關于高校無線網絡安全策略的研究

呂海濤

?

關于高校無線網絡安全策略的研究

呂海濤

哈爾濱金融學院，黑龍江 哈爾濱 150030

隨著高校里筆記本電腦、iPad、手機上網等無線終端的普及，無線網因其傳輸介質的開放，采用無線傳輸面臨著越來越多的安全問題。基于此，對高校無線網絡的使用以及存在的網絡安全問題進行了剖析，介紹了無線網絡安全防范技術幾種常用的方法，并提出了一些安全防范的措施。

無線網絡；網絡安全；認證

對于基于WLAN的無線網絡而言，由于高校中存在大量具備較高技術背景和動手能力強的師生，需要考慮如何防止非法的用戶訪問行為、怎么禁止非法用戶接入網絡、空口竊聽如何防護、AP接入AC的安全如何能得到保障和Rogue AP等設備帶來的安全隱患如何解決等問題。本文對以上問題進行了如下闡述。

1 終端類型識別

終端類型識別是指AC通過對用戶發送報文中字段的特征進行分析，包括MAC、用戶代理UA（User Agent）與DHCP Option信息，識別出終端類型。用戶接入內部網絡的設備類型可以通過AC無線控制設備識別，并對某些指定移動設備的接入進行控制，完成基于設備類型、用戶、接入地點、接入時間、設備環境的授權與認證，進而實現精細化的管控。

2 惡意攻擊的解決辦法

Weak IV入侵、Spoof入侵和flood攻擊方式，是高校網絡攻擊主要的幾種形式，具體的解決方法如下。

2.1 Weak IV攻擊檢測

在使用WEP加密算法的前提下，啟動IV監測來過濾client數據報文，當IV的安全策略分析出處在Weak IV攻擊時，AC控制器會阻攔該用戶訪問。

2.2 Flood攻擊檢測

如果惡意攻擊IP向AP發送大量的連接請求報文時，AC控制器會處理從AP 上轉發過來的報文，這樣會導致網絡內部造成影響。開啟Flood attack監測策略，惡意用戶的Flood攻擊會被AC控制器檢測到。該惡意用戶的報文將會被AP全部丟棄，進而完成了對網絡的安全保護。

2.3 Spoof攻擊檢測

對于Spoof攻擊的潛匿入侵者將以其他設備的身份發送攻擊報文。AC控制器接受到惡意用戶或惡意AP發送一個欺騙的解除認證報文會導致無線客戶端下線，進而阻止該用戶訪問網絡。

3 空口竊聽

空口監聽往往是高校中那些充滿好奇心的學生經常嘗試破解的點，需要考慮對空口數據進行加密。常用的空口加密方式有WEP，WPA/WPA2，WAPI等。在最新的實現中，不管是WPA1還是WPA2都可以使用802.1X，使用802.1X時稱為WPA企業版，不使用802.1X時稱為WPA個人版，又叫WPA-PSK版。

在網絡部署的實際過程中，要一同考慮空口加密和用戶認證的設計，Portal+PSK方式部署在高校的普遍使用，并采用CCMP加密方式，需要在網絡設備上進行配置。

4 Rogue設備防護策略

校園無線網中可能有的Rogue設備包括Rogue Client、Rogue AP和Ad-hoc。這些設備對運行的WLAN網絡會帶來許多安全隱患問題，例如干擾、攻擊用戶和非法AP建立連接等。采用華為WLAN WIDS方案對無線網絡中的Rogue 設備（含Client，AP，Ad-hoc）進行過濾檢測、偵別以及反制的解決方法較為有效。

5 無線局域網的認證和加密

采用用戶接入認證，可以對接入網絡的用戶身份的合法性進行認證。只有合法用戶才允許接入，并且不同的用戶、不同的角色所能夠訪問的資源是不一樣的。管理員可以定義不同的角色，或者為用戶分組，調試不同的網絡資源，使特殊的無線用戶只允許訪問授權的指定資源信息，阻止訪問未授權的網絡資源數據。在ME60設置認證網關上，實現有線網絡、現有的無線網絡和本次項目新增無線網絡認證用戶的統一。

對于無線園區網絡設備應支持MAC認證、802.1X、Portal認證多種網絡訪問控制方式，讓用戶網絡的匯聚交換機、接入交換機、AP、無線控制器等多種網絡設備靈活部署實施，配合認證服務器與代理客戶端一起實現用戶接入控制，為無線園區提供安全可靠的訪問控制。

6 用戶訪問安全

高校根據需要，往往劃分了不同的SSID供不同的用戶群使用，如外部用戶使用SSID-Guest，內部用戶使用SSID-NanJing University。出于信息安全的需求，往往需要保證來訪的訪客不能訪問高校內的資源。此外，校內的教職工和學生之間，或不同專業的學生之間，也會根據需求授予不同的訪問權限。這些可以通過用戶組的方式來實現[2]。

6.1 用戶訪問授權設置

用戶訪問授權可以在本地網絡設備授權，也可以通過AAA服務器進行遠端授權。小型園區或者SOHO的網絡架夠適合本地授權，而大學這種較大規模的網絡，屬于園區網絡，并不適合本地授權。遠端授權的方式更適合于高校使用，即通過AAA服務器完成。

當無線用戶認證成功之后，Radius服務器下發用戶分組報文，對用戶采取身份分類，所有用戶分組都能關聯到相應的ACL訪問控制規則。通過ACL規則和用戶分組的關聯，對每類用戶進行ACL授權信息控制，即同類用戶獲得相同的授權信息。Radius服務可以利用現網的AAA，也可以新建。

6.2 用戶隔離

使用集中轉發的方式更適合高校的訪問系統，對訪客用戶的控制會起到更好的作用。當外部訪客用戶和內部用戶都采用集中轉發時，外部訪客用戶使用的SSID-Guest與內部用戶使用的SSID-NanJing University之間是天然隔離的。當外部訪客用戶使用集中轉發，內部用戶都采用本地轉發時，外部訪客用戶使用的SSID-Guest與內部用戶使用的SSID-NanJing University之間也是天然隔離的。

7 結束語

勒索病毒大肆爆發，影響了全球多個各家及城市，國內高校也受到不少的沖擊。從國家到地方高校，提高網絡安全的意識在逐漸增強。無線校園網作為校園網絡的主要載體，不僅要從網絡技術手段去防護控制，也要從自身提高安全意識的角度出發，這樣才能保障校園網絡的通暢。

[1]蘭其斌.校園網中無線局域網的安全策略探討[J].福建電腦，2010，26（7）：9.

[2]陳小勇.無線局域網技術在校園網中的應用及安全策略研究[J].科技信息，2010（5X）：91-92.

Research on Wireless Network Security Strategy in Colleges and Universities

LYU Haitao

Harbin Institute of Finance, Heilongjiang Harbin 150030

With the use of notebook computers, ipad, mobile Internet and other wireless terminals are relatively popular, wireless network because of its transmission medium open line, the use of wireless transmission is facing more and more security issues will be particularly prominent.This paper analyzes the use of wireless network and the existing network security problems, introduces several commonly used methods of wireless network security technology, and puts forward some measures to prevent security.

wireless network; network security; authentication

TN915.08

A