校園無線局域網非法接入及數據安全問題研究

林育深，武玉剛，阮錦新

(廣東第二師范學院， 廣東 廣州 510303)

?

校園無線局域網非法接入及數據安全問題研究

林育深，武玉剛，阮錦新

(廣東第二師范學院， 廣東 廣州 510303)

摘要:無線網絡存在非法用戶接入、非法接入點連接和數據安全等問題.分析常見的線路加密技術、端口訪問控制、portal認證等無線網絡安全認證方式，給出無線網絡建設解決方案，同時對無線網絡安全問題給出一些解決措施：雙AC熱備、非法AP管理及信道干擾管理、AP負載均衡、無線漫游、入侵檢測和AP報警等.

關鍵詞:WLAN； AP ；AC ；802.1X； 安全性

0引言

近年來，無線局域網迅速發展，家用無線網絡、運營商無線網絡、移動熱點以及各單位建設的無線網絡越來越多，無線接入越來越方便.隨著移動終端的逐漸增加，無線網絡的使用已成為生活中必不可少的部分.許多城市推出了智慧城市的建設，推出了城市免費無線網絡，智能家居在逐漸發展，同時隨著“互聯網+”戰略的提出，無線網絡在現代社會生活中發揮著越來越重要的作用.

無線網絡的迅速發展，導致無線網絡技術越來越先進的同時,無線網絡建設和無線網絡終端接入越來越簡單.然而，無線網絡在建設、訪問方便的同時，安全性問題也日益突出.

無線網絡存在的核心安全問題歸結起來有3點[1-5]：(i)非法用戶接入問題.由于許多無線網絡建設者對無線網絡安全認識不足，出現無線網絡設備密碼被破解入侵或無線網絡密碼過于簡單，非法用戶通過各種無線網絡密碼破解軟件可以輕松訪問無線網絡，對網絡安全造成很大影響.(ii)非法接入點連接問題.無線網絡易于搭建，用戶可以購買路由器，自行搭建自己的無線網絡，這樣的無線網絡對網絡管理和網絡安全是很大的安全威脅，對通過無線終端發起的各種攻擊或非法入侵無法做到有效的審計和管理.(iii)數據安全問題.許多無線網絡設備雖然進行了各種安全設置，比如SSID隱藏、WEP加密、WPA加密、MAC過濾等，可是惡意攻擊仍可以通過Ethereal和TCPDump等軟件，獲取合法的MAC地址，通過更改MAC地址偽裝成合法用戶對設備發起攻擊.由于無線網絡設備品牌繁多，硬件和軟件漏洞必不可免，惡意攻擊者利用漏洞對設備發起攻擊，獲取合法身份，對傳輸信息進行竊聽、截取、篡改和破壞，配合大數據和數據挖掘技術，利用社會學原理，導致嚴重的后果.目前用戶信息被泄露導致用戶經濟、精神損失的現象越來越多，無線網絡安全問題必須引起足夠的重視.

1無線網絡安全認證方式[6-9]

1.1線路加密技術

在鏈路層加密，當用戶的密鑰與無線路由器的密鑰相同時才可以訪問網絡的資源，防止非授權用戶的訪問，目前有幾種無線網絡加密技術，如WEP、WPA、WAPI以及WPA2等.這些安全認證有其優缺點，優點是組網簡單，安裝容易；缺點是安全性較差，由于WPA及WPA2都采用RC4加密算法，該算法在無線網絡中IV(初始化向量)存在不變性漏洞，同時加密密匙普遍不長，容易受到攻擊.還有，外校來賓使用網絡，也必須告訴其密碼，這樣一來，整個網絡需經常更換密碼.

常見的安全處理方法有：采用強力的密碼；嚴禁廣播服務集合標識符(SSID)；對介質訪問控制(MAC)地址進行控制；在網絡不使用的時間，將其關閉；關閉WDS功能等.

網絡上有許多線路加密技術破解軟件，通過密碼字典強力破解.并且出現了一些無線破解系統，比如CDLinux和BT等，通過破解pin碼來接入無線網絡.針對這些方法,可關閉路由器的WPS功能或購買具有防pin功能的路由器.

1.2端口訪問控制(802.1X)

802.1X是基于C/S模式的訪問控制和協議認證，對基于端口的設備或用戶進行認證，只有在認證通過后才能訪問網絡，整個認證過程可以由加密隧道保護，避免認證泄露.WPA可以采用802.1X作為認證組件，配合AES/TKIP數據加密，保護用戶數據安全.

由于802.1X認證比PPPoE認證安全，所以部署成本較高，用戶終端必須安裝支持802.1X的客戶端軟件才能訪問網絡，無線網絡作為有線網絡的補充，特點是方便、快捷.但是，對于外校來賓使用網絡，如果使用802.1X認證，須將客戶端軟件分發到終端并安裝客戶端程序，這樣做較為麻煩.該認證一般適合計算機操作熟練，且對無線傳輸安全要求較高的用戶使用.

目前，市場已有一些支持802.1X認證的路由器，導致網絡管理復雜，同時對網絡安全造成一定影響，可通過認證系統的一些策略進行管理，限制對該類路由器的使用.

1.3Portal認證

基于IOS、Android和windows系統的移動終端越來越多，PPPoE認證和802.1X認證方式顯然對用戶訪問網絡和網絡管理帶來了極大的不方便，Portal認證可以方便地滿足用戶認證上網的需求.Portal認證是指終端通過瀏覽器在portal服務器提供的頁面上輸入自己的認證信息，認證通過后便可以訪問網絡.

Portal認證方式用戶通過Web瀏覽器完成認證，界面友好、直觀.當然，Portal認證也存在不足的地方，例如很多用戶連上網絡，經常不經意關閉下線網絡界面，致使服務器誤以為用戶一直在線，下次登錄時提示用戶已在線等錯誤信息.

2無線網絡建設方案

當今無線局域網網絡發展迅猛，無線設備制造商相繼推出了網絡解決方案，比如華為、H3C、思科.無線網絡解決方案的相繼推出，極大地推動了無線網絡的發展.

一個集中式部署的網絡架構，是一套比較完美的移動網絡的系統模型，它能夠更加全面地了解網絡的現狀，然后實現集中管理、集中控制，能夠在一定程度上降低網絡的管理和運營成本.并且，集中化的管理模式能夠實現客戶端的安全訪問和流量的安全轉發功能，很輕松地搭建一個安全、可靠、易升級的無線網絡架構.

統一的無線網絡具有輕松實現無線網絡服務轉發、網絡的實時射頻管理，并且能夠提供網絡的安全加密和認證，為網絡提供入侵保護.

H3C無線網絡的解決方案，采用AC+FitAP進行建設管理.AP可支持FIT和FAT兩種模式，可工作在2.5GHz和5GHz雙頻模式，支持a/b/g/n模式，通過AC控制器進行管理，經H3C的IMC系統可實現用戶有線網絡、無線網絡和VPN的統一認證.

2.1統一規劃AP頻道

無線AP工作在2.5GHz模式下，可用頻道有1、6、11，工作在5GHz模式下，可用頻道有12個，在建設時統一規劃頻道，2.4GHz模式手動分配AP信道，在AP布置較復雜時，可配置AP的信道為auto模式，AC自動分配AP信道；5GHz模式下，可用信道較多，可配置的信道為auto模式.

2.2VLAN劃分

校園無線網絡分布較大，覆蓋各樓宇、校道和公共活動場所，合理劃分VLAN至關重要.合理劃分VLAN使得無線網絡建設、管理和維護變得簡單，同時使得網絡安全得到很大提高，避免在arp病毒爆發時對網絡的影響.

2.3設定策略

由于校園無線網絡使用終端多為智能手機等，訪問時間短且不固定，具有隨機性，通過設置合理的心跳時間和心跳次數來減小AC壓力.由于有線網絡、無線網絡統一認證，為了確保同一賬號只能一個在線，設定策略，確保用戶在有線網絡和無線網絡之間的有效切換.

2.4IMC設置

在IMC中，需增加對POE交換機和AP等NAS設備的管理，防止非法NAS設備的接入；配置portal服務器，對接入用戶的IP地址、心跳策略等進行配置，進行用戶portal認證的設置和管理.

3無線網絡安全措施

校園無線網絡建設完成后，不可避免地存在一些安全問題，可以采取下面的措施以保障校園無線網絡的安全.

3.1兩AC互主備保障無線網絡安全

建設無線網絡時應考慮到統一認證、統一管理、災難備份等.為了保證無線網絡的安全可靠，可采用兩個AC，主備AC,兩AC采用熱備方式.備用AC主動檢測主AC狀態，當主AC出現問題時，備用AC接管對主AC區域的AP，保障無線網絡業務的正常.通過熱插拔技術拔出一塊AC，來測試雙AC的主/備功能，實驗驗證主備AC能夠快速切換，切換期間網絡穩定.

3.2非法AP管理與信道干擾處理

在AP信道進行合理劃分和實施后，會存在一些非法AP設備，為了確保網絡安全，在AC中開啟非法設備檢測功能，可以有效地對非法AP設備進行管理.由于AP功率關系， 存在相鄰AP信道信號干擾問題，同時未認證AP對信道的干擾更大.AC可以自動配置AP信道，信道智能切換能夠保證每個AP分配到最優的信道，使相鄰信道干擾盡可能地減少和避免.實時信道干擾檢測功能，可以讓AP實時避開如雷達、微波爐等干擾源的干擾.

3.3AP負載均衡確保設備安全

802.11協議無線客戶端決定了無線漫游的決策，無線客戶端一般會選擇信號強度(RSSI)較強的AP，這很容易導致某個AP因為信號較強而連接了大量的客戶端.由于這些客戶端共享無線媒介，從而導致每個客戶端的網絡吞吐大量減少.

每個AP可以支持上百人訪問網絡，但是訪問效果明顯很差，同時為了保護AP，在AC中限定每個AP支持30用戶，當超過30用戶時，AC可以實時地分析無線用戶的位置，以便動態地確定在當前位置和當前時刻哪些AP可以相互分擔負載，將新連接轉移到相鄰AP中，同時當AP信道利用率較高時，AC也會將新連接轉移到相鄰AP中，來實現AP負載均衡.

3.4無線漫游技術確保用戶信息安全

H3CAC針對漫游用戶的快速切換采用Keycaching技術，Keycaching技術避免了無線用戶終端在兩個AP間進行漫游時重新進行完整的802.1x認證交互過程，保證了用戶身份的識別和密鑰使用的連續性，在快速漫游和用戶的安全接入之間做了一個很好的平衡；無線用戶在快速漫游時，單AC內漫游時間短.

3.5入侵檢測、黑名單、ACL和portal認證

在AC上開啟防arp功能，可以有效地管理校園網常見的arp問題，確保無線網絡的正常運行.ACL技術，可以有效地管理對接入資源訪問問題，同時在AP夜晚沒有接入的情況下，智能關閉AP，節約能源同時保護設備.

在AC上開啟portal認證，方便接入的同時，用戶接入信息的安全得到了保證.

3.6AP的管理和實時報警

IMC系統中，通過無線網絡管理模塊可以有效地對AP進行管理，并實時顯示AP工作狀態及各AP接入用戶信息.當AP出現問題時，通過IMC的報警模塊，進行實時報警，確保設備安全.

參考文獻：

[1] 田永民.基于無線網絡WLAN安全機制分析[J].數字技術與應用， 2011(5)：69-70.

[2] 劉乃安.無線局域網—原理、技術及應用[M].西安:西安電子科技大學出版社,2004：20-55.

[3] 呂海燕，呂紅，任穎,等. 無線網絡的安全機制及其實施[J].中國現代教育裝備,2010(3)：18-21.

[4] 王茂才, 戴光明，宋軍,等.無線局域網的安全性研究[J].計算機應用研究,2007(1): 158-160.

[5] 趙偉艇.無線局域網的加密和訪問控制安全性分析[J].微計算機信息,2007，23(7-3): 65-66.

[6] 白莉娜．無線網絡在圖書館應用時的安全分析與防范策略[J]．高校圖書情報論壇，2007，6(4)：75-78．

[7] 丁家鳳．無線網絡通信加密措施探討[J]．信息技術，2011(1): 33-35．

[8] 任偉．無線網絡安全問題初探[J]．信息網絡安全，2012(1)：10-13．

[9] 趙建超，尹新富．校園無線網絡安全綜合防御[J]．制造業自動化，2011，33(2)：29-31．

收稿日期：2015-08-03

基金項目：2013年國家自然科學基金面上項目(61370186)；2012年度“教育部-中國移動科研基金”項目(MCM20121051)；廣東省省級科技計劃項目(2013A011403002，2014A010103040)；廣州市科技計劃項目(2014J4100032)

作者簡介：林育深，男，廣東潮陽人，廣東第二師范學院實驗師.

中圖分類號：TP 393

文獻標識碼：A

文章編號：2095-3798(2016)03-0086-04

The Research of the Illegal Access of CampusWirelessNetworkandDataSafety

LINYu-shen,WUYu-gang,RUANJin-xin

(GuangdongUniversityofEducation,Guangzhou,Guangdong, 510303，P.R.China)

Abstract:Illegal user access, unauthorized access points and data security problems are existing in the wireless network. The wireless network security authentication methods are analyzed, including the common line encryption technology, port access control and portal authentication. The construction of wireless network solution is given and some solutions of the wireless network security problems are given, including dual AC hot standby, illegal AP management and channel interference management, AP load balancing, wireless roaming, intrusion detection and AP alarming.

Key words:WLAN； AP ； AC； 802.1X ； security