校園無線網絡的安全防護研究

蔡向陽

(黃岡職業技術學院，湖北黃岡 438002)

為適應各種便攜式智能終端的上網需求，很多高校實現了無線局域網 (WLAN)熱點全覆蓋，給師生利用無線網絡開展各種應用業務教學、科研、辦公等帶來了巨大便利。因為將無線網接入傳統的Internet網絡存在許多安全問題，所以對無線網絡安全防護的研究具有特別重要的意義。

1 校園無線網的特點

1)無需布線。學生和教師可以在無線網絡覆蓋的區域內實現移動上網，檢索圖書館的資料，查看教案和作業，大大提高了師生對校園網資源的利用率，也方便了教學活動和學生的學習生活。

2)安裝方便。無線局域網的安裝簡單，無需破墻、掘地、穿線架管，一般只要安裝一個或多個接入點AP(Access Point)設備，就可建成覆蓋整個建筑或地區的無線網絡。一旦發生故障，不需要尋找損壞鏈路，只要檢查信號發送端與接收端的信號是否正常即可。

3)維護成本低。相對于有線網絡的布線投資及維護成本，無線網絡可以使原來的一個信息點同時接入數十乃至數百個用戶設備，在人力和物力上都大大地節約了學校的投入和支出。無線網絡盡管在搭建時投入成本較高，但后期維護方便，并且維護成本也比有線網絡低。

4)具有較強的靈活性和可擴展性。在有線網絡中，網絡設備的安放位置往住會受到網絡信息點位置的限制。但在無線網絡中卻比較靈活，它只要在無線網信號覆蓋區域內任何位置均可接入網絡。同時，由于無線網技術有對等模式、中心模式、中繼組網模式等多種配置方式，用戶或企業能夠根據需要靈活選擇，易于擴展。

5)帶寬很寬。無線網適合進行大量雙向和多向多媒體信息傳輸。在速度方面，標準802.11b可提供11Mbps數據傳輸率，而標準802.11g可提供54Mbps數據傳輸率，完全能滿足校園網用戶對網速的要求。

2 校園無線網的安全問題

1)非法用戶侵入。由于無線局域網具有公開、易獲取的特性，便于開放式訪問，所以非法用戶可以未經授權而擅自使用網絡資源，后果是不僅占用了寶貴的無線信道資源，增加了帶寬成本，而且還降低了合法用戶的服務質量，同時非法的用戶還可能違反各種服務條款，違反國家各種法律規定，制造出各種各樣法律糾紛。

2)信息重放。在無線校園網中，如果沒有足夠安全防范措施的情況下，很容易受到利用非法AP進行的中間人欺騙攻擊。即使利用VPN等保護措施也難以避免，它能對授權客戶端和AP進行雙重欺騙，進而對網絡中的信息進行竊取和篡改。

3)網絡監聽。由于無線局域網具有開放訪問的特點，大多數無線網絡通信數據是以明文 (非加密)格式出現的，這就會使處于無線信號覆蓋范圍之內的攻擊者可以乘機監聽并破解 (讀取)通信。入侵者無需將竊聽或分析設備物理地接入被竊聽的網絡，就可以乘機在無線信號覆蓋范圍之內，進行竊聽、惡意修改并轉發數據。

4)無線加密協議 (WEP)破解。互聯網上存在一些非法程序，能夠捕捉位于AP信號覆蓋區域內的數據包，通過收集足夠多的WEP密鑰加密的數據包，進行分析以破解WEP密鑰。根據監聽無線通信的機器速度、WLAN內發射信號的無線主機數量，最快可以在約兩個小時之內破解WEP密鑰。

5)拒絕服務。它是無線網絡中最為嚴重的攻擊方式，一般有兩種情況，一種就是攻擊者對AP進行泛洪式的攻擊，使AP拒絕服務。另外一種是對某個節點進行攻擊，讓它不停地提供服務或進行數據包轉發，使其資源耗盡而不能繼續工作，也就是通常稱的資源消耗攻擊。在這兩種攻擊方式中，前者后果更為嚴重。

6)地址欺騙和會話攔截。無線網絡環境中，非法用戶可能通過偵察、偵聽等手段竊取合法用戶的MAC地址或IP地址信息，并使用這些信息進行網絡詐騙、網絡攻擊、會話攔截進而獲取網絡中更多的信息。

3 校園無線網絡安全防護對策

3.1 構建校園無線網絡安全防護的管理對策

3.1.1 建立安全可靠的校園無線網絡管理制度。規范的校園無線網絡秩序，不僅需要依靠相應的法律法規，還需要學校網絡管理者建立起一整套完善的校園無線網絡運行、使用、管理的制度。學校應設立具有決策權的機構或部門來協調各單位使用無線網絡的管理工作，這種管理需要建立一套完整的校園無線網絡使用安全管理制度，還需要組建和培養一支具有高素質的校園無線網絡安全管理隊伍。

3.1.2 建立校園無線網絡安全防護的應對制度。當校園無線網絡出現安全問題時，學校的網絡管理部門需要建立一套標準化的流程來響應。校園網絡管理人員能夠按相關流程規定，對校園無線網工作狀態、信息傳輸的狀況以及無線信號的狀況進行實時檢測，及時更新相關的信息，確保網絡信息的正確性和有效性。

3.2 構建校園無線網絡安全防護的技術對策

3.2.1 對接入用戶采用認證機機制

無線網絡的建設目標是要與有線網及校本資源有效融合，做到安全、便捷，所以，在認證上要盡量做到統一。目前，根據校園網用戶的安全需求及校內無線終端類型的統計，主要采用了以下幾種認證:

1)802.1x認證。該認證是根據用戶帳號和設備，對客戶端進行鑒權，只適合于接入用戶設備與接入端口間點到點的連接方式。校園網中的端口多指用戶設備的MAC地址，需要MAC地址處于激活狀態，否則無法進行認證。在802.1x認證體系中，必須具備客戶端、接入認證交換機和認證服務器三者，才能完成基于端口的訪問認證和授權。802.1x可以作為WPA的認證組件，支持AES/TKIP數據加密，為用戶數據提供加密服務。其優點就是簡單易行、安全可靠、認證效率高。同時也可以避免網絡認證計費瓶頸的單點故障。所以，它是校園網中廣為采用的認證方式。

2)Web認證。該認證方案需要首先給用戶分配一個地址，用戶打開Web瀏覽器試圖訪問某網站時，認證系統會推出認證界面，在輸入正確用戶名稱和口令后，觸發客戶端重新發起地址分配請求，提供給用戶可以訪問外網的地址;用戶下線時通過客戶端發起離線請求。Web認證不需要特殊的客戶端軟件，可降低網絡維護工作量。但其承載在七層協議上，對設備要求較高，且用戶連接線差，離線檢測困難;用戶在訪問網絡前，不論是TELNET、FTP還是其它業務，必須使用瀏覽器進行Web認證;IP地址的分配在用戶認證之前，如果用戶不上網，則會造成地址的浪費。

3)MAC地址認證。該認證是一種基于端口和MAC地址對用戶的網絡訪問權限進行控制的方法，優點是不需要安裝客戶端軟件，配置命令比較簡單，適合學校內部的中小型網絡。該認證方式需要提供以下功能組件:一是具有MAC地址認證功能的交換機，能夠直接對終端進行地址認證;二是Radius服務器，如果交換機無法提供MAC地址是否合法，需要使用Radius服務器進行驗證。在Windows server2003中，需要Active Directory服務與IAS服務相結合才能實現認證和管理MAC帳戶功能。方法是在IAS中設置兩種帳戶:白名單和黑名單，然后在白名單中即服務器提供并維護一個可合法訪問網絡的MAC地址列表;黑名單中則列舉已知的對網絡有威脅的設備MAC地址表。建議學校可以為無線儀器設備、無線打印機等設置專門的WLAN，采用MAC地址認證，為這些特殊設備提供安全的網絡服務。

4)分類認證。分析校園網用戶主要有兩類:一類是校內用戶，另一類是來訪用戶。學校師生構成校內用戶，為滿足工作和學習需要，他們要求能隨時隨地接入校園網，訪問Internet及校內資源，且他們的數據如個人信息、研究資料和科研成果等對安全性要求較高，故可使用802.1x認證方式對用戶進行認證。來訪用戶主要由來校交流、參觀或培訓群體組成，他們對安全性要求不是特別高，能夠快速接入Internet即可，因此可采用DHCP+強制Portal認證方式接入校園無線網絡。

3.2.2 采用加密技術

無線網絡的開放性使信息在傳輸過程中很容易被他人截獲，導致重要信息遭泄露、篡改或破壞，如何保證信息只能被所期待的用戶接受和理解，這就需要對所發送的信息進行加密操作，常見的無線網絡加密技術有WEP和WPA。

1)WEP加密技術。WEP加密技術是802.11b標準里定義的一個用于無線局域網的安全性協議，是對無線網絡上的流量進行加密的一種標準方法。由于在無線網絡中，無需物理連接就可以連接到網絡，因此，目前IEEE802.11標準中的WEP，在15分鐘內就可被攻破，所以建議采用支持128位的WEP，并且不要使用生產商自帶的WEP密鑰，防止未授權用戶的侵入。建議經常對WEP密鑰進行更換，在有條件的情況下啟用獨立的認證服務為WEP自動分配密鑰。

2)WPA加密技術。WPA是為了解決WEP缺點而推出的一項新的加密技術，采用了TKIP算法動態生成一個新的128位密碼，使得安全性較之WEP加密大大提高。WPA包含了認證、加密和數據完整性校驗三個組成部分，是一個完整的安全性方案，但用WPA加密的短數據包仍可遭破解，于是出現了WPA2。WPA2用CCMP取代了 WAP的 TKIP，AES取代了WPA的MIC，成為當前無線網絡中信息加密的最高安全標準，但其對老舊網卡的支持不是很好。在校園無線網絡中建議采用WPA或WPA2加密模式，同時為了防止非法入侵者暴力破解WPA或WPA2的密鑰，應定期更換WPA或WPA2的密鑰。

3.2.3 采用入侵檢測技術

采用入侵檢測技術可實時采集、傳輸、處理數據及控制網絡，及時發現網絡故障，是保障校園無線網絡安全運行，防止非法入侵或數據被竊取、篡改的重要安全技術。黑客追蹤技術能夠使受害主機的網絡管理員找到發起惡意攻擊的數據包的真正源頭，以盡快恢復網絡的正常功能，阻止可能再次發生的攻擊行為，甚至抓獲最終的攻擊者。目前常見的追蹤方法有IP追蹤、反追蹤及路由追蹤等。

3.2.4 網絡安全審計技術

網絡安全審計技術，主要是對用戶的網絡訪問行為和訪問的各種網絡數據進行審計。強調通過內部控制加強對系統的治理，包括加強面向具體業務的IT系統內部控制。如:審用戶、審權限;看協議、看程度、看回放;給證據、給分析、給報告等。與傳統的入侵檢測系統相比，安全審計技術并沒有實時性的要求，因此可對海量的歷史數據進行分析，且采用的方法也可更復雜和精細。一般地，網絡安全審計系統能發現的攻擊種類大大高于入侵檢測系統且誤報率較低。