高校校園無線網(wǎng)安全問題的分析與應(yīng)對

【 摘 要 】 伴隨著信息化的不斷發(fā)展，無線網(wǎng)已經(jīng)深入校園的各個角落。校園無線網(wǎng)的安全問題日益成為網(wǎng)絡(luò)管理的重中之重。論文分析了無線網(wǎng)存在的安全問題及其產(chǎn)生的原因，然后提出了具體的應(yīng)對措施，通過加強控制和身份認證，及時修復(fù)漏洞，強化安全審計，提高安全意識等多方面，保證校園無線網(wǎng)的安全高效運行，更好地服務(wù)于全校師生員工。

【 關(guān)鍵詞 】 安全；訪問控制；身份認證；安全審計

【 中圖分類號 】 TP393

【 文獻標識碼 】 A

Analysis and Counteractions on the Security of Campus Wireless Network

Liu Yuan-Chao

（Department Modern Education Center， Shandong Police College ShandongJinan 250014）

【 Abstract 】 With the continuous development of information technology， wireless network has entered every corner of the campus. The security of campus wireless network is becoming more and more important in network management. This paper analyzes the security issues and causes of the wireless network， and then puts forward specific measures to deal with security issues. By strengthening the control and identity authentication， repairing system vulnerabilities instantly， enhancing the security auditing and security awareness，the wireless network will be running in a safe and efficient environment. And the staff and students will get better service.

【 Keywords 】 security； access control； identity authentication； security audit

1 引言

互聯(lián)網(wǎng)技術(shù)的快速發(fā)展和普及，無線網(wǎng)絡(luò)也開始迅速遍布社會的各個方面。作為校園網(wǎng)的重要方式之一，無線網(wǎng)受到越來越多的重視。目前許多高校通過自建、共建或他建等方式建立了校園無線網(wǎng)，并且?guī)熒鷨T工對無線網(wǎng)絡(luò)的依賴程度越來越高。隨著無線網(wǎng)絡(luò)規(guī)模的不斷擴大，校園網(wǎng)的開放程度不斷增加，校園無線網(wǎng)的安全問題也顯得愈發(fā)突出。無線網(wǎng)的安全問題已成為高校信息化建設(shè)中至關(guān)重要的問題。

2 校園無線網(wǎng)的安全問題分析

無線網(wǎng)在“互聯(lián)網(wǎng)+”的時代理所當(dāng)然的成為人們工作、生活和學(xué)習(xí)等各方面的剛需。高校大學(xué)生作新生力量，其對網(wǎng)絡(luò)的需求更迫切。校園無線網(wǎng)的安全問題主要有技術(shù)安全和管理安全。

2.1 技術(shù)安全問題

2.1.1多SSID的安全問題

為了滿足不同用戶的上網(wǎng)需求及管理需要，在配置時可能會搭建不同SSID的無線網(wǎng)絡(luò)信號。不同的SSID之間如果沒有嚴格的安全隔離，可能會導(dǎo)致用戶在接入無線網(wǎng)時發(fā)生信號跳變的問題。

2.1.2 VLAN安全問題

VLAN安全分為設(shè)備安全和用戶全。設(shè)備安全指AC和AP之間的通信，如果AC對AP的VLAN劃分不嚴格，容易遭受ARP泛洪攻擊，導(dǎo)致AC向AP轉(zhuǎn)發(fā)無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁堵，甚至導(dǎo)致整個網(wǎng)絡(luò)的癱瘓。

用戶安全是指同一SSID下，大多數(shù)用戶都在同一VLAN內(nèi)，用戶之間可以相互通信。如果Portal認證頁面推送的用戶IP的URL并沒有進行編碼轉(zhuǎn)譯，那么攻擊者可以利用ARP嗅探的方式，修改用戶的IP從而獲得其他合法認證用戶的上網(wǎng)權(quán)限，侵犯了其他用戶的合法權(quán)益。

2.1.3 DHCP地址池耗盡

用戶接入無線網(wǎng)，首先會請求分配IP地址，AC作為DHCP服務(wù)器在接到客戶端請求后給用戶分配IP。如果無線網(wǎng)采用Portal方式，用戶只是接入開放網(wǎng)絡(luò)但未進行認證，同樣會占用IP。攻擊者采用泛洪DoS攻擊，AC的地址池資源會很快被耗盡，正常的上網(wǎng)用戶也因無法獲得IP不能上網(wǎng)。

2.1.4 DNS安全問題

為了提高解析效率及內(nèi)網(wǎng)IP解析的需求，大部分高校都搭建內(nèi)部的DNS。無線網(wǎng)通常和有線網(wǎng)共用DNS，但DNS設(shè)置不嚴格，攻擊者會利用DNS的安全漏洞，拿到DNS的控制權(quán)，進而入侵無線網(wǎng)和有線網(wǎng)的其他網(wǎng)絡(luò)設(shè)備。

DNS的安全問題還在于DNS隧道。攻擊者通過代理工具，將其他協(xié)議的訪問流量封裝在DNS的流量中，繞過身份認證系統(tǒng)，實現(xiàn)了免費上網(wǎng)，甚至可以實現(xiàn)遠程控制、文件傳輸?shù)戎匾僮鳌?/p>

2.1.5 設(shè)備漏洞

無線網(wǎng)絡(luò)設(shè)備自身存在的安全漏洞攻擊者利用從而操縱網(wǎng)絡(luò)，如設(shè)備廠商發(fā)布的AC的軟件或固件版本存在漏洞，可能會使攻擊者非法下載AC配置文件，獲得AC控制權(quán)。

2.2 管理安全問題

從當(dāng)前的網(wǎng)絡(luò)建設(shè)情況來看，因為各方面的原因?qū)е?，所以在安全隱患問題上還比較突出。校園無線網(wǎng)建設(shè)中的安全隱患體現(xiàn)在多個層面，其中在人為安全隱患上是一個不可忽視的內(nèi)容。網(wǎng)絡(luò)管理人員設(shè)置管理密碼過于簡單或者未妥善保存，都為攻擊者提供了可乘之機。由于人為的疏忽導(dǎo)致安全策略配置不完整，也會造成無線網(wǎng)安全問題。

3 無線網(wǎng)的安全應(yīng)對措施

校園無線網(wǎng)的應(yīng)用范圍不斷擴大，但是網(wǎng)絡(luò)的管理力度還比較弱，還經(jīng)常發(fā)生內(nèi)部攻擊，這些因素都影響了校園無線網(wǎng)的安全性。因此，必須要建立完整的整體解決方案，才能保證校園無線網(wǎng)的安全運行。

3.1 加強訪問控制和安全策略

對于多個SSID的無線網(wǎng)，要保證不同SSID之間的用戶嚴格隔離，防止非法竄用。開啟用戶隔離，對于同一SSID下的用戶之間的二層報文不能相互轉(zhuǎn)發(fā)，從而使無線用戶之間相互不能通訊。為解決DHCP地址池耗盡的問題，一方面要將私網(wǎng)IP的DHCP地址池擴大，比如1個B類私網(wǎng)地址段；另一方面要合理配置DHCP的租期，及時將閑置的IP地址收回。建議無線網(wǎng)搭建單獨的DNS，同時加強DNS的安全配置，防止DNS被濫用。

3.2 提高身份認證水平

實現(xiàn)實名認證對于所有的上網(wǎng)用戶來說是必須的。針對上網(wǎng)用戶的分類以及用戶認證方式的不同需求，用戶上網(wǎng)身份認證方式也各有不同。Portal無感知認證逐漸成為目前認證的熱門方式。在日常的無線網(wǎng)管理中，只需要配置合理的用戶無感知Mac的數(shù)量和無感知失效時間。Portal無感知通過Portal認證和MAC的有效結(jié)合，既能保證認證的安全性，又能提升用戶體驗和管理的靈活性，適合高校的無線網(wǎng)管理。

3.3 及時修復(fù)系統(tǒng)漏洞

校園無線網(wǎng)中的網(wǎng)絡(luò)設(shè)備、服務(wù)器和應(yīng)用軟件的安全穩(wěn)定也是影響無線網(wǎng)安全的重要因素。軟硬件使用越廣泛，隨之暴露的漏洞也就越多，因此必須及時更新修復(fù)系統(tǒng)漏洞?？赏ㄟ^漏洞掃描系統(tǒng)定期對網(wǎng)絡(luò)設(shè)備進行檢查，并根據(jù)檢查結(jié)果及時進行處理。

3.4 強化安全審計和行為管理

安全審計和行為管理的目的在于保障校園無線網(wǎng)用戶的上網(wǎng)行為及上網(wǎng)信息。通過記錄用戶使用網(wǎng)絡(luò)的信息，包括登錄時間、訪問地址和上網(wǎng)時長等來分析用戶的上網(wǎng)行為。通過審計可以幫助網(wǎng)絡(luò)管理部門及時發(fā)現(xiàn)網(wǎng)絡(luò)異常行為，并將異常行為及時納入日常的網(wǎng)絡(luò)管理中。

3.5 提高網(wǎng)絡(luò)安全意識和系統(tǒng)管理力度

網(wǎng)絡(luò)管理人員的安全意識直接影響著無線網(wǎng)絡(luò)的安全性。如果網(wǎng)絡(luò)管理人員安全意識淡薄，疏于防范，那么無線網(wǎng)出現(xiàn)安全問題的概率大大增加。因此，必須提高網(wǎng)絡(luò)管理人員的安全意識和技術(shù)水平。同時提高系統(tǒng)管理力度，將無線網(wǎng)的安全管理納入日常的網(wǎng)絡(luò)巡檢中，通過各種主流技術(shù)和方法，使網(wǎng)絡(luò)安全問題防患于未然。

4 結(jié)束語

校園無線網(wǎng)已經(jīng)成為學(xué)校師生員工獲取信息的重要渠道，校園無線網(wǎng)的安全直接影響著學(xué)校的信息化建設(shè)和應(yīng)用水平。加強訪問控制，提高身份認證水平，及時修復(fù)系統(tǒng)漏洞，強化安全審計，提高網(wǎng)絡(luò)安全意識，確保網(wǎng)絡(luò)安全無問題。只有通過多方面、全方位的鞏固網(wǎng)絡(luò)管理，確保校園無線網(wǎng)的安全性，才能為信息化的建設(shè)和和深入應(yīng)用提供強大的動力支持。

參考文獻

[1] 寧向延，張順頤.網(wǎng)絡(luò)安全現(xiàn)狀與技術(shù)發(fā)展[J].南京郵電大學(xué)學(xué)報（自然科學(xué)版），2012Vol32（5）：49-58.

[2] Nationalcybersecuritystrategyoftheczechrepublicfortheperiodfrom 2015to2020[EB/OL].https：//www.enisa.europa.eu.

[3] 郭樂深，尚晉剛，史乃彪.信息安全工程技術(shù)[M].北京：北京郵電大學(xué)出版社，2011.

[4] 任偉.無線網(wǎng)絡(luò)安全問題初探[J].信息網(wǎng)絡(luò)安全，2012（1）：10-13.

[5] 劉長瑞，聶明.無感知WLAN業(yè)務(wù)認證方式的分析[J].電信工程技術(shù)與標準化，2012，（5）：25-29.

[6] 姜彩萍，王繼龍.校園網(wǎng)規(guī)范運行研究[J].廣西大學(xué)學(xué)報（自然科學(xué)版），2011，36（S1）：228-233.

作者簡介：

劉遠超（1987-），男，助理實驗師；主要研究方向和關(guān)注領(lǐng)域：事網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全。