程 凱，董 雪

(1.河南教育學(xué)院 信息技術(shù)系，鄭州450046；2.河南教育學(xué)院 院長(zhǎng)辦公室，鄭州450046)

如今，即使多數(shù)的有線網(wǎng)絡(luò)仍然擁有比無線網(wǎng)絡(luò)更大的帶寬，但無線網(wǎng)絡(luò)卻有著巨大的優(yōu)勢(shì)：人們可以脫離網(wǎng)線的束縛，便利地訪問到所需的信息，這有力推動(dòng)了信息傳播的革命。

相應(yīng)地，校園無線網(wǎng)絡(luò)的發(fā)展迎合了教育信息化的發(fā)展趨勢(shì)，豐富了教學(xué)手段、提升了教學(xué)質(zhì)量，在相當(dāng)程度上促進(jìn)了校園生活方式和工作學(xué)習(xí)方式的轉(zhuǎn)變。一方面為教職工和學(xué)生帶來更人性化、更靈活高效的工作、教學(xué)和學(xué)習(xí)體驗(yàn);另一方面也持續(xù)推動(dòng)了校園文化步向更深刻的變革。

2012年9月22日，由教育部科技發(fā)展中心主辦的“2012高校無線校園網(wǎng)絡(luò)建設(shè)研討會(huì)”在京召開。大會(huì)主題為交流無線校園網(wǎng)建設(shè)與應(yīng)用的經(jīng)驗(yàn)，集中探討無線校園網(wǎng)發(fā)展中的相關(guān)問題，其中，無線校園網(wǎng)的安全問題是討論的核心。由此可見，無線校園網(wǎng)的安全問題亟待解決。

1 .無線校園網(wǎng)的特點(diǎn)與優(yōu)勢(shì)

1.1 移動(dòng)性強(qiáng)

無線網(wǎng)絡(luò)擺脫了有線網(wǎng)絡(luò)的束縛，能夠使學(xué)習(xí)遠(yuǎn)離教室，可以在網(wǎng)絡(luò)覆蓋范圍內(nèi)的任何位置上網(wǎng)。無線網(wǎng)絡(luò)完全支持自由移動(dòng)和持續(xù)連接，實(shí)現(xiàn)了移動(dòng)辦公。

1.2 安裝方便

無線局域網(wǎng)的安裝簡(jiǎn)單，無需破墻、掘地、穿線架管，這樣避免對(duì)建筑物及周邊環(huán)境影響，減少網(wǎng)絡(luò)布線工作量，一般只要安裝一個(gè)或多個(gè)接入點(diǎn)AP(Access Point)設(shè)備，就可建成覆蓋整個(gè)建筑或地區(qū)的局域網(wǎng)絡(luò)。一旦發(fā)生事故，不必尋找損壞路線，只要檢查信號(hào)發(fā)送端與接收端的信號(hào)是否正常即可。

1.3 帶寬很寬

無線網(wǎng)適合進(jìn)行大量雙向和多向多媒體信息傳輸。在速度方面，標(biāo)準(zhǔn)802.11b的傳輸速度可提供11Mbps數(shù)據(jù)速率，而標(biāo)準(zhǔn)802.11g無線網(wǎng)速提升五倍，其數(shù)據(jù)傳輸率將達(dá)到54Mbps，充分滿足校園網(wǎng)用戶對(duì)網(wǎng)速的要求。

1.4 較強(qiáng)的靈活性

在有線網(wǎng)絡(luò)中，網(wǎng)絡(luò)設(shè)備的安放位置受網(wǎng)絡(luò)信息點(diǎn)位置的限制。而一旦無線局域網(wǎng)建成后，在無線網(wǎng)的信號(hào)覆蓋區(qū)域內(nèi)任何一個(gè)位置都可以接入網(wǎng)絡(luò)。由于采用直接序列擴(kuò)頻、跳頻、跳時(shí)等一系列無線擴(kuò)展頻譜技術(shù)，使得其組網(wǎng)靈活，安全可靠。

1.5 維護(hù)成本低

無線網(wǎng)絡(luò)盡管在搭建時(shí)投入成本較高，但后期維護(hù)方便。由于有線網(wǎng)絡(luò)缺少靈活性，這就要求網(wǎng)絡(luò)規(guī)劃者盡可能地考慮未來發(fā)展的需要，這往往導(dǎo)致預(yù)設(shè)大量利用率較低的信息點(diǎn)。而一旦網(wǎng)絡(luò)的發(fā)展超出了設(shè)計(jì)規(guī)劃，又需花費(fèi)較多費(fèi)用進(jìn)行網(wǎng)絡(luò)改造。而無線局域網(wǎng)可以避免或減少以上情況的發(fā)生，維護(hù)成本比有線網(wǎng)絡(luò)低50%左右。

1.6 易于擴(kuò)展

無線局域網(wǎng)技術(shù)有對(duì)等模式、中心模式、中繼組網(wǎng)模式等多種配置方式，能夠根據(jù)需要靈活選擇，易于擴(kuò)展。

2 .無線校園網(wǎng)存在的安全問題

在無線校園網(wǎng)的實(shí)際使用中，有可能碰到的威脅主要包括以下幾個(gè)方面：

2.1 網(wǎng)絡(luò)監(jiān)聽

由于無線局域網(wǎng)具有開放訪問的特點(diǎn)，大多數(shù)無線網(wǎng)絡(luò)通信數(shù)據(jù)是以明文(非加密)格式出現(xiàn)的，這就會(huì)使處于無線信號(hào)覆蓋范圍之內(nèi)的攻擊者可以乘機(jī)監(jiān)聽并破解(讀取)通信。入侵者無需將竊聽或分析設(shè)備物理地接入被竊聽的網(wǎng)絡(luò)，就可以乘機(jī)在無線信號(hào)覆蓋范圍之內(nèi)，進(jìn)行竊聽、惡意修改并轉(zhuǎn)發(fā)數(shù)據(jù)。所以，這種威脅已經(jīng)成為無線局域網(wǎng)面臨的最大安全問題之一。

2.2 信息重放

無線校園網(wǎng)在沒有足夠的安全防范辦法的情況下，很容易受到利用非法AP進(jìn)行的中間人欺騙攻擊。對(duì)于這種攻擊行為，即使采用VPN(Virtual Private Network)等保護(hù)辦法也難以避免，它能對(duì)授權(quán)客戶端和AP進(jìn)行雙重欺騙，進(jìn)而對(duì)信息進(jìn)行竊取和篡改。

2.3 加密協(xié)議(WEP)破解

互聯(lián)網(wǎng)上存在的一些非法程序，能夠捕捉位于AP信號(hào)覆蓋區(qū)域內(nèi)的數(shù)據(jù)包，通過收集足夠多的WEP(Wired Equivalent Privacy)弱密鑰加密的數(shù)據(jù)包，進(jìn)行分析以破解WEP密鑰。根據(jù)監(jiān)聽無線通信的機(jī)器速度、WLAN(Virtual Local Area Network)內(nèi)發(fā)射信號(hào)的無線主機(jī)數(shù)量，最快可以在約兩個(gè)小時(shí)之內(nèi)破解WEP密鑰。

2.4 MAC地址欺騙和會(huì)話攔截

非法用戶通過網(wǎng)絡(luò)竊聽獲取數(shù)據(jù)，從而進(jìn)一步獲得AP的靜態(tài)地址池，獲取合法站點(diǎn)的 MAC地址，然后通過 ARP(Address Resolution Protocol)欺騙，利用這些合法的 MAC地址進(jìn)行欺騙攻擊。同時(shí)還可以通過截獲會(huì)話幀從而獲取更多信息。

2.5 拒絕服務(wù)

拒絕服務(wù)是最為嚴(yán)重的攻擊方式，一般有兩種攻擊方式，一是攻擊者對(duì)AP進(jìn)行泛洪式的攻擊，使AP拒絕服務(wù)。二是攻擊者對(duì)移動(dòng)模式內(nèi)某個(gè)節(jié)點(diǎn)進(jìn)行攻擊，讓它不停地提供服務(wù)或進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)，使其能源耗盡而不能繼續(xù)工作，這通常被稱為能源消耗攻擊。

2.6 非法入侵

由于無線局域網(wǎng)數(shù)據(jù)具有公開、易獲取的特性，攻擊者一旦侵入無線網(wǎng)絡(luò)，即可未經(jīng)授權(quán)而擅自使用網(wǎng)絡(luò)資源，甚至進(jìn)一步入侵其他系統(tǒng)。這樣的安全隱患將成為整個(gè)校園網(wǎng)安全系統(tǒng)的漏洞，只要攻破無線網(wǎng)絡(luò)，整個(gè)網(wǎng)絡(luò)就將暴露在非法用戶面前，后果十分嚴(yán)重。

3 .解決方案

無線網(wǎng)絡(luò)進(jìn)入校園以后，如何保證無線校園網(wǎng)絡(luò)的安全性呢?可以采取以下安全方案。

3.1 無線校園網(wǎng)絡(luò)的物理安全設(shè)計(jì)

3.1.1為保證校園網(wǎng)信息系統(tǒng)的物理安全，除在網(wǎng)絡(luò)規(guī)劃和場(chǎng)地、環(huán)境等要求之外，還要防止系統(tǒng)信息在空間的擴(kuò)散。防范措施主要在三個(gè)方面入手：第一，對(duì)主機(jī)房及重要信息存儲(chǔ)、收發(fā)部門進(jìn)行屏蔽處理，即建設(shè)一個(gè)具有高效屏蔽效能的屏蔽室，用它來安裝運(yùn)行主要設(shè)備，以防止磁鼓、磁帶與高輻射設(shè)備等的信號(hào)外泄。第二，為提高屏蔽室的效能，在屏蔽室與外界的各項(xiàng)聯(lián)系、連接中均要采取相應(yīng)的隔離措施和設(shè)計(jì)，如信號(hào)線、電話線、以及通風(fēng)、波導(dǎo)等。第三，對(duì)本地網(wǎng)、局域網(wǎng)傳輸線路傳導(dǎo)輻射進(jìn)行抑制。

3.1.2規(guī)劃天線的放置，掌控信號(hào)覆蓋范圍。要部署封閉的無線訪問點(diǎn)，第一步就是合理放置訪問點(diǎn)的天線，以便能夠限制信號(hào)在覆蓋區(qū)以外的傳輸距離。最好將天線放在需要覆蓋的區(qū)域中心，盡量減少信號(hào)泄露到墻外。部署了無線網(wǎng)絡(luò)之后，應(yīng)該用可移動(dòng)的無線設(shè)備徹底的勘測(cè)信號(hào)覆蓋情況，并反映在學(xué)校的網(wǎng)絡(luò)拓?fù)鋱D里。

3.2 無線校園網(wǎng)絡(luò)的安全配置

針對(duì)校內(nèi)不同用戶群體對(duì)無線網(wǎng)絡(luò)需求的差異，為保障校園無線網(wǎng)絡(luò)使用的安全性，安全策略主要應(yīng)從訪問控制和數(shù)據(jù)加密兩個(gè)方面加以改善。

3.2.1訪問控制。針對(duì)校園群體的特點(diǎn)，可以對(duì)不同用戶使用不同的認(rèn)證方法，以此來確保無線校園網(wǎng)絡(luò)的安全性。一般來說，無線校園網(wǎng)絡(luò)的用戶可劃分為本地用戶和外來用戶兩大類。

①適宜校內(nèi)師生用戶的端口訪問控制技術(shù)(802.1x 認(rèn)證)802.1x 認(rèn)證使用 802.1x RADIUS 認(rèn)證和MAC地址聯(lián)合認(rèn)證，用于防止非授權(quán)的非法用戶接入和訪問，確保只有合法用戶和客戶端設(shè)備才可訪問網(wǎng)絡(luò)。802.1x定義了三種身份：申請(qǐng)者、認(rèn)證者和認(rèn)證服務(wù)器。當(dāng)申請(qǐng)者向認(rèn)證服務(wù)器表明自己的身份時(shí)，認(rèn)證服務(wù)器就對(duì)申請(qǐng)者進(jìn)行認(rèn)證，認(rèn)證通過后將通信所需要的密鑰加密再發(fā)給申請(qǐng)者。申請(qǐng)者就可用這個(gè)密鑰與AP進(jìn)行通信。目前是無線網(wǎng)絡(luò)中安全性很高的技術(shù)，特別適合校園內(nèi)的師生用戶群體。

②外來用戶主要是針對(duì)來學(xué)校進(jìn)行學(xué)術(shù)交流、培訓(xùn)等用戶，這些用戶關(guān)注的是能夠方便、快捷的接入網(wǎng)絡(luò)，以進(jìn)行相關(guān)的文件傳輸、瀏覽網(wǎng)站等工作。因此，對(duì)這類用戶可采用DHCP+強(qiáng)制Portal的認(rèn)證方式，用戶可得到DHCP服務(wù)器分配的IP地址，當(dāng)他們用瀏覽器訪問網(wǎng)頁時(shí)，強(qiáng)制Portal控制單元首先將用戶訪問的 Intenet定向到 Portal服務(wù)器中定制的網(wǎng)站，讓用戶僅可以訪問網(wǎng)站中提供的服務(wù)，而不能訪問校園網(wǎng)內(nèi)部的一些受限資源。例如學(xué)校公共數(shù)據(jù)庫(kù)、圖書館期刊全文數(shù)據(jù)庫(kù)以及一些學(xué)校內(nèi)部資源。如果用戶需要訪問校園網(wǎng)以外的數(shù)據(jù)，要先通過強(qiáng)制Portal認(rèn)證，通過認(rèn)證之后方可訪問網(wǎng)絡(luò)。根據(jù)不同用戶的需要采用不同的認(rèn)證方法，從而保證無線校園網(wǎng)絡(luò)的安全性。

3.2.2 WEP 加密技術(shù)

WEP加密技術(shù)是8011b標(biāo)準(zhǔn)里定義的一個(gè)用于無線局域網(wǎng)的安全性協(xié)議，是對(duì)無線網(wǎng)絡(luò)上的流量進(jìn)行加密的一種標(biāo)準(zhǔn)方法。由于在無線網(wǎng)絡(luò)中，無需物理連接就可以連接到網(wǎng)絡(luò)，因此，目前IEEE 802.11標(biāo)準(zhǔn)中的 WEP，在 15分鐘內(nèi)就可被攻破，所以建議采用支持128位的WEP，并且不要使用生產(chǎn)商自帶的 WEP密鑰，防止未授權(quán)用戶的侵入。建議經(jīng)常對(duì)WEP密鑰進(jìn)行更換，在有條件的情況下啟用獨(dú)立的認(rèn)證服務(wù)為WEP自動(dòng)分配密鑰。

3.3 高校無線校園網(wǎng)的管理與維護(hù)的措施

如何保障無線校園網(wǎng)的正常運(yùn)轉(zhuǎn)和信息通訊的暢達(dá)、安全，需要高校的網(wǎng)絡(luò)部門做好無線校園網(wǎng)的管理工作，具體建議如下。

3.3.1 建立高素質(zhì)的網(wǎng)絡(luò)管理系統(tǒng)

高校要制定相關(guān)的管理制度，規(guī)范管理人員的行為，明確管理工作的責(zé)任和具體分工，保證管理人員自身的素質(zhì)。采取分級(jí)網(wǎng)絡(luò)管理的方式，使管理人員可以各司其職，做好自己的網(wǎng)絡(luò)維護(hù)工作。另外，高校要考慮到無線網(wǎng)絡(luò)的技術(shù)和設(shè)備要求，建立完整的無線局域網(wǎng)網(wǎng)管系統(tǒng)WNMS。利用這一管理系統(tǒng)，可以實(shí)時(shí)的檢測(cè)校園網(wǎng)的工作狀態(tài)、信息傳輸?shù)臓顩r以及無線信號(hào)的狀況，及時(shí)的更新相關(guān)的信息，確保網(wǎng)絡(luò)信息的正確性和有效性。同時(shí)也可以預(yù)防不良網(wǎng)絡(luò)的攻擊和黑客的襲擊，維護(hù)正常的網(wǎng)絡(luò)秩序。

3.3.2 做好校園網(wǎng)絡(luò)安全的管理工作

互聯(lián)網(wǎng)是一個(gè)開放的平臺(tái)，為了維護(hù)網(wǎng)絡(luò)資源的安全和有效性，管理時(shí)可以對(duì)所有的AP進(jìn)行加密，對(duì)于機(jī)密性較高的信息或數(shù)據(jù)，管理時(shí)要根據(jù)相關(guān)規(guī)定，獨(dú)立設(shè)置加密體系。密碼加密并不可能一勞永逸，做好網(wǎng)絡(luò)安全的預(yù)防工作還需要管理員充分發(fā)揮自己的業(yè)務(wù)水平，依靠自己的職業(yè)直覺和技術(shù)，提高防范意識(shí)，加強(qiáng)對(duì)校園無線網(wǎng)絡(luò)的監(jiān)控，定期的進(jìn)行檢測(cè)，一旦發(fā)現(xiàn)有異常現(xiàn)象，應(yīng)該及時(shí)予以處理。另外，管理員還需要做好各項(xiàng)資料的備份，以防緊急情況的出現(xiàn)。

3.4 加強(qiáng)無線入侵檢測(cè)工作

通過提供商購(gòu)買無線入侵檢測(cè)系統(tǒng)，增加對(duì)無線局域網(wǎng)用戶的檢測(cè)、監(jiān)控、分析，判斷入侵事件的類型，檢測(cè)非法的網(wǎng)絡(luò)行為，對(duì)異常的網(wǎng)絡(luò)流量進(jìn)行報(bào)警。無線入侵檢測(cè)系統(tǒng)不僅能檢測(cè)到MAC地址欺騙，通過一種順序分析，找出那些偽裝WAP的無線上網(wǎng)用戶，還能加強(qiáng)策略，使無線局域網(wǎng)更安全。

［1］楊哲.無線網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)［M］.北京：電子工業(yè)出版社，2011.

［2］王艷春，張晨霞.無線網(wǎng)絡(luò)安全研究［J］.齊齊哈爾大學(xué)學(xué)報(bào)，2005，21(2)：76 －78.

［3］徐小龍.無線局域網(wǎng)主動(dòng)入侵防御的研究［J］.信息網(wǎng)絡(luò)安全，2005，55(7)：20 －21.

［4］蘇群，趙宇明，徐曉新，等.校園無線網(wǎng)的建設(shè)和管理［J］.工業(yè)儀表與自動(dòng)化裝置，2011(2)：83 －85.

［5］齊鐵.高校內(nèi)網(wǎng)信息安全研究［J］.赤峰學(xué)院學(xué)報(bào)：自然科學(xué)版，2011，27(4)：51 －52.