無線網絡安全分析與防護在智慧校園中的應用

朱建幫 何軍

摘 要 隨著信息技術的不斷發展 傳統校園網絡和無線網絡發展迅猛 為智慧校園無線網絡的建設提供了可能 對無線網絡特殊的部署方式和傳輸方式所存在的安全隱患進行分析 指出無線網絡可能面臨的威脅 并列舉黑客常用的攻擊手段 從技術層面和管理層面提出相應的防護措施 以確保校園擁有安全可靠的無線網絡環境 無線移動業務的建設變得更加便捷 使得無線網絡成為智慧校園建設中不可或缺的一部分 隨著無線網絡的發展 安全性問題不可避免地成了智慧校園建設中備受關注的重點之一 智慧校園的無線網絡安全高度依賴管理者的技術水平 通過提高技術水平可以建立穩定的校園網絡環境

關鍵詞 無線安全 安全 智慧校園

中圖法分類號tn915?? ?文獻標識碼a

１ 引言

無線網絡所面臨的安全威脅主要分為２ 個部分，其中一種是主動攻擊，指未經授權的實體接入網絡，并修改信息、數據或文件內容的攻擊方式，主動攻擊的類型包括偽裝攻擊、重放攻擊、篡改消息和拒絕服務攻擊等［１］ 。另一種是被動攻擊，指未經授權的實體僅訪問網絡而不修改其中內容的攻擊方式，被動攻擊可能是簡單的竊聽或流量分析。其中，竊聽是指攻擊者監視消息傳送并獲取其內容，而流量分析是指攻擊者通過監視消息的傳輸來分析通信方式，從而獲得大量有價值的信息以便進一步對網絡實施攻擊。

２ 智慧校園建設中無線網絡存在的安全隱患

２．１ 非法ＡＰ

由于無線網絡的使用便利性，使智慧校園變得更加靈活，但也給網絡管理員和安全人員帶來了一定的工作難度。因為，任何人都可以通過自己購買的接入點（ＡＰ），無需授權即可連接到網絡，許多部門也未經學校信息中心授權自行建立了無線局域網，這些部門的安全防護意識不強，從而給黑客提供了可乘之機。黑客可以利用非法ＡＰ 接入網絡，從而帶來重大安全隱患。攻擊者可以在目標主機和合法ＡＰ 之間建立偽造的非法ＡＰ，并通過偽造數據包、惡意攔截流量以及修改內網用戶的數據包內容，來獲取內部用戶的敏感信息。偽造非法ＡＰ 攻擊如圖１ 所示。

２．２ 數據信息的非法截取

無線網絡傳輸數據利用無線電波輻射完成，相較于傳統有線網絡，其連接更為便捷。但由于無線網絡暴露在外，為了讓用戶發現網絡的存在，必須向客戶端發送帶有特定參數的信標幀，這也給攻擊者提供了入侵所需的網絡信息。與有線網絡相比，攻擊者可以在無線網絡接收范圍內的任何地方進行攻擊，而不需要進行物理接入，如在校園外的馬路上或對面的高樓中。攻擊者可以監聽網絡數據，然后對截獲的數據包進行分析和整理，以獲取有利信息。盡管現在網絡安全意識已經加強，許多用戶的敏感信息都進行了加密處理，但黑客往往會通過暴力破解捕獲的數據來獲取有用信息。截取無線信息攻擊如圖２ 所示。

２．２ 數據信息的非法截取

無線網絡傳輸數據利用無線電波輻射完成，相較于傳統有線網絡，其連接更為便捷。但由于無線網絡暴露在外，為了讓用戶發現網絡的存在，必須向客戶端發送帶有特定參數的信標幀，這也給攻擊者提供了入侵所需的網絡信息。與有線網絡相比，攻擊者可以在無線網絡接收范圍內的任何地方進行攻擊，而不需要進行物理接入，如在校園外的馬路上或對面的高樓中。攻擊者可以監聽網絡數據，然后對截獲的數據包進行分析和整理，以獲取有利信息。盡管現在網絡安全意識已經加強，許多用戶的敏感信息都進行了加密處理，但黑客往往會通過暴力破解捕獲的數據來獲取有用信息。截取無線信息攻擊如圖２ 所示。

２．４ 拒絕服務攻擊（ＤＯＳ）

由于無線網絡傳輸的特性和獨有的擴頻技術，使其容易受到黑客攻擊的威脅，其中拒絕服務攻擊（Ｄｅｎｉａｌ ｏｆ Ｓｅｒｖｉｃｅ）最為常見。攻擊者通過發送大量的垃圾數據包來惡意占用主機或網絡資源，以致合法用戶無法正常使用網絡資源。攻擊成功的常用方法包括利用大量偽造的接入點，在相同的頻率下發送垃圾數據包，從而造成無線網絡內出現沖突，或發送大量非法或合法身份驗證請求。拒絕服務攻擊如圖４所示。

３ 科學應對智慧校園建設中無線網絡威脅

３．１ 建立科學的無線網絡認證機制

為了提高智慧校園網絡的安全性和可控性，需要對校內師生和訪客接入無線網絡進行嚴格的準入控制策略，以實現對無線網絡安全的精細化管理。智慧校園可以獨立部署一體化的身份認證平臺，通過內置無線認證服務器和雙因素令牌認證服務器，與行為管理設備對接，可以確保訪客和師生安全連接無線網絡，并通過實現上網行為實名審計來實現可追溯性。例如，通過“８０２．１ｘ＋ＡＤ＋手機令牌動態密碼認證”方式進行認證，通過８０２．１ｘ 協議保證隧道層加密，防止數據被竊聽。同時，通過手機令牌動態密碼方式保障賬號安全［２］ 。

校內師生默認通過“８０２．１ｘ＋ＡＤ”進行認證，若認證不成功則轉三層Ｐｏｒｔａｌ，通過“ＡＤ＋雙因子”進行認證，認證成功綁定ＭＡＣ，成功接入ＷＬＡＮ 網絡，下次認證默認通過“８０２．１ｘ＋ＡＤ”方式；認證成功后再次連接無線網絡時無需輸入ＡＤ 賬號密碼（通過ＭＡＣ 無感知認證）。

訪客可以通過Ｐｏｒｔａｌ 頁面選擇掃描認證二維碼來獲得接入網絡的權限，系統會生成一個認證二維碼，內部教師可以使用移動終端掃描訪客終端Ｗｅｂ 中的二維碼（前提是內部教師的終端已經連接到無線網絡）。掃描后，系統會在接待人員的終端頁面提示輸入授權信息，包括ＡＤ 賬戶和密碼。接待人員輸入正確的授權信息并點擊授權按鈕，若授權信息正確，則訪客終端會提示已被授權并接入網絡。若授權信息不正確或沒有接待人員進行操作，則訪客終端將沒有任何系統響應。此外，系統會提示授權的有效期限，在掃描認證二維碼模式下，不會顯示其他認證登錄方式，只會顯示認證登錄界面。

３．２ ＳＳＩＤ 管理

ＳＳＩＤ 是無線局域網的標識符，類似于無線局域網的命名。通常情況下，無線路由器會廣播ＳＳＩＤ 以便其他人可以搜索并連接上網。若不希望讓別人知道無線網絡的存在，則可以禁用ＳＳＩＤ 廣播功能，這樣無線網絡仍然可以正常使用，但不會在其他人的無線網絡列表中顯示。雖然禁用ＳＳＩＤ 廣播可能會影響首次連接速度，但可以提高網絡的安全性。相較于隱藏ＳＳＩＤ，還可以使用中文命名無線網絡的ＳＳＩＤ，無線嗅探工具無法正確識別中文ＳＳＩＤ，從而無法獲取明文信息，有效地保護了無線網絡的安全性。

３．３ ＭＡＣ 地址雙重認證

針對無線網絡的攻擊，ＭＡＣ 地址過濾是一種常用的防護方法。ＭＡＣ 地址是網絡中每臺設備的唯一標識，需要統計內網中所有用戶終端的ＭＡＣ 地址，連接網絡前在無線節點設備中導入統計終端的ＭＡＣ 地址，只有當用戶的ＭＡＣ 地址和列表中的內容完全一致時，無線節點才允許客戶端進行通信。但是，這種防護方法并不安全，因為現在很多攻擊者可以偽造ＭＡＣ 地址信息，從而使得ＭＡＣ 地址過濾的防護并不可靠。因此，在實際應用中，可以通過雙重認證相互結合的方法來彌補這個漏洞［３］ 。具體而言，可以在計算機上綁定無線路由器或ＡＰ 的接入ＭＡＣ 地址信息，以此來防范ＭＡＣ 地址偽造攻擊。在開啟ＭＡＣ 地址過濾的同時，雙向綁定的方法可以有效地提高網絡的安全性。

３．４ 部署網絡威脅檢測系統

為提升智慧校園的網絡服務質量和整體性能，建議在無線網絡中部署流量感知系統，并與校園內的行為管理ＩＤＳ 和防火墻系統聯動配置，這樣可以實時監控和分析校園內無線訪問的流量，及時確認出現的異常訪問行為，并定位跟蹤異常區域、應用和服務器。通過這種方法，可以提高整個智慧校園應用的性能，并改善網絡服務質量。

３．５ 加強智慧校園管理和團隊建設

在網絡安全領域中有一條常識：８０％的安全威脅來自網絡內部，即使是擁有強大網絡安全設備和設施的網絡，若管理不規范、業務不熟練、內部管理松懈，則它們也會變得一無是處。因此，在構建智慧校園無線網絡安全時，必須先做好校園內部的網絡管理工作，包括提高管理人員的業務水平，培養其敏感的網絡安全嗅覺和網絡安全管理思想，同時制定嚴格的網絡安全管理制度，并落實有效的網絡安全管理程序。此外，管理人員還需接受培訓，加強網絡安全團隊建設，設置網絡安全專員，及時審查網絡中可能存在的安全問題，并及時調整網絡設備安全配置，排除和糾正網絡安全隱患。最后，還需定期對校園內的師生進行網絡安全宣傳培訓，以進一步加強無線網絡防護，增強師生的網絡安全意識。

４ 結束語

隨著信息技術的高速發展，智慧校園建設變得更加豐富化和智能化，其中無線網絡的應用越來越廣泛。然而，由于無線網絡具有特定的安全風險，使得智慧校園的網絡安全問題變得越來越嚴峻。除了面對有線網絡相同的威脅，還需要應對無線網絡特有的安全問題。因此，為了確保智慧校園的無線網絡平穩有序地運行，需要加強內網安全管理，提高相關運維人員的培訓和安全團隊的建設水平。

參考文獻：

［１］ 張彬．智慧校園下的無線網絡安全分析與防護［Ｊ］．網絡安全技術與應用，２０２２（１０）：８２?８３．

［２］ 郭一縝．無線網絡安全與防范技術［Ｊ］．無線通信技術，２０２２，３１（２）：２７?３１．

［３］ 楊正．羊城創業產業園無線網絡安全及技術防范［Ｊ］．無線互聯科技，２０２２，１９（３）：８?１０．

作者簡介：

朱建幫（１９９４—），本科，助理實驗師，研究方向：計算機網絡、虛擬化技術、信息安全。