校園無線網(wǎng)絡(luò)的安全防護研究

2014-04-17 04:13蔡向陽

九江職業(yè)技術(shù)學(xué)院學(xué)報 2014年2期

關(guān)鍵詞：無線網(wǎng)校園網(wǎng)無線網(wǎng)絡(luò)

蔡向陽

(黃岡職業(yè)技術(shù)學(xué)院，湖北黃岡 438002)

為適應(yīng)各種便攜式智能終端的上網(wǎng)需求，很多高校實現(xiàn)了無線局域網(wǎng) (WLAN)熱點全覆蓋，給師生利用無線網(wǎng)絡(luò)開展各種應(yīng)用業(yè)務(wù)教學(xué)、科研、辦公等帶來了巨大便利。因為將無線網(wǎng)接入傳統(tǒng)的Internet網(wǎng)絡(luò)存在許多安全問題，所以對無線網(wǎng)絡(luò)安全防護的研究具有特別重要的意義。

1 校園無線網(wǎng)的特點

1)無需布線。學(xué)生和教師可以在無線網(wǎng)絡(luò)覆蓋的區(qū)域內(nèi)實現(xiàn)移動上網(wǎng)，檢索圖書館的資料，查看教案和作業(yè)，大大提高了師生對校園網(wǎng)資源的利用率，也方便了教學(xué)活動和學(xué)生的學(xué)習生活。

2)安裝方便。無線局域網(wǎng)的安裝簡單，無需破墻、掘地、穿線架管，一般只要安裝一個或多個接入點AP(Access Point)設(shè)備，就可建成覆蓋整個建筑或地區(qū)的無線網(wǎng)絡(luò)。一旦發(fā)生故障，不需要尋找損壞鏈路，只要檢查信號發(fā)送端與接收端的信號是否正常即可。

3)維護成本低。相對于有線網(wǎng)絡(luò)的布線投資及維護成本，無線網(wǎng)絡(luò)可以使原來的一個信息點同時接入數(shù)十乃至數(shù)百個用戶設(shè)備，在人力和物力上都大大地節(jié)約了學(xué)校的投入和支出。無線網(wǎng)絡(luò)盡管在搭建時投入成本較高，但后期維護方便，并且維護成本也比有線網(wǎng)絡(luò)低。

4)具有較強的靈活性和可擴展性。在有線網(wǎng)絡(luò)中，網(wǎng)絡(luò)設(shè)備的安放位置往住會受到網(wǎng)絡(luò)信息點位置的限制。但在無線網(wǎng)絡(luò)中卻比較靈活，它只要在無線網(wǎng)信號覆蓋區(qū)域內(nèi)任何位置均可接入網(wǎng)絡(luò)。同時，由于無線網(wǎng)技術(shù)有對等模式、中心模式、中繼組網(wǎng)模式等多種配置方式，用戶或企業(yè)能夠根據(jù)需要靈活選擇，易于擴展。

5)帶寬很寬。無線網(wǎng)適合進行大量雙向和多向多媒體信息傳輸。在速度方面，標準802.11b可提供11Mbps數(shù)據(jù)傳輸率，而標準802.11g可提供54Mbps數(shù)據(jù)傳輸率，完全能滿足校園網(wǎng)用戶對網(wǎng)速的要求。

2 校園無線網(wǎng)的安全問題

1)非法用戶侵入。由于無線局域網(wǎng)具有公開、易獲取的特性，便于開放式訪問，所以非法用戶可以未經(jīng)授權(quán)而擅自使用網(wǎng)絡(luò)資源，后果是不僅占用了寶貴的無線信道資源，增加了帶寬成本，而且還降低了合法用戶的服務(wù)質(zhì)量，同時非法的用戶還可能違反各種服務(wù)條款，違反國家各種法律規(guī)定，制造出各種各樣法律糾紛。

2)信息重放。在無線校園網(wǎng)中，如果沒有足夠安全防范措施的情況下，很容易受到利用非法AP進行的中間人欺騙攻擊。即使利用VPN等保護措施也難以避免，它能對授權(quán)客戶端和AP進行雙重欺騙，進而對網(wǎng)絡(luò)中的信息進行竊取和篡改。

3)網(wǎng)絡(luò)監(jiān)聽。由于無線局域網(wǎng)具有開放訪問的特點，大多數(shù)無線網(wǎng)絡(luò)通信數(shù)據(jù)是以明文 (非加密)格式出現(xiàn)的，這就會使處于無線信號覆蓋范圍之內(nèi)的攻擊者可以乘機監(jiān)聽并破解 (讀取)通信。入侵者無需將竊聽或分析設(shè)備物理地接入被竊聽的網(wǎng)絡(luò)，就可以乘機在無線信號覆蓋范圍之內(nèi)，進行竊聽、惡意修改并轉(zhuǎn)發(fā)數(shù)據(jù)。

4)無線加密協(xié)議 (WEP)破解?；ヂ?lián)網(wǎng)上存在一些非法程序，能夠捕捉位于AP信號覆蓋區(qū)域內(nèi)的數(shù)據(jù)包，通過收集足夠多的WEP密鑰加密的數(shù)據(jù)包，進行分析以破解WEP密鑰。根據(jù)監(jiān)聽無線通信的機器速度、WLAN內(nèi)發(fā)射信號的無線主機數(shù)量，最快可以在約兩個小時之內(nèi)破解WEP密鑰。

5)拒絕服務(wù)。它是無線網(wǎng)絡(luò)中最為嚴重的攻擊方式，一般有兩種情況，一種就是攻擊者對AP進行泛洪式的攻擊，使AP拒絕服務(wù)。另外一種是對某個節(jié)點進行攻擊，讓它不停地提供服務(wù)或進行數(shù)據(jù)包轉(zhuǎn)發(fā)，使其資源耗盡而不能繼續(xù)工作，也就是通常稱的資源消耗攻擊。在這兩種攻擊方式中，前者后果更為嚴重。

6)地址欺騙和會話攔截。無線網(wǎng)絡(luò)環(huán)境中，非法用戶可能通過偵察、偵聽等手段竊取合法用戶的MAC地址或IP地址信息，并使用這些信息進行網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)攻擊、會話攔截進而獲取網(wǎng)絡(luò)中更多的信息。

3 校園無線網(wǎng)絡(luò)安全防護對策

3.1 構(gòu)建校園無線網(wǎng)絡(luò)安全防護的管理對策

3.1.1 建立安全可靠的校園無線網(wǎng)絡(luò)管理制度。規(guī)范的校園無線網(wǎng)絡(luò)秩序，不僅需要依靠相應(yīng)的法律法規(guī)，還需要學(xué)校網(wǎng)絡(luò)管理者建立起一整套完善的校園無線網(wǎng)絡(luò)運行、使用、管理的制度。學(xué)校應(yīng)設(shè)立具有決策權(quán)的機構(gòu)或部門來協(xié)調(diào)各單位使用無線網(wǎng)絡(luò)的管理工作，這種管理需要建立一套完整的校園無線網(wǎng)絡(luò)使用安全管理制度，還需要組建和培養(yǎng)一支具有高素質(zhì)的校園無線網(wǎng)絡(luò)安全管理隊伍。

3.1.2 建立校園無線網(wǎng)絡(luò)安全防護的應(yīng)對制度。當校園無線網(wǎng)絡(luò)出現(xiàn)安全問題時，學(xué)校的網(wǎng)絡(luò)管理部門需要建立一套標準化的流程來響應(yīng)。校園網(wǎng)絡(luò)管理人員能夠按相關(guān)流程規(guī)定，對校園無線網(wǎng)工作狀態(tài)、信息傳輸?shù)臓顩r以及無線信號的狀況進行實時檢測，及時更新相關(guān)的信息，確保網(wǎng)絡(luò)信息的正確性和有效性。

3.2 構(gòu)建校園無線網(wǎng)絡(luò)安全防護的技術(shù)對策

3.2.1 對接入用戶采用認證機機制

無線網(wǎng)絡(luò)的建設(shè)目標是要與有線網(wǎng)及校本資源有效融合，做到安全、便捷，所以，在認證上要盡量做到統(tǒng)一。目前，根據(jù)校園網(wǎng)用戶的安全需求及校內(nèi)無線終端類型的統(tǒng)計，主要采用了以下幾種認證:

1)802.1x認證。該認證是根據(jù)用戶帳號和設(shè)備，對客戶端進行鑒權(quán)，只適合于接入用戶設(shè)備與接入端口間點到點的連接方式。校園網(wǎng)中的端口多指用戶設(shè)備的MAC地址，需要MAC地址處于激活狀態(tài)，否則無法進行認證。在802.1x認證體系中，必須具備客戶端、接入認證交換機和認證服務(wù)器三者，才能完成基于端口的訪問認證和授權(quán)。802.1x可以作為WPA的認證組件，支持AES/TKIP數(shù)據(jù)加密，為用戶數(shù)據(jù)提供加密服務(wù)。其優(yōu)點就是簡單易行、安全可靠、認證效率高。同時也可以避免網(wǎng)絡(luò)認證計費瓶頸的單點故障。所以，它是校園網(wǎng)中廣為采用的認證方式。

2)Web認證。該認證方案需要首先給用戶分配一個地址，用戶打開Web瀏覽器試圖訪問某網(wǎng)站時，認證系統(tǒng)會推出認證界面，在輸入正確用戶名稱和口令后，觸發(fā)客戶端重新發(fā)起地址分配請求，提供給用戶可以訪問外網(wǎng)的地址;用戶下線時通過客戶端發(fā)起離線請求。Web認證不需要特殊的客戶端軟件，可降低網(wǎng)絡(luò)維護工作量。但其承載在七層協(xié)議上，對設(shè)備要求較高，且用戶連接線差，離線檢測困難;用戶在訪問網(wǎng)絡(luò)前，不論是TELNET、FTP還是其它業(yè)務(wù)，必須使用瀏覽器進行Web認證;IP地址的分配在用戶認證之前，如果用戶不上網(wǎng)，則會造成地址的浪費。

3)MAC地址認證。該認證是一種基于端口和MAC地址對用戶的網(wǎng)絡(luò)訪問權(quán)限進行控制的方法，優(yōu)點是不需要安裝客戶端軟件，配置命令比較簡單，適合學(xué)校內(nèi)部的中小型網(wǎng)絡(luò)。該認證方式需要提供以下功能組件:一是具有MAC地址認證功能的交換機，能夠直接對終端進行地址認證;二是Radius服務(wù)器，如果交換機無法提供MAC地址是否合法，需要使用Radius服務(wù)器進行驗證。在Windows server2003中，需要Active Directory服務(wù)與IAS服務(wù)相結(jié)合才能實現(xiàn)認證和管理MAC帳戶功能。方法是在IAS中設(shè)置兩種帳戶:白名單和黑名單，然后在白名單中即服務(wù)器提供并維護一個可合法訪問網(wǎng)絡(luò)的MAC地址列表;黑名單中則列舉已知的對網(wǎng)絡(luò)有威脅的設(shè)備MAC地址表。建議學(xué)?？梢詾闊o線儀器設(shè)備、無線打印機等設(shè)置專門的WLAN，采用MAC地址認證，為這些特殊設(shè)備提供安全的網(wǎng)絡(luò)服務(wù)。

4)分類認證。分析校園網(wǎng)用戶主要有兩類:一類是校內(nèi)用戶，另一類是來訪用戶。學(xué)校師生構(gòu)成校內(nèi)用戶，為滿足工作和學(xué)習需要，他們要求能隨時隨地接入校園網(wǎng)，訪問Internet及校內(nèi)資源，且他們的數(shù)據(jù)如個人信息、研究資料和科研成果等對安全性要求較高，故可使用802.1x認證方式對用戶進行認證。來訪用戶主要由來校交流、參觀或培訓(xùn)群體組成，他們對安全性要求不是特別高，能夠快速接入Internet即可，因此可采用DHCP+強制Portal認證方式接入校園無線網(wǎng)絡(luò)。

3.2.2 采用加密技術(shù)

無線網(wǎng)絡(luò)的開放性使信息在傳輸過程中很容易被他人截獲，導(dǎo)致重要信息遭泄露、篡改或破壞，如何保證信息只能被所期待的用戶接受和理解，這就需要對所發(fā)送的信息進行加密操作，常見的無線網(wǎng)絡(luò)加密技術(shù)有WEP和WPA。

1)WEP加密技術(shù)。WEP加密技術(shù)是802.11b標準里定義的一個用于無線局域網(wǎng)的安全性協(xié)議，是對無線網(wǎng)絡(luò)上的流量進行加密的一種標準方法。由于在無線網(wǎng)絡(luò)中，無需物理連接就可以連接到網(wǎng)絡(luò)，因此，目前IEEE802.11標準中的WEP，在15分鐘內(nèi)就可被攻破，所以建議采用支持128位的WEP，并且不要使用生產(chǎn)商自帶的WEP密鑰，防止未授權(quán)用戶的侵入。建議經(jīng)常對WEP密鑰進行更換，在有條件的情況下啟用獨立的認證服務(wù)為WEP自動分配密鑰。

2)WPA加密技術(shù)。WPA是為了解決WEP缺點而推出的一項新的加密技術(shù)，采用了TKIP算法動態(tài)生成一個新的128位密碼，使得安全性較之WEP加密大大提高。WPA包含了認證、加密和數(shù)據(jù)完整性校驗三個組成部分，是一個完整的安全性方案，但用WPA加密的短數(shù)據(jù)包仍可遭破解，于是出現(xiàn)了WPA2。WPA2用CCMP取代了 WAP的 TKIP，AES取代了WPA的MIC，成為當前無線網(wǎng)絡(luò)中信息加密的最高安全標準，但其對老舊網(wǎng)卡的支持不是很好。在校園無線網(wǎng)絡(luò)中建議采用WPA或WPA2加密模式，同時為了防止非法入侵者暴力破解WPA或WPA2的密鑰，應(yīng)定期更換WPA或WPA2的密鑰。

3.2.3 采用入侵檢測技術(shù)

采用入侵檢測技術(shù)可實時采集、傳輸、處理數(shù)據(jù)及控制網(wǎng)絡(luò)，及時發(fā)現(xiàn)網(wǎng)絡(luò)故障，是保障校園無線網(wǎng)絡(luò)安全運行，防止非法入侵或數(shù)據(jù)被竊取、篡改的重要安全技術(shù)。黑客追蹤技術(shù)能夠使受害主機的網(wǎng)絡(luò)管理員找到發(fā)起惡意攻擊的數(shù)據(jù)包的真正源頭，以盡快恢復(fù)網(wǎng)絡(luò)的正常功能，阻止可能再次發(fā)生的攻擊行為，甚至抓獲最終的攻擊者。目前常見的追蹤方法有IP追蹤、反追蹤及路由追蹤等。

3.2.4 網(wǎng)絡(luò)安全審計技術(shù)