陳亞平 黃進(jìn)龍 朱 麗

(1.江西省化學(xué)工業(yè)學(xué)校;2.江西省通用技術(shù)工程學(xué)校;3.江西旅游商貿(mào)職業(yè)學(xué)院)

1 引言

近年來(lái)隨著筆記本電腦的普及，很多老師和學(xué)生都有了自己的筆記本電腦。在校園內(nèi)，老師與學(xué)生的都迫切要求自己的筆記本能接入Internet，給工作和生活帶來(lái)便利。由于筆記本移動(dòng)性強(qiáng)，使有線(xiàn)網(wǎng)絡(luò)無(wú)法靈活滿(mǎn)足他們對(duì)網(wǎng)絡(luò)的需求。為了解決這些問(wèn)題，很多院校在原有校園網(wǎng)的基礎(chǔ)之上，通過(guò)有線(xiàn)加無(wú)線(xiàn)的方式對(duì)原有網(wǎng)絡(luò)進(jìn)行擴(kuò)展，實(shí)現(xiàn)了校園范圍特定區(qū)域內(nèi)的無(wú)線(xiàn)接入。

2 校園無(wú)線(xiàn)網(wǎng)絡(luò)新增安全威脅

隨著校園無(wú)線(xiàn)局域網(wǎng)的投入使用，校園網(wǎng)所面臨的安全問(wèn)題也發(fā)生了很大的變化。任何人可以從任何地方、于任何時(shí)間、向任何一個(gè)目標(biāo)發(fā)起攻擊，而且我們的系統(tǒng)還同時(shí)要面臨來(lái)自外部、內(nèi)部、自然等多方面的威脅。由于無(wú)線(xiàn)網(wǎng)絡(luò)采用公共的電磁波作為載體，傳輸信息的覆蓋范圍不好控制，因此對(duì)越權(quán)存取和竊聽(tīng)的行為也更不容易防備。

通過(guò)分析，校園無(wú)線(xiàn)網(wǎng)絡(luò)除了所有有線(xiàn)網(wǎng)絡(luò)存在的安全威脅和隱患都存在外，還存在以下必須考慮的安全威脅：

(1)無(wú)線(xiàn)網(wǎng)絡(luò)無(wú)需連線(xiàn)便可以在信號(hào)覆蓋范圍內(nèi)進(jìn)行網(wǎng)絡(luò)接入的嘗試，一定程度上暴露了網(wǎng)絡(luò)的存在；

(2)無(wú)線(xiàn)局域網(wǎng)使用的是ISM公用頻段，使用無(wú)需申請(qǐng)，相鄰設(shè)備之間潛在著電磁破壞(干擾)問(wèn)題；

(3)外部人員可以通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò)繞過(guò)防火墻，對(duì)學(xué)校網(wǎng)絡(luò)進(jìn)行非授權(quán)存??；

(4)無(wú)線(xiàn)網(wǎng)絡(luò)傳輸?shù)男畔](méi)有加密或者加密很弱，易被竊取、篡改和插入；

(5)無(wú)線(xiàn)網(wǎng)絡(luò)易被拒絕服務(wù)攻擊(DOS)和干擾；

(6)學(xué)校內(nèi)部人員可以設(shè)置無(wú)線(xiàn)網(wǎng)卡為P2P模式與外部人員連接。

3 主要安全技術(shù)措施

為了應(yīng)對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)新增的威協(xié)，我們可采取以下技術(shù)措施：

3.1 無(wú)線(xiàn)網(wǎng)卡物理地址(MAC)過(guò)濾

每個(gè)筆記本無(wú)線(xiàn)網(wǎng)卡都由惟一的物理地址標(biāo)示。該物理地址編碼方式類(lèi)似于以太網(wǎng)物理地址，是48位。由廠方出廠前設(shè)定，一般無(wú)法更改。網(wǎng)絡(luò)管理員可在無(wú)線(xiàn)局域網(wǎng)訪(fǎng)問(wèn)點(diǎn)AP中手工維護(hù)一組允許訪(fǎng)問(wèn)或不允許訪(fǎng)問(wèn)的MAC地址列表。AP對(duì)收到的每個(gè)數(shù)據(jù)包都會(huì)做出判斷。只有符合設(shè)定標(biāo)準(zhǔn)的才能被轉(zhuǎn)發(fā)。否則將會(huì)被丟棄以實(shí)現(xiàn)物理地址的訪(fǎng)問(wèn)過(guò)濾。使用該方法最為簡(jiǎn)單、快捷。網(wǎng)絡(luò)管理員只需要通過(guò)簡(jiǎn)單的配置就可以完成訪(fǎng)問(wèn)權(quán)限的設(shè)置，十分有效。

3.2 靜態(tài)IP與MAC地址綁定

無(wú)線(xiàn)路由器或AP在分配IP地址時(shí)，通常是默認(rèn)使用DHCP即動(dòng)態(tài)IP地址分配，這對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)來(lái)說(shuō)是有安全隱患的，“不法”分子只要找到了無(wú)線(xiàn)網(wǎng)絡(luò)，很容易就可以通過(guò)DHCP而得到一個(gè)合法的IP地址，由此就進(jìn)入了局域網(wǎng)絡(luò)中。因此，建議關(guān)閉DHCP服務(wù)，為學(xué)校的每臺(tái)筆記本分配固定的靜態(tài)IP地址，然后再把這個(gè)IP地址與該筆記本無(wú)線(xiàn)網(wǎng)卡的MAC地址進(jìn)行綁定，這樣就能大大提升網(wǎng)絡(luò)的安全性?！安环ā狈肿硬灰椎玫胶戏ǖ腎P地址，即使得到了，因?yàn)檫€要驗(yàn)證綁定的MAC地址，相當(dāng)于兩重關(guān)卡。

3.3 修改默認(rèn)的服務(wù)區(qū)標(biāo)識(shí)符(SSID)

通常每個(gè)無(wú)線(xiàn)網(wǎng)絡(luò)都有一個(gè)服務(wù)區(qū)標(biāo)識(shí)符(SSID)，無(wú)線(xiàn)客戶(hù)端需要加入該網(wǎng)絡(luò)的時(shí)候需要有一個(gè)相同的SSID，否則將被“拒之門(mén)外”。通常路由器/中繼器設(shè)備制造商都在他們的產(chǎn)品中設(shè)了一個(gè)默認(rèn)的相同的SSID。例如linksys設(shè)備的SSID通常是“l(fā)inksys”。如果一個(gè)網(wǎng)絡(luò)，不為其指定一個(gè)SSID或者只使用默認(rèn)SSID的話(huà)，那么任何無(wú)線(xiàn)客戶(hù)端都可以進(jìn)入該網(wǎng)絡(luò)。無(wú)疑這為黑客的入侵網(wǎng)絡(luò)打開(kāi)了方便之門(mén)。

3.4 禁止SSID廣播

在無(wú)線(xiàn)網(wǎng)絡(luò)中，各路由設(shè)備有個(gè)很重要的功能，那就是服務(wù)區(qū)標(biāo)識(shí)符廣播，即SSID廣播。最初，這個(gè)功能主要是為那些無(wú)線(xiàn)網(wǎng)絡(luò)客戶(hù)端流動(dòng)量特別大的商業(yè)無(wú)線(xiàn)網(wǎng)絡(luò)而設(shè)計(jì)的。開(kāi)啟了SSID廣播的無(wú)線(xiàn)網(wǎng)絡(luò)，其路由設(shè)備會(huì)自動(dòng)向其有效范圍內(nèi)的無(wú)線(xiàn)網(wǎng)絡(luò)客戶(hù)端廣播自己的SSID號(hào)，無(wú)線(xiàn)網(wǎng)絡(luò)客戶(hù)端接收到這個(gè)SSID號(hào)后，利用這個(gè)SSID號(hào)才可以使用這個(gè)網(wǎng)絡(luò)。但是，這個(gè)功能卻存在極大的安全隱患，就好象它自動(dòng)地為想進(jìn)入該網(wǎng)絡(luò)的黑客打開(kāi)了門(mén)戶(hù)。在商業(yè)網(wǎng)絡(luò)里，由于為了滿(mǎn)足經(jīng)常變動(dòng)的無(wú)線(xiàn)網(wǎng)絡(luò)接入端，必定要犧牲安全性來(lái)開(kāi)啟這項(xiàng)功能，但是作為學(xué)校無(wú)線(xiàn)網(wǎng)絡(luò)來(lái)講，網(wǎng)絡(luò)成員相對(duì)固定，所以沒(méi)必要開(kāi)啟這項(xiàng)功能。

3.5 有線(xiàn)對(duì)等保密(WEP)

有線(xiàn)對(duì)等保密(WEP)協(xié)議是由802．11標(biāo)準(zhǔn)定義的，用于在無(wú)線(xiàn)局域網(wǎng)中保護(hù)鏈路層數(shù)據(jù)。WEP使用40位鑰匙，采用RSA開(kāi)發(fā)的Re4對(duì)稱(chēng)加密算法，在鏈路層加密數(shù)據(jù)?，F(xiàn)在的WEP一般也支持64位或128位的密鑰。密鑰越長(zhǎng)，黑客就需要更多的時(shí)間去進(jìn)行破解。因此能夠提供更好的安全保護(hù)。

3.6 無(wú)線(xiàn)入侵檢測(cè)系統(tǒng)

無(wú)線(xiàn)入侵檢測(cè)系統(tǒng)同傳統(tǒng)的入侵檢測(cè)系統(tǒng)類(lèi)似，但無(wú)線(xiàn)入侵檢測(cè)系統(tǒng)增加了對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)的檢測(cè)和對(duì)破壞系統(tǒng)反應(yīng)的特性。如今入侵檢測(cè)系統(tǒng)已用于無(wú)線(xiàn)網(wǎng)絡(luò)。來(lái)監(jiān)視分析用戶(hù)的活動(dòng)，判斷入侵事件的類(lèi)型，檢測(cè)非法的網(wǎng)絡(luò)行為，對(duì)異常的網(wǎng)絡(luò)流量進(jìn)行報(bào)警。無(wú)線(xiàn)入侵檢測(cè)系統(tǒng)不但能找出入侵者，還能加強(qiáng)策略。通過(guò)使用強(qiáng)有力的策略，會(huì)使無(wú)線(xiàn)網(wǎng)絡(luò)更安全。無(wú)線(xiàn)入侵檢測(cè)系統(tǒng)還能檢測(cè)到MAC地址。他是通過(guò)一種順序分析，找出那些偽裝WAP的無(wú)線(xiàn)上網(wǎng)用戶(hù)。入侵檢測(cè)系統(tǒng)可以通過(guò)提供商來(lái)購(gòu)買(mǎi)，為了發(fā)揮無(wú)線(xiàn)入侵檢測(cè)系統(tǒng)的優(yōu)良的性能，他們同時(shí)還提供無(wú)線(xiàn)入侵檢測(cè)系統(tǒng)的解決方案。

3.7 采用身份驗(yàn)證和授權(quán)

當(dāng)攻擊者了解網(wǎng)絡(luò)的SSID,網(wǎng)絡(luò)的MAC地址或甚至WEP密鑰等信息時(shí)，他們可以嘗試建立與AP關(guān)聯(lián)。目前，有三種方法在用戶(hù)建立與無(wú)線(xiàn)網(wǎng)絡(luò)的關(guān)聯(lián)前對(duì)他們進(jìn)行身份驗(yàn)證。一是開(kāi)放身份驗(yàn)證，開(kāi)放身份驗(yàn)證通常意味著您只需要向AP提供SSID或使用正確的WEP密鑰。開(kāi)放身份驗(yàn)證的問(wèn)題在于，如果您沒(méi)有其他的保護(hù)或身份驗(yàn)證機(jī)制，那么您的無(wú)線(xiàn)網(wǎng)絡(luò)將是完全開(kāi)放的，就像其名稱(chēng)所表示的；二是共享機(jī)密身份驗(yàn)證機(jī)制，共享機(jī)密身份驗(yàn)證機(jī)制類(lèi)似于“口令-響應(yīng)”身份驗(yàn)證系統(tǒng)。在STA與AP共享同一個(gè)WEP密鑰時(shí)使用這一機(jī)制。STA向AP發(fā)送申請(qǐng)，然后AP發(fā)回口令。接著，STA利用口令和加密的響應(yīng)進(jìn)行回復(fù)。這種方法的漏洞在于口令是通過(guò)明文傳輸給STA的，因此如果有人能夠同時(shí)截取口令和響應(yīng)，那么他們就可能找到用于加密的密鑰；三是采用其他的身份驗(yàn)證/授權(quán)機(jī)制，如使用802.1x，VPN或證書(shū)對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)用戶(hù)進(jìn)行身份驗(yàn)證和授權(quán)。使用客戶(hù)端證書(shū)可以使攻擊者幾乎無(wú)法獲得訪(fǎng)問(wèn)權(quán)限。

3.8 其他安全措施

除了以上敘述的安全措施手段以外我們還要可以采取一些其他的技術(shù)，例如設(shè)置附加的第三方數(shù)據(jù)加密方案，即使信號(hào)被盜聽(tīng)也難以理解其中的內(nèi)容；加設(shè)防火墻進(jìn)行隔離，加強(qiáng)校園網(wǎng)內(nèi)部管理等等的方法來(lái)加強(qiáng)校園無(wú)線(xiàn)網(wǎng)絡(luò)的安全性。

4 結(jié)論

校園無(wú)線(xiàn)網(wǎng)絡(luò)應(yīng)用越來(lái)越廣泛，但是隨之而來(lái)的網(wǎng)絡(luò)安全威協(xié)也必將越來(lái)越突出，在文中分析了校園無(wú)線(xiàn)網(wǎng)絡(luò)所面臨的新增安全威協(xié)，以及可采取的主要安全技術(shù)措施，可有效的防范竊聽(tīng),截取或者修改傳輸數(shù)據(jù),置信攻擊,拒絕服務(wù)等等的攻擊手段，但是由于現(xiàn)在各個(gè)無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商生產(chǎn)的設(shè)備的功能不一樣，所以現(xiàn)在本文中介紹的一些安全措施也許在不同的設(shè)備上會(huì)有些不一樣，但是安全技術(shù)措施的思路是正確的，能夠保證校園無(wú)線(xiàn)網(wǎng)絡(luò)內(nèi)的用戶(hù)的信息和傳輸信息的安全性和保密性，有效地維護(hù)校園無(wú)線(xiàn)網(wǎng)絡(luò)的安全。

[1]李健.高校無(wú)線(xiàn)局域網(wǎng)安全技術(shù)分析.福建電腦.2008/5.

[2]練永華.構(gòu)建面向未來(lái)的高校無(wú)線(xiàn)局域網(wǎng).科學(xué)咨詢(xún).2008/15.

[3]家庭無(wú)線(xiàn)網(wǎng)絡(luò)安全六點(diǎn)小技巧.計(jì)算機(jī)與網(wǎng)絡(luò).2009/2.

[4]趙振輝.淺議無(wú)線(xiàn)局域網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.信息系統(tǒng)工程.2009/9.

[5]張園,王青松.無(wú)線(xiàn)局域網(wǎng)安全技術(shù)綜述計(jì)算機(jī)與現(xiàn)代化.2008/11.

[6]林楠.無(wú)線(xiàn)局域網(wǎng)的安全技術(shù)研究.大化科技.2008/4.