無線校園網面臨的安全問題及防范技術

鄭文光

摘要：無線網絡作為有線網絡的擴充，方便了用戶隨時隨地的無線網絡接入，得到了學校的青睞，在校園網中得到了廣泛的應用。但是，隨之而來的校園無線網絡安全問題也開始受到了人們越來越多的關注。該文主要從校園無線網絡面臨的安全問題入手，討論對應的防范措施，希望能給大家一些啟發。

關鍵詞：無線校園網;網絡安全;安全防范

中圖分類號：TN925.93 文獻標識碼：A

文章編號：1009-3044（2020）11-0026-02

1概述

無線網絡作為有線網絡的擴充，具有安裝便捷、使用靈活、經濟節約、易于擴展等有線網絡無法比擬的優點，可以突破有線網絡節點限制，大大地增加了校園網絡信息點，方便在校師生獲取信息，進一步提升學校的信息化水平。

無線校園網，就是通過無線局域網（Wireless Local Area Network，簡稱WLAN）技術，在校園中建立的無線通信網絡，使校園的每個角落都處在網絡中，形成真正意義上的校園網。無線網絡采用共享介質一無線電波作傳輸介質，因而無線網絡相比有線網絡而言，面臨更多的安全風險和隱患。

2無線校園網面臨的安全問題

2.1邊界安全威脅

802.11網絡很容易受到各種網絡威脅的影響，如未經授權的AP用戶、中間人攻擊、Ad-hoc網絡、拒絕服務型攻擊等。非法攻擊者可以采用暴力PSK密碼破解、泛洪攻擊、Spoof攻擊、WeakⅣ攻擊、ARP攻擊等多種攻擊手段攻擊校園無線網絡。同時非法設備對于無線網絡也是一個嚴重的安全威脅，比如非法AP帶來的信號干擾問題，無線信號傳輸時很容易受到同頻或鄰頻干擾，從而影響數據的正常傳輸。釣魚AP的接入很容易竊取到合法用戶的數據，使得用戶的資料暴露在攻擊者面前。

2.2接入安全威脅

WLAN終端通過無線接入AP，如果不對用戶接入作控制和授權管理，可能會造成非法的用戶接入校園網絡，同時，如果通過無線傳輸的信息未加密或加密算法不安全，這樣的數據就很容易被破解，從而造成信息泄露，給個人或學校造成損失。

2.3業務安全威脅

非法用戶在無線校園網覆蓋的任何位置，都可以輕松的截獲用戶的數據，一旦用戶數據被捕獲，就可能會被竊取或篡改。

3無線網絡安全問題的針對性防范措施

沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化。安全是發展的保障，網絡信息安全的重要性不言而喻。網絡信息安全的木桶原則指出我們需要對信息均衡、全面地進行保護。針對上述WLAN面臨的安全問題，可以采用以下的防范技術。

3.1邊界防御安全

為了提高邊界防御安全，在AC上配置無線入侵檢測系統WIDS和無線干擾防御系統WIPS。無線入侵檢測系統WIDS（Wireless Intrusion Detection System）可以檢測非法的用戶或AP;無線干擾防御系統WIPS（Wireless Intrusion Prevention System）可以保護企業網絡和用戶不被無線網絡上未經授權的設備訪問。當AP工作在監控模式或在正常模式下射頻開啟了空口掃描相關功能，該AP就可以掃描信道，監測周邊設備信息并上報給AC進行設備的合法性判斷，一旦判定為非法AP、非法STA、非法網橋、非法Ad-hoc和干擾RU。就可以對非法設備進行反制，以阻止非法設備的接人。AP以對應的非法身份發送單播解除認證Deauthentication幀阻止STA與非法AP、Ad-hoc的連接，阻止非法STA與AP的連接。

對于中小型WLAN網絡，為了及時發現WLAN網絡中受到的攻擊，可以啟動非法攻擊檢測功能，對泛洪攻擊、弱向量和欺騙攻擊等進行檢測，及時發現網絡的不安全因素，通過配置WIDS動態黑名單，可以自動將攻擊設備加入動態黑名單，設備會丟棄攻擊設備發送的所有報文，從而保障網絡的安全。通過配置STA地址嚴格DHCP獲取功能、動態ARP檢測功能、AP的IPSC功能、泛洪攻擊檢測功能以及去使能用戶側AP的DHCP信任功能，提高VAP的安全性，從而提升WLAN網絡安全。

3.2用戶接入安全

用戶接入無線網絡的合法性和安全性，包括：鏈路認證，用戶接入認證和數據加密。為了提高網絡使用的安全性，用戶在使用校園網絡時要求身份驗證。通過有線和無線認證統一，校園網用戶使用相同的賬號登錄有線網絡和無線網絡，為了防止未經授權的訪問，可采用PORTAL認證方式。Portal認證通常也稱為Web認證，一般將Portal認證網站稱為門戶網站。用戶上網時，必須在門戶網站進行認證，只有認證通過后才可以使用網絡資源。PORTAL支持多協議、多渠道訪問，安全性高，同時不需要特定客戶端軟件，在配置設備時，為方便師生使用無線網絡，可以開啟無感知認證，實現“一次認證，多次登錄”。

為了防止用戶數據被破解，采用安全可靠的WPA2加密方式保護用戶的數據安全。WPA是繼承了WEP基本原理而又解決了WEP缺點的一種新技術。由于加強了生成加密密鑰的算法，因此即便收集到分組信息并對其進行解析，也幾乎無法計算出通用密鑰。WPA還追加了防止數據中途被篡改的功能和認證功能。

3.3業務安全

為了提高數據在傳輸過程中的安全性，避免合法用戶的業務數據在傳輸過程中被非法捕獲，為教職員工、學生和訪客提供不同的SSID，用戶根據自己的賬號連接對應的無線網絡。在這過程中，對用戶進行隔離，利用VLAN技術限制用戶訪問的資源，通過這種方法可以很好地限制用戶根據授權訪問。

虛擬局域網（VLAN）是一組邏輯上的設備和用戶，這些設備和用戶并不受物理位置的限制，可以根據功能、部門及應用等因素將它們組織起來。VLAN（虛擬局域網）技術在不改變物理架構的前提下，可以基于端口劃分、IP地址劃分、MAC地址劃分、網絡協議劃分和按策略劃分虛擬局域網或業務數據，達到二層隔離三層互通或二三層都隔離。通過用戶隔離和安全策略應用，可以很好地限制用戶的訪問。

4結束語

無線局域網得到越來越廣泛的使用。但是由于無線局域網信道開放的特點，使得攻擊者能夠很容易的進行竊聽和數據篡改。面臨的主要威脅有邊界安全威脅、接入安全威脅和業務安全威脅。在制定嚴格的安全制度和保證物理安全的基礎上，通過綜合運用無線入侵檢測系統WIDS和無線干擾防御系統WIPS，實施可靠的安全策略和用戶隔離可以很好地提高無線校園網的安全性。