朱會亮

摘 要 隨著無線網絡在校園當中的廣泛發(fā)展，在給我們帶來便捷的同時也給我們的校園網絡安全防護帶來了全新的挑戰(zhàn)。本文針對校園無線網絡的安全防護問題，從網絡的物理層到應用層全面的分析無線網絡安全防護問題，并根據(jù)相應的問題提出了防護策略，對無線網絡在校園的應用具有一定得借鑒意義。

關鍵詞 無線網絡 防范策略 網絡安全

中圖分類號：TP393.08 文獻標識碼：A

0 引言

隨著互聯(lián)網技術的廣泛普及和應用，各大高校都在著手建設基于數(shù)據(jù)網絡的環(huán)境，但有線網絡在實施過程中工程量大，破壞性強，網中的各節(jié)點移動性不強。為了解決這些問題，部分高校開始在原有的有線網絡基礎上增建無線網絡來解決現(xiàn)有的有線網絡帶來的弊端和不足。但無線網絡在給我們帶來便捷的同時，其無線接入的安全性也面臨嚴峻的考驗。

對于無線校園網絡，由于它特有的使用空中載波信道作為傳輸載體，其物理層與數(shù)據(jù)鏈路層的工作原理和傳統(tǒng)的網絡不同，使用的安全策略也和傳統(tǒng)有線網絡有很大差別。那么作為無線網絡的管理者怎樣從眾人當中分辨出合法用戶，同時又能將非法入侵者隔離出無線網絡之外，這往往成為無線網絡建設管理者維護好網絡的重點。而對于現(xiàn)如今的校園無線網絡，也必須要進行多層次化的安全防護。

1 物理層防護

在無線網絡物理層容易出現(xiàn)無線信號廣播問題，即無線信號的廣播使得非法或惡意用戶更加容易接入網絡；無線覆蓋漏洞：無線信號有可能會由于某個AP出現(xiàn)問題而引起無線覆蓋空白區(qū)。無線信號干擾：在無線環(huán)境中在某些情況下會出現(xiàn)信號干擾問題，比如為了要求高容量臨時增加了AP的數(shù)量，其他非無線設備的同頻或雜散干擾。資源侵占：非認證用戶通過接入AP互傳數(shù)據(jù)惡意侵占無線資源，造成合法用戶無法得到合理的無線資源保證。

對于以上問題的防護，可采取通過信號的指向性部署，如在室內部署采用輕量級AP時，在面板側配置板狀定向天線系列實施角度覆蓋，可以減少由于其全向覆蓋造成的信號泄漏。禁用廣播SSID將導致非法或惡意用戶無法獲取帶有SSID的信標，這將保護那些隱藏在SSID后的用戶群組。無線控制器通過獲取該AP周邊其他AP反饋的無線環(huán)境狀況發(fā)現(xiàn)問題，并通知周邊AP擴大覆蓋范圍來彌補信號漏洞。無線控制器可以通過AP及時發(fā)現(xiàn)這些干擾的存在并對其周邊AP進行參數(shù)調整（功率、頻點），以避免干擾。

2 數(shù)據(jù)鏈路層安全

鏈路層當中常見的潛在問題往往是管理幀參數(shù)沒有加密，在802.11標準中由于管理幀參數(shù)不加密或缺乏驗證機制很容易造成中間人攻擊的行為發(fā)生，一個入侵者通過篡改管理幀來達到用戶流量的分析及篡改。此外，室內瘦AP點與無線控制器之間需要通過二層或三層網絡，所以無線控制器與AP的控制消息之間如果沒有數(shù)據(jù)加密和完整性驗證將會導致中間人攻擊行為。關鍵用戶（高權限管理人員）的無線客戶端有在于AP交互數(shù)據(jù)的過程中如果不進行空中鏈路的保護無線數(shù)據(jù)將會被他人竊聽，造成嚴重的泄密。在鏈路層常見的無線側的網絡攻擊還有管理框架洪水、未認證的入侵、認證洪水、探測請求洪水、偽冒AP洪水、零探測響應、EAP握手洪水等。上述攻擊都會造成AP無法正常工作以及無線資源的耗盡。如果選擇不合理的用戶接入方式也會導致嚴重的安全問題。

鏈路層的管理幀保護（MFP）是通過在AP管理幀上增加了基于無線網絡配置的校驗字段，通過該字段來標識管理幀的合法性，任何對管理幀的篡改都會被系統(tǒng)識別出來。針對于無線側的網絡攻擊，無線控制器作為控制所有所屬AP的大腦，本身也是一個無線側的IDS系統(tǒng)，針對攻擊無線控制器通過網管可以及時發(fā)現(xiàn)并報告攻擊的產生，通過定位服務可以發(fā)現(xiàn)攻擊者的具體位置，并引導網管員或自動實施策略操作，對該非法用戶實施阻斷。在用戶接入安全方面，原則是權限越高的用戶接入方式要越加嚴格，對于公眾用戶可以采用Web認證的方式，但這些用戶無法接觸到敏感數(shù)據(jù)資源。對于用戶接入的網絡，采用在同一個AP下針對同一或不同的SSID對應不同的VLAN以及認證模式，所以靈活的對應關系可以確保徹底全面地執(zhí)行網絡接入安全策略。

3 網絡上層安全

在網絡上層常見的問題包括帶寬肆意侵占、蠕蟲病毒泛濫、針對應用服務系統(tǒng)的攻擊、對網絡中其他主機的攻擊、對敏感資源的好奇等。

當遇到蠕蟲病毒、惡意代碼防范，使用網絡狀態(tài)的檢測設備或手段，包括狀態(tài)樣式識別、協(xié)議解析、啟發(fā)式檢測和異常檢測，能夠阻止網絡上的非法惡意行為，例如黑客發(fā)動的攻擊，檢測器能夠實時分析流量，使用戶能夠快速對安全問題作出反應，根據(jù)實際問題對不正常的用戶執(zhí)行排除策略，確保有效的無線資源。在網絡上層還應針對業(yè)務、應用帶寬進行管理，根據(jù)業(yè)務優(yōu)先分級，需要對高級別的業(yè)務進行帶寬保障，同時多低級別的業(yè)務進行帶寬限制。分析和了解網絡中的各種應用流量，進行帶寬保障和限制。

參考文獻

[1] 丁家鳳.無線網絡通信加密措施探討[J].信息技術，2011（2）：333-5.

[2] 趙建超，尹新富.校園無線網絡安全綜合防御[J].制造業(yè)自動化，2011（2）：293-1.

[3] 張麗娜.無線局域網面臨的安全問題及防范措施[J].大理學院學報，2010（4）：26-29.