無線校園網(wǎng)絡(luò)安全與應(yīng)對策略

移動互聯(lián)網(wǎng)的快速發(fā)展和智能移動終端的快速普及，師生用戶對校園內(nèi)無線覆蓋的需求越來越強(qiáng)烈。校園無線網(wǎng)建設(shè)程度逐漸成為衡量高校信息化發(fā)展的一個重要指標(biāo)，高校紛紛建設(shè)大規(guī)模無線校園網(wǎng)。由于無線網(wǎng)信號是在開放空間傳輸，Wi-Fi協(xié)議在安全性上又不同于有線網(wǎng)絡(luò)，容易遭受黑客的攻擊，通過無線傳輸?shù)男畔⑷菀资艿焦粽吒`取和篡改。在高校校園內(nèi)，學(xué)生在網(wǎng)絡(luò)上的活躍程度和好奇心都非常強(qiáng)，網(wǎng)絡(luò)攻擊行為時有發(fā)生。因此，高校無線校園網(wǎng)絡(luò)安全有其自身的特點(diǎn)，在建設(shè)和運(yùn)維無線校園網(wǎng)絡(luò)時需要充分考慮其安全性，以保障無線網(wǎng)絡(luò)可靠穩(wěn)定運(yùn)行。

無線網(wǎng)絡(luò)安全性及技術(shù)趨勢

無線網(wǎng)絡(luò)雖然具有便于安裝、靈活使用、易于擴(kuò)展等優(yōu)點(diǎn)，但是由于無線網(wǎng)絡(luò)信道開放、接入終端的移動性等特點(diǎn)，以及無線終端計算能力和存儲能力的局限性，使得有線網(wǎng)絡(luò)環(huán)境下的許多安全方案和技術(shù)不能直接用于無線網(wǎng)絡(luò)。

目前，從校園無線網(wǎng)管理要求和各大無線廠商解決方案來看，有線無線網(wǎng)絡(luò)一體化管理逐漸成為趨勢，相應(yīng)的技術(shù)產(chǎn)品逐漸成熟，可以實現(xiàn)有線無線一體化的安全架構(gòu)。通過有線網(wǎng)硬件平臺上集成無線交換、防火墻、入侵檢測等功能模塊，可以實現(xiàn)的主要安全功能包括：動態(tài)檢測和過濾數(shù)據(jù)包、防范多種DoS/DDoS攻擊、防范ARP欺騙攻擊、識別網(wǎng)絡(luò)應(yīng)用層流量并過濾、流量審計與分析等。有線無線網(wǎng)絡(luò)一體化管理還要實現(xiàn)有線無線接入認(rèn)證系統(tǒng)以及計費(fèi)系統(tǒng)的統(tǒng)一，既方便了用戶用網(wǎng)，同時又可以實現(xiàn)無線用戶特有的服務(wù)策略控制。

無線安全問題及應(yīng)對策略

無線校園網(wǎng)絡(luò)面臨的主要安全問題有：

1.偵測攻擊：通過竊聽、偽造等方式針對系統(tǒng)或服務(wù)弱點(diǎn)進(jìn)行未經(jīng)授權(quán)的查詢和訪問。

2.非法AP欺騙：通過使正常用戶接入未授權(quán)的AP，以獲取正常用戶的認(rèn)證和數(shù)據(jù)信息。

3.ARP病毒：很多校園網(wǎng)內(nèi)ARP病毒泛濫，無線校園網(wǎng)由于共享帶寬機(jī)制，更易受到ARP病毒影響。

4.DoS攻擊：通過發(fā)起大量服務(wù)請求來占用過多服務(wù)資源，從而使合法用戶無法得到正常服務(wù)。

針對無線校園網(wǎng)的特點(diǎn)及安全問題，可在網(wǎng)絡(luò)不同層次采取多種安全策略，如上圖所示，主要措施有：

學(xué)者斯坦利·阿羅諾維茲在《知識工廠——廢除企業(yè)型大學(xué)并創(chuàng)建真正的高等教育》書中，認(rèn)為“高等教育的廉價化使高校注定退化成一系列高級的和過渡性的培訓(xùn)學(xué)?！?。這一觀點(diǎn)雖然有些武斷，但確實指出了一種危機(jī)：高等教育是不是職業(yè)學(xué)校？研究型大學(xué)、應(yīng)用型和職業(yè)教育在知識生產(chǎn)領(lǐng)域應(yīng)該扮演著怎樣的角色分工？

1.建立完善的無線用戶認(rèn)證和授權(quán)系統(tǒng)，支持802.1X認(rèn)證、MAC地址認(rèn)證、Portal認(rèn)證、PPPoE和WAPI認(rèn)證等多種方式，用戶通過身份認(rèn)證后可動態(tài)授權(quán)VLAN和ACL，對用戶的策略可以事先設(shè)定好。無線用戶經(jīng)認(rèn)證系統(tǒng)認(rèn)證后，無線控制器應(yīng)對用戶進(jìn)行標(biāo)識并綁定，并分配帶寬等屬性?？梢苑乐笽P地址欺騙、帶寬濫用、DHCP服務(wù)器被攻擊等問題。

2.提供基于AP位置的用戶接入控制，出于安全性或計費(fèi)等的考慮,要求無線控制器支持基于AP的用戶接入控制。當(dāng)無線用戶接入網(wǎng)絡(luò)時，可以通過認(rèn)證服務(wù)器向AC下發(fā)允許用戶接入的AP列表，在AC上進(jìn)行接入控制，從而達(dá)到限制無線用戶只能接入到指定位置AP的目的。

3.采取無線用戶隔離措施，用戶隔離包括同AP下用戶的隔離以及不同AP下用戶的隔離。AP內(nèi)部采用MAC互訪控制原理隔離用戶，保證同AP下用戶只能與上聯(lián)端口進(jìn)行通訊;AP之間采用MAC地址訪問控制或組網(wǎng)匯聚設(shè)備二層技術(shù)(如VLAN、PVLAN、PVC)進(jìn)行隔離，保證不同A P下用戶不能直接相通。所有用戶只有通過A C認(rèn)證后才能進(jìn)行三層受控互通。

4.通過數(shù)據(jù)加密防止用戶數(shù)據(jù)被非法竊取，用戶數(shù)據(jù)的加密包括無線鏈路層和網(wǎng)絡(luò)層的加密。

5.部署無線入侵檢測/防御(W IDS/W IPS)，非法設(shè)備的告警和攻擊防護(hù)功能使得無線控制器可以自動監(jiān)測WLAN網(wǎng)絡(luò)中的非法設(shè)備(如Rouge AP，或者AdHoc無線終端)，并實時上報網(wǎng)管中心，同時對非法設(shè)備的攻擊可以進(jìn)行自動防護(hù)，最大程度地保護(hù)無線網(wǎng)絡(luò)。

安全運(yùn)維管理

盡管無線網(wǎng)絡(luò)相關(guān)安全技術(shù)和設(shè)備已有較快發(fā)展，但由于系統(tǒng)開銷和性價比原因，在無線校園網(wǎng)絡(luò)建設(shè)時很難采用非常復(fù)雜的安全技術(shù)和過多的安全設(shè)備。因此，后期的安全運(yùn)維管理是保障無線校園網(wǎng)穩(wěn)定運(yùn)行的重要手段。

無線校園網(wǎng)安全運(yùn)維管理可分為流程定義、運(yùn)行監(jiān)控、事件分析、安全響應(yīng)5個環(huán)節(jié)。

1.流程定義環(huán)節(jié)：根據(jù)學(xué)校安全應(yīng)急等級制度以及校園網(wǎng)安全管理制度，預(yù)定義無線校園網(wǎng)安全事件等級和安全響應(yīng)流程，明確各類安全事件的響應(yīng)步驟及相關(guān)責(zé)任崗位，定期進(jìn)行安全預(yù)演。

2.運(yùn)行監(jiān)控環(huán)節(jié)：建立無線校園網(wǎng)運(yùn)行監(jiān)控系統(tǒng)，通過網(wǎng)絡(luò)運(yùn)行監(jiān)控中心對無線網(wǎng)絡(luò)控制器、交換機(jī)、AP等設(shè)備的運(yùn)行狀態(tài)以及安全設(shè)備告警日志進(jìn)行實時采集和定期查看，生成安全報表。

3.事件分析環(huán)節(jié)：管理員對監(jiān)控中心發(fā)現(xiàn)的異常告警進(jìn)行分析，對監(jiān)控系統(tǒng)收集的運(yùn)行數(shù)據(jù)進(jìn)行分類梳理，對海量日志信息進(jìn)行過濾和審計，評估安全風(fēng)險。

4.安全響應(yīng)環(huán)節(jié)：針對已發(fā)生的安全事件，根據(jù)預(yù)定義的流程及時響應(yīng)處理并保存日志備查，同時修復(fù)漏洞;對潛在的安全威脅，提出解決方案并組織實施。

安全設(shè)計和運(yùn)維案例

浙江大學(xué)于2013年初建成覆蓋全校五校區(qū)的大規(guī)模高速無線校園網(wǎng)絡(luò)，采用有線無線一體化架構(gòu)，共部署雙頻802.11n無線接入AP近1萬個，實現(xiàn)全校教學(xué)區(qū)、學(xué)生宿舍區(qū)、室外公共區(qū)域無線網(wǎng)絡(luò)的全覆蓋，在教學(xué)、科研等重點(diǎn)區(qū)域?qū)崿F(xiàn)450M無線網(wǎng)絡(luò)高速接入。

在無線校園網(wǎng)絡(luò)方案設(shè)計時，詳細(xì)考慮了無線網(wǎng)絡(luò)安全需求和運(yùn)維管理需求。拓?fù)涫疽鈭D如圖2所示，相關(guān)組網(wǎng)設(shè)計思路如下：

1.核心層：5個校區(qū)的教學(xué)區(qū)、宿舍區(qū)無線網(wǎng)絡(luò)核心通過萬兆互聯(lián)，校園有線無線共用核心層設(shè)備，采用各校區(qū)核心交換機(jī)插卡的形式部署無線控制系統(tǒng)。同時，為保證分區(qū)的安全控制與防御，在核心層可部署防火墻、入侵檢測等安全設(shè)備，與網(wǎng)絡(luò)融合，靈活安全控制策略。

2.匯聚層：從匯聚層開始，無線網(wǎng)采用專用光纖、匯聚交換機(jī)獨(dú)立組網(wǎng)，各匯聚單元通過冗余萬兆上聯(lián)核心交換機(jī)，同時雙千兆接入到各樓宇。

3.接入層：采用瘦AP(Fit AP)+集中式無線控制器的方式，通過無線控制器(AC)來集中管理所有AP，AP通過PoE接入交換機(jī)上行至無線網(wǎng)絡(luò)的匯聚及核心。接入層交換機(jī)直接和無線AP連接，可能遭受來自AP用戶的ARP風(fēng)暴、MAC掃描、ICMP風(fēng)暴、帶寬攻擊等攻擊方式，需要具備較高的防攻擊能力。

4.用戶認(rèn)證：基于原校園有線網(wǎng)絡(luò)認(rèn)證數(shù)據(jù)庫，實現(xiàn)有線無線網(wǎng)絡(luò)統(tǒng)一認(rèn)證，無線認(rèn)證方式支持Web Portal、802.1X等安全認(rèn)證方式。針對不同的用戶套餐使用不同的用戶策略。

5.網(wǎng)絡(luò)管理：部署無線網(wǎng)絡(luò)管理系統(tǒng)，通過管理無線控制器，進(jìn)而管理整個無線網(wǎng)絡(luò)設(shè)備，實現(xiàn)有線無線一體化的網(wǎng)絡(luò)管理和運(yùn)行監(jiān)控。

浙江大學(xué)通過建立無線網(wǎng)絡(luò)運(yùn)維體系，保障無線校園網(wǎng)安全可靠運(yùn)行。設(shè)立網(wǎng)絡(luò)運(yùn)維監(jiān)控中心，通過無線網(wǎng)管系統(tǒng)對無線校園網(wǎng)運(yùn)行情況進(jìn)行7x24小時監(jiān)控;建立無線網(wǎng)運(yùn)維隊伍，對無線網(wǎng)運(yùn)行情況和安全問題進(jìn)行整理，每周例會定期分析;建立相應(yīng)的運(yùn)維制度，進(jìn)行規(guī)范化運(yùn)維。

無線校園網(wǎng)的安全運(yùn)行是一個系統(tǒng)工程，并不是簡單以技術(shù)和設(shè)備手段來解決，需要在方案設(shè)計、網(wǎng)絡(luò)建設(shè)、運(yùn)維管理各階段予以重視，統(tǒng)籌考慮。網(wǎng)絡(luò)管理部門應(yīng)建立相應(yīng)的安全運(yùn)行管理制度，明確相關(guān)崗位職責(zé)和流程，以保障無線校園網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行。隨著網(wǎng)絡(luò)技術(shù)和安全技術(shù)的發(fā)展，各種無線網(wǎng)安全問題還是會不斷出現(xiàn)，需要網(wǎng)絡(luò)管理部門長期在無線網(wǎng)絡(luò)技術(shù)、產(chǎn)品、應(yīng)用方式、運(yùn)維管理等方面深入探索研究。（王宇）