更好的QoS，保證網絡的可用性。高校的WLAN需要正常、合理的分配無線信道，適當的調整AP功率。非法入侵者可能利用射頻掃描工具探查合法無線設備的工作參數、用戶數據等敏感信息，非法的無線設備也可能侵占合法的無線信道，從而對合法設備的信道利用產生干擾。因此，必須具備無線射頻監控能力，能針對非法用戶的掃頻行為和嘗試連接進行快速發現、警告、定位并可以將其剔除，從而保障WLAN的安全穩定運行。

四、總結

隨著網絡技術的不斷發展和攻擊技術的不斷改善，針對高校WLAN的安全威脅無處不在，要保障高校WLAN安全穩定運行，需要從多方位、多角度、多層次進行綜合考慮，采取靈活多樣的安全措施，建立多元化的保護機制來保障WLAN的安全穩定可用。