校園無線網絡的安全威脅與應對策略

徐志良

摘? 要：隨著網絡技術的不斷發展，人們的生活學習對其需求也越來越大。在校園中無線局域網的需求也越來越多，它為師生的教學工作提供了極大的便利，同時帶來了非常多的安全隱患。文章對當前校園無線網常見的安全問題進行分析，提出解決方案。

關鍵詞：無線校園網;安全威脅;加密認證

Abstract： With the continuous development of network technology， there is an increasing demand for it in people's life and study. The demand of wireless local area network （WLAN） on campus is more and more， provides great convenience for teachers' teaching work and students' study， thereby brings a lot of security risks at the same time. This paper analyzes the common security problems of wireless campus network and puts forward solutions.

1 校園無線網的應用需求

隨著智能手機、平板電腦和筆記本電腦等移動電子產品的普及;以及像云班課、騰訊課堂、“MOOC課堂”等線上教學形式的出現，校園無線網絡已經成為廣大師生利用網絡進行通信和教學的主要途徑。正因為無線網絡移動便捷、組建方便、可擴展性強等優勢使得在校園里無線網絡逐步替代了有線網絡的存在。校園內如何為廣大師生在教學區域、學生宿舍區和辦公會議場所提供穩定、可靠、安全的無線網絡，以及在不同場所和不同人群提供網絡服務的設置，正是構建無線校園網的應用需求。

2 校園無線網絡安全問題

無線局域網（WLAN）相對有線網絡來說無需復雜的布線安裝更簡單，移動性強易于進行網絡規劃，利用電磁波發送接收數據成本低以及易于擴展。但是，由于無線網絡是使用無線信道傳播，其信道是開放的，因而用戶數據面臨著被竊聽和篡改的威脅，以及攻擊者更容易進行各種服務攻擊的安全問題。

2.1 非法竊聽

竊聽，這是無線網絡和傳統網絡都會遭遇的攻擊方式，但是對無線網絡來說更為嚴重。這是由無線網絡的開放性特點決定的。在無線網絡環境中，任何用戶都可能通過帶有無線網絡信號接入設備的移動終端連接網絡而進行非法竊聽。在校園無線網中，攻擊者會通過WLAN發現工具軟件（如inSSIDer），搜索附近開放的WLAN信號;發送空探尋請求幀，以期收到包含WLAN的信息：SSID、信息、加密方式。如果數據包在校園無線射頻覆蓋的區域內未進行加密，或者使用了弱口令加密，攻擊者可使用監聽模式竊取WLAN的數據包，造成數據信息的泄露等安全威脅，而使用者并無法察覺是否有人正在進行非法竊聽。因此竊聽成為在無線網極為常見的非法行為。

2.2 WEP的缺陷

由于無線局域網極易被非法用戶竊聽和侵入，因此需要對無線網絡中傳輸的數據進行加密。早期普遍使用WEP技術，期望能夠與有線網絡有著同級的安全性，但由于其存在根本性的加密缺陷并不能達到這樣的期望。因為WEP通過使用RC4序列密碼算法加密，其中密鑰是由IV（初始向量）和共享密鑰組成，而起決定作用的IV會被重復使用，使其算法存在缺陷。而IV向量空間較小，只有24位，如果攻擊者截獲多個加密包進行統計攻擊就可恢復明文。所以一個黑客用破解工具就可以收集分析發送的數據，很容易就能從中提取密鑰進行破解。當前有許多免費工具都可以輕松地探測WLAN流量并分析得到WEP密鑰。

2.3 非法接入點

非法接入點（Rogue設備）指的是未經許可而被安裝的接入點。一般情況下，有可能是校內的師生對于安全意識不夠，常常會在工作場所內自行安裝無線接入的AP，而這些自行安裝的AP幾乎都是開放的，每一個非法的AP接入點都將成為一個安全漏洞，使得攻擊者會輕易獲取到SSID，并成功與接入點進行鏈接，對單位的信息安全帶來極大威脅，甚至可能還會對無線網絡服務通過發送大量的數據包，進行拒絕服務的攻擊，造成通信設備和服務器癱瘓。

3 校園無線網絡安全策略

3.1 服務集標識符（SSID）匹配

SSID通俗地說就是無線網絡的名稱。接入無線網，首先是尋找想要連接的網絡所對應的SSID無線接入端要與無線接入點（AP）的SSID相同，才能與AP進行連接。SSID可以說是無線局域網的第一道防線。在一個AP中可以創建多個SSID，每一個SSID相當于一個無線的子網絡，并可以獨立設置身份驗證，只有通過身份驗證才能進入對應的子網絡。為了避免無線網絡容易被別人搜索到，可以設置禁止SSID廣播。校園中個別部門數據有隱私需求，假如與其他類型用戶共用同一網絡，數據很容易會被竊取。因此要為不同的用戶類型劃分多個不同的子網設置不同SSID，并且對各個SSID設置不同的加密密鑰;同時將重要的部門的SSID中進行隱蔽（禁止廣播SSID）。例如將教師、學生、臨時用戶、特別行政部門分配不同SSID，設置相應不同的密鑰，并將特殊行政部門的SSID禁止廣播。這樣一般的無線終端用戶在SSID不可見的情況下難以搜索進行連接，另外用戶分別連入不同的無線子網，實現了不同SSID用戶之間的二層隔離，從而提高安全性。

3.2 使用WPA加密認證

WPA是一種在802.11i完備之前替代WEP的過渡方案，包含有WPA和WPA2兩個標準。WPA是繼承了WEP基本原理又特別針對WEP的幾個缺點進行了優化和缺陷彌補來提供加密和認證。WPA認證的密鑰只用于身份認證過程，傳輸數據加密則采用用戶認證后的動態密鑰，使得各用戶的密鑰不相同而提高安全性，而且在不需要修改原來無線設備的硬件也能兼容之前的無線設備。WPA2是基于WPA升級版本，安全標準充分考慮了企業網絡的安全防護需要，采用AES的加密技術可以滿足更高的安全需求，目前大多數WiFi產品都支持WPA2安全認證技術，而且在一個SSID內可以同時配置WPA和WPA2，因此在設置二層安全上，可以通過WPA的兩個標準方法進行加密認證。

3.3 無線AC結合WEB認證方式

在傳統的WLAN結構中采用的是FAT-AP模式，FAT-AP配置簡單，有獨立的系統，能獨立自主完成無線接入和安全加密等多項任務，但由于不能集中配置與管理，因而在受到攻擊與干擾時難以發現。FIT-AP必須借助無線網絡控制器（AC）進行統一的管理和配置。采用FIP-AP模式，除了簡化AP的配置和管理功能，還可以將密集型的無線網絡和安全處理功能轉移到無線控制器中統一實現。例如實現AP的設備功率的調整，控制信號的覆蓋范圍，盡量減少信號泄露出所需覆蓋范圍之外，以防止覆蓋范圍外的接入。同時可設置多個WLAN與VLAN關聯，提供多個SSID接入服務，針對每個SSID配置單獨的認證方式、加密機制，部署不同的服務來實現通信安全。

校園網主要功能是為本校師生提供校園網內的資源。單純依靠WPA的加密認證方式是不足的，倘若加密密鑰被告知而泄露，非法用戶便可隨意加入校園無線網內，占用內部帶寬資源，甚至帶來安全隱患。因此在認證設計上，可采取FITAP+無線控制器（AC），結合Web認證服務來實現。Web認證是一種采用一般瀏覽器就能進行控制用戶訪問網絡權限的身份認證方法。當用戶未進行認證時，只可使用Protal服務器上提供的有限服務。未認證用戶若要訪問服務器以外的網絡資源時，只需打開瀏覽器進行上網，這時瀏覽器會被接入設備強制訪問指定的Protal服務器網頁，然后輸入賬號和密碼以進行身份認證，一旦認證通過就可以使用其他網絡資源。

類似我校有VERP校園內部辦公網，在校師生均有各自登錄系統的賬號和密碼。可利用辦公網中賬號和密碼作為Protal認證服務的驗證數據，只要師生在登錄驗證網頁中，輸入自己正確的系統內賬號和密碼便可實現認證登錄訪問網絡資源。由于每位師生都有唯一的賬號和密碼，并且賬號與師生有一一對應的關系，這樣可以避免師生將自己的賬號和密碼泄露出去，同時又增加了網絡安全性。

3.4 部署無線入侵檢測系統

部署無線網絡會在整個校園區中安裝了大量的AP。在校園內的設備中，既有可能是獲得授權的AP，也可能存在安全漏洞或被攻擊者操縱的非法設備（Rogue設備）。非法接入設備對于校園網的威脅很大。入侵者可能會通過Rouge設備入侵網絡及發起各種惡意“拒絕服務”攻擊，因而無線校園網中要部署無線入侵檢測系統。WIDS可以在不影響網絡性能的情況下對無線網絡進行監測，提前檢測網絡中的入侵行為和用戶攻擊，保護網絡和用戶不被無線網絡上未經授權的設備訪問，從而提供對各種攻擊實時防范。WIDS對處于監聽模式的AP作為檢測設備進行集中式部署配置，通過捕捉無線報文并發送探查請求消息，監聽AP便可通過附近設備返回的這些探查響應幀分辨設備類型。目前大多數無線控制器都具備無線入侵檢測功能，能檢測阻止類似泛洪攻擊，欺騙攻擊等。

例如，以某技師學院無線校園網為例，以銳捷無線控制器WS5708進行集中式控制管理，同時設置了WIDS進行實時監視非法設備配置，對檢測到的Rogue設備進行反制和拒絕泛洪攻擊。當WIDS檢測到Flooding攻擊時，則將發起攻擊的設備添加到動態黑名單列表中進行攔截以保障網絡安全。

3.5 完善管理制度

若要保障無線局域網的安全，網絡運維人員須要運用專業技術進行管理，并定期檢測無線網絡設備的運行狀況，檢查相關的網絡日志，發現問題及時處理;同時學校要出臺相關管理制度，加強校園網絡使用宣傳，培養教師和學生的安全用網意識。

4 結束語

目前在眾多校園無線網中，都普遍存在安全性的問題。基本以非法接入攻擊和非法接入設備的威脅為主。加密認證技術的設置不合理，以及管理不足是問題的關鍵。在無線校園網的安全方面，無線加密技術與認證是極為重要的，在無線校園網中采用Portal強制認證還是比較可靠的。網絡是沒有絕對安全的，若要盡量保證無線校園網安全，關鍵要建立有效的管理制度，加強師生的安全用網意識，了解網絡安全最新動態和技術的更新，不斷調整和完善防范措施。

參考文獻：

[1]唐繼勇，童均.無線網絡組建項目教程（第二版）[M].中國水利水電出版社，2014.

[2]徐振華.無線網絡安全現狀及對策研究[M].知識產權出版社，2016.

[3]汪雙頂，黃君羨，梁廣民.無線局域網技術與實踐[M].高等教育出版社，2018.

[4]高曉紅.無線校園網絡安全問題及其解決策略[J].辦公自動化，2015（20）：42-44.

[5]高竹.高校無線校園網絡安全管理方案[J].學周刊，2014（33）：23.