校園無線網(wǎng)絡的安全現(xiàn)狀及防護策略探究

2018-03-06 07:57:26陸紫光

網(wǎng)絡安全技術與應用 2018年7期

◆陸紫光

◆陸紫光

（廣西大學計算機與電子信息學院廣西 530004）

進入二十一世紀，信息化是這個時代基本特征，隨著各大高校信息化建設的不斷推進，無線網(wǎng)已經(jīng)成為了校園網(wǎng)解決方案中一個關鍵組成部分，但是校園網(wǎng)一旦受到一定的破壞，學校的機密信息也就可能會泄漏出去，這將直接造成學校的經(jīng)濟損失并給學生的人身安全帶來影響。本文對當前校園無線網(wǎng)所面臨的安全威脅進行了分析，并給出了幾種適用于校園無線網(wǎng)的安全解決方案。

校園網(wǎng)；無線網(wǎng)絡安全；數(shù)據(jù)加密

0 引言

得益于網(wǎng)絡通信技術的不斷進步，無論是在工作、學習還是生活中，任何一處都少不了網(wǎng)絡的身影，我們對網(wǎng)絡接入點形式多樣化的要求也越來越高[1]。無線校園網(wǎng)的出現(xiàn)，使學生和老師的效率得到了大幅提升，但無線校園網(wǎng)在給學校的教學工作帶來諸多便捷的同時也存在諸多安全隱患[2]。為了保證校園工作的有序進行，校園無線網(wǎng)絡的安全和穩(wěn)定就有著十分重要的意義[3]。除了易用性和可擴展性之外，無線校園網(wǎng)的安全性也是我們在部署這類系統(tǒng)時所需要綜合考慮的問題。強化校園無線網(wǎng)絡安全管理[4]，這也是整個安全社區(qū)普遍關注的話題。

1 校園無線網(wǎng)絡安全概況

雖然目前無線網(wǎng)絡技術的成熟度能夠滿足現(xiàn)實生活中校園網(wǎng)絡環(huán)境下的特殊要求，但是無線網(wǎng)絡的無縫覆蓋、易擴展性和靈活性也無法掩蓋不安全因素的存在[5]。校園無線網(wǎng)已經(jīng)不是一件新鮮的事情了，但是卻很少有人真正了解如何在無線網(wǎng)絡環(huán)境下保護自己的個人信息安全[6]。目前無線網(wǎng)絡身份驗證中最基本的三種安全認證機制有如下三種：

（1）基于MAC地址的認證：基于MAC地址的認證既不需要用戶安裝任何客戶端軟件，也不需要手動輸入訪問密碼。每一個無線AP都可以根據(jù)MAC地址列表來限制用戶訪問該網(wǎng)絡。如果目標用戶設備的MAC地址存在于這個MAC地址列表中，則該用戶就允許訪問該網(wǎng)絡。

（2）基于共享密鑰的認證：基于共享密鑰的身份認證要求訪問用戶進行身份驗證，用戶需要輸入正確的共享密鑰（密碼）才可使用網(wǎng)絡資源。

（3）IEEE802.1x認證：802．1x協(xié)議需要根據(jù)用戶ID或設備信息來對網(wǎng)絡客戶端(或端口)進行鑒權，這種雙層協(xié)議需要通過802.1x客戶端軟件來發(fā)起請求，并發(fā)起DHCP請求得到訪問IP以獲取對目標無線網(wǎng)絡的訪問權限。

雖然上述這三種是無線網(wǎng)絡接入點最常用的身份認證機制，但是現(xiàn)在很多校園無線網(wǎng)絡都沒有實現(xiàn)這些最基本的安全認證措施。

2 常見安全風險分析

2.1 常見入侵方式

（1）非法連接

非法連接指的是攻擊者使用未經(jīng)授權的有線設備物理接入到交換機、路由器及無線AP端口上，或使用物理設備在沒有經(jīng)過身份驗證的情況下進入目標網(wǎng)絡。由于攻擊者直接將非法設備連接到了現(xiàn)有的網(wǎng)絡節(jié)點或終端上，他們將能夠在不需要破解任何密鑰的情況下進入校園網(wǎng)絡系統(tǒng)之中。

（2）非法入侵

非法入侵不需要進行設備的物理連接，攻擊者只需要在校園無線網(wǎng)絡信號足夠強的地方使用帶有高功率天線的設備來重復探測無線網(wǎng)絡接入點的信號和信道，然后使用WiFi破解工具即可破解那些利用WEP和WPA加密的無線接入點的訪問密碼。

2.2 常見攻擊技術

（1）用戶非法訪問

由于任何人都可以在目標無線網(wǎng)絡的覆蓋范圍內(nèi)搜索到WiFi信號，這種特性與有線網(wǎng)絡的管理和控制有著很大的區(qū)別。有線網(wǎng)絡只需要控制網(wǎng)絡端口的使用便能夠控制整個網(wǎng)絡的訪問情況，但無線網(wǎng)絡如果沒有設置登錄驗證機制，就無法抵御攻擊者的非法訪問了。

（2）WEP加密協(xié)議破解

WEP加密協(xié)議只是一種最基礎的安全保密協(xié)議，但是低級的安全加密協(xié)議已經(jīng)無法完全保證用戶的數(shù)據(jù)安全了，而現(xiàn)在安全社區(qū)也已經(jīng)設計出了100%破解WEP加密的方法。根據(jù)研究表明，攻擊者可以在短短的五分鐘之內(nèi)成功破解長度為10位的WEP密碼。

（3）網(wǎng)絡偵聽

校園無線網(wǎng)絡中的數(shù)據(jù)傳輸主要依靠無線網(wǎng)通信信道來實現(xiàn)信息的接收和發(fā)送，所以攻擊者將能夠在校園無線網(wǎng)絡所覆蓋的任何一個區(qū)域使用帶有高增益天線的網(wǎng)絡監(jiān)聽設備來對目標網(wǎng)絡中傳輸?shù)臄?shù)據(jù)進行偵聽。在對捕獲到的數(shù)據(jù)包進行深度分析之后，攻擊者便可以獲取到無線網(wǎng)絡數(shù)據(jù)包中的敏感信息。

（4）網(wǎng)絡欺騙攻擊

網(wǎng)絡欺騙攻擊主要有地址協(xié)議ARP攻擊和MAC地址欺騙。地址協(xié)議ARP攻擊指的是攻擊者通過偽造IP地址和MAC地址的方式實現(xiàn)ARP欺騙，然后在目標網(wǎng)絡中生成大量ARP數(shù)據(jù)并導致目標網(wǎng)絡發(fā)生擁塞或實現(xiàn)中間人攻擊。而MAC地址欺騙指的是攻擊者在入侵了目標無線網(wǎng)絡之后竊取到了網(wǎng)絡內(nèi)合法設備的MAC地址，然后利用這個竊取來的MAC地址來偽裝成合法用戶并使用校園無線網(wǎng)絡的資源。

3 校園無線網(wǎng)絡安全防御技術

3.1 用戶訪問權限控制

用戶訪問控制的核心思想就是通過安全策略和安全規(guī)則來防止非法用戶訪問目標網(wǎng)絡，以防止校園無線網(wǎng)絡被非法連接或非法入侵。通過將MAC地址與IP地址綁定：將無線網(wǎng)絡用戶的IP地址與該用戶的無線網(wǎng)卡MAC地址進行綁定，此時即使攻擊者能夠進入目標無線網(wǎng)絡，他們也無法訪問網(wǎng)絡中的資源。

3.2 無線加密技術

在數(shù)據(jù)傳輸?shù)倪^程中需要防止攻擊者通過中間人攻擊和網(wǎng)絡嗅探等手段竊取信息，而對傳輸數(shù)據(jù)實施有效的加密處理，可以提高數(shù)據(jù)的傳輸安全性。目前校園無線網(wǎng)絡環(huán)境下比較常用的加密機制有WPA2-PSK、TKIP和CCMP，管理員也可以采用3DES算法或者通過VPN來保障校園無線網(wǎng)絡的安全。

3.3 安全路由技術及硬件防火墻

采用了專門的芯片和加密方法的安全路由器設備可以有效地保障網(wǎng)絡數(shù)據(jù)傳輸?shù)耐暾浴３税踩酚芍猓布阑饓夹g同樣是一種保護校園無線網(wǎng)絡安全的有效措施。在校園無線網(wǎng)的網(wǎng)絡邊際部署硬件防火墻來隔離和劃分內(nèi)外網(wǎng)，而且還可以根據(jù)需求來設置無線網(wǎng)絡的訪問策略，并根據(jù)預先設定的網(wǎng)絡安全過濾規(guī)則來對數(shù)據(jù)進行過濾和清洗。

3.4 身份認證技術

基于無線網(wǎng)絡的身份驗證機制可以有效地防止未經(jīng)授權的用戶訪問，目前校園無線網(wǎng)絡環(huán)境下的身份驗證機制主要有IEEE802.1x以及Portal認證這兩種方式，IEEE802.1x的特點就是對網(wǎng)絡設備的整體性能要求不高，組網(wǎng)的成本也相對較低，但是在需要接入網(wǎng)絡的終端上必須安裝有客戶端認證軟件。Portal認證則需要涉及到服務器端的認證，雖然Portal認證不需要用戶安裝客戶端軟件，但是對于服務器的性能要求比較高，而且組網(wǎng)成本也相對較高。

4 結語

將無線網(wǎng)絡通信技術應用到校園網(wǎng)中，不僅提升了校園工作的效率，而且從一定程度上也提升了我國無線網(wǎng)絡通信技術的水平。但是從現(xiàn)狀來看，無線網(wǎng)絡依舊存在很多問題，尤其是安全防御部分。校園無線網(wǎng)絡要實現(xiàn)其性能的正常發(fā)揮，就需要我們對其安全性的實現(xiàn)付諸努力。

[1]林奕水，鄔燕萍等.基于網(wǎng)絡環(huán)境下校園網(wǎng)絡安全問題的分析與對策探討[J].網(wǎng)絡安全技術與應用，2014.

[2]程紅.如何遏制非法入侵校園無線網(wǎng)[J].電腦編程技巧與維護，2016.

[3]楊志強.無線校園網(wǎng)安全分析與防御[J].科技展望，2016.

[4]邵全義，趙書田.構建智慧校園WiFi無線網(wǎng)絡的安全方案[J].無線互聯(lián)科技，2017.

[5]DavidKotzKobbyEssien,etal.AnalysisofaCampus-wideWirelessNetwork[J].WirelessNetworks，2015.

[6]崔小冬.基于WiFi的無線校園網(wǎng)建設研究[D].江蘇:南京理工大學，2010.