基于校園無線網的安全問題分析與防御

王志剛 向 飛 孟 罡

（信息工程大學信息管理中心，河南 鄭州 45004）

基于校園無線網的安全問題分析與防御

王志剛 向 飛 孟 罡

（信息工程大學信息管理中心，河南 鄭州 45004）

在高校信息化建設中，無線網已經成為校園網的重要組成部分，無線網帶給我們便捷、自由的同時也存在諸多安全隱患。本文通過對校園無線網絡常見的安全問題進行分析，結合現有的無線網安全防護技術，提出了相應的防御策略。

校園；無線網；安全防護；防御

近年來，隨著智能手機、無線上網本等移動智能終端的快速發展，通過無線網絡接入Internet已經成為重要的聯網方式。在高校信息化建設中，無線校園網已經成為網絡建設的重點。無線校園網具有信道開放、部署靈活、使用方便等諸多優點，帶給我們便捷、自由的同時，也存在諸多安全問題，無線網絡相對于有線網絡更易被攻擊者竊聽、修改或轉發，在實際使用中這些安全問題需要我們研究解決。

1 校園無線網的安全問題

校園無線網絡在進行數據傳播時，主要利用空氣中的無線電波進行傳播，數據發射有時候會到達預期之外的地方，這就容易造成了數據流失。另外，外界信號可以對無線網絡信號進行干預，或者是對其進行阻礙與攻擊，具體包括以下幾個方面：

1.1 網絡竊聽。入侵者不需要與網絡有物理連接，只需要使相關設備處于信息覆蓋區域之內即可，利用網絡工具對無線AP通信數據包進行監聽、截取和分析，從中識別出可以竊取、利用的信息，信息收集足夠后，就可以侵入網絡，從而對整個網絡的安全產生威脅。

1.2 AP偽造。攻擊者通過一些非法手段獲取SSID，對無線數據包進行竊聽和捕捉，竊取目標無線網絡密鑰，然后在目標無線網絡附近架設一臺AP，采用相同或近似SSID，這樣就完成了AP的偽造。偽造AP的目的有多種：實現中間人攻擊、建立虛假AP信號破壞正常通信、盜取用戶的個人信息或賬戶密碼等。

1.3 拒絕服務攻擊。攻擊者通過設備造成無線頻譜沖突，使AP設備無法提供正常服務，或向AP發送大量的、偽造的身份驗證報文，當報文數量超過AP處理能力時，AP將拒絕服務，斷開已有服務連接。

1.4 重放攻擊。入侵者通過某些方式截取客戶端對AP的驗證信息，然后將該信息重放，就可以達到非法訪問AP的目的。

1.5 非法接入。這種情況主要是指內部用戶在交換機端口接入無線路由器或通過隨身wifi等類似設備共享有線網絡，從而繞過安全認證機制，非法使用網絡。

1.6 非法外聯。用戶使用手機等移動終端，開通過3G、4G無線上網，同時連接校園網，使得校園網與外網物理互聯，這樣攻擊者更容易通過用戶終端入侵校園網，致使校園網出口的安全防范措施形同虛設。

2 校園無線網的防御

2.1 采用基于端口的802.1x認證協議。基于802.1x的認證方式，可以根據用戶的認證結果決定是否開放服務端口。無線用戶端安裝802.1x客戶端軟件，無線AP內嵌802.1x認證代理，同時它還作為RADIUS服務器的客戶端，負責用戶與RADIUS服務器之間認證信息的轉發。當無線客戶端登錄到無線訪問AP點后，是否可使用AP的服務取決于802.1x的認證結果。如果認證通過，則AP為客戶端打開這個邏輯端口，否則不允許用戶上網。

2.2 SSlD設置管理。加強控制校園無線網絡信號的覆蓋范圍，SSID的設置要復雜，并且要定期更換；要禁止SSID廣播，防止偽造AP的現象發生。通過對多個無線接人點AP設置不同的SSID。并要求無線工作站出示正確的SSID才能訪問AP。這樣就可以允許不同群組的用戶接入，并對資源訪問的權限進行區別限制。

2.3 MAC地址過濾。可以通過在AP中設置一組允許訪問的MAC地址列表，實現物理地址過濾，結合IP限制、端口綁定、硬盤序列號和用戶信息關聯等確保只有經過注冊的設備才能進入網絡，在一定程度上防止了外部的非法訪問。禁止使用動態主機配置協議，使用這項措施可以提高無線網絡的安全，可以有效地增加入侵的難度。

2.4 加密設置管理。選用較為安全的加密標準，嚴格加密，要啟用WPA2以上的加密才可以，同時在使用無線網絡過程中，密碼級別設置盡可能高，防止密碼被竊取。

2.5 運用VPN技術。VPN技術通過三級安全保障：用戶認證、加密和數據認證來實現無線網絡的安全性保證。用戶認證確保只有已被授權的用戶才能夠進行無線網絡連接、發送和接收數據。加密確保即使攻擊者攔截竊聽到傳輸信號，也沒有充足的時間和精力將這些信息解密。數據認證確保在無線網絡上傳輸的數據的完整性，保證所有業務流都是來自已經得到認證的設備。

2.6 加強入網管理。啟用入網終端準入系統，強化用戶身份認證，對用戶訪問權限進行詳細設置和劃分。針對校內用戶主要采用802.1x認證方式進行認證，來訪的用戶可采用DHCP配合強制Portal認證的方式接入校園無線網，加強日志監控和行為分析，對異常情況及時處理。

綜上所述，在校園無線網信號覆蓋范圍內，任何具有合適接收設備的人都可以搜索并接收到網絡信號。無線網絡的開放性，給我們帶來便捷的同時，也存在不小的安全隱患。因此，我們必須要深入研究校園無線網安全防護技術，制定相應的防護策略，采取相應的防護措施，才能確保校園無線網絡的穩定、安全、高效運行。

[1]張民磊.企業無線網絡信息安全及其防護措施研究[J].網絡安全技術與應用，2014（3）：136-137.

TP393

A

1671-0037（2014）11-98-1

王志剛（1975-），男，講師，研究方向：網絡安全及教育技術。