摘要：本文從無線網(wǎng)絡(luò)安全隱患的發(fā)生入手，通過對各種無線網(wǎng)絡(luò)各種安全隱患的描述和分析，提出相應(yīng)的解決措施和可行的方案，一個前提是無線網(wǎng)絡(luò)已經(jīng)部署完成并是集中式架構(gòu)即是AP和無線控制器的架構(gòu)的基礎(chǔ)上來認(rèn)識的，為無線網(wǎng)絡(luò)的安全措施設(shè)計提供一些新的思路。

關(guān)鍵詞：無線網(wǎng)絡(luò)；安全隱患；認(rèn)識；入侵；防范

中圖分類號：TN925.93 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9599 （2013） 03-0000-02

目前隨著無線網(wǎng)絡(luò)建設(shè)在高校中不斷的擴(kuò)張，與此同時也伴隨著無線網(wǎng)絡(luò)安全隱患不斷對校園網(wǎng)用戶的侵?jǐn)_，為了防患于未然，必須提高校園網(wǎng)絡(luò)管理者對無線網(wǎng)絡(luò)的安全的充分認(rèn)識和理解，從而不斷地加強(qiáng)無線網(wǎng)絡(luò)安全的防護(hù)措施，不斷試驗(yàn)和探索無線網(wǎng)絡(luò)安全實(shí)施方案，從而最大限度地提高無線網(wǎng)絡(luò)的安全性，給校園網(wǎng)用戶一個綠色、安全、穩(wěn)定、和諧的無線網(wǎng)絡(luò)環(huán)境，為學(xué)校的教學(xué)和科研做出應(yīng)有的貢獻(xiàn)。

1 目前無線網(wǎng)絡(luò)的安全隱患

1.1 網(wǎng)絡(luò)管理者清醒的認(rèn)識。首先網(wǎng)絡(luò)管理者的清醒的認(rèn)識是無線網(wǎng)絡(luò)安全的必要前提，另外從網(wǎng)絡(luò)設(shè)計者的角度來看，在無線網(wǎng)絡(luò)的大規(guī)模部署中，必須對無線網(wǎng)絡(luò)的安全性加以重視，因?yàn)椴渴馃o線網(wǎng)絡(luò)以后，由于無線電波是散布在空氣中，黑客或非法用戶很容易通過無線網(wǎng)絡(luò)實(shí)現(xiàn)入侵，而無須連入某個固定的有線端口。因此，當(dāng)網(wǎng)絡(luò)中部署了越來越多的AP后，從一定程度上會造成更多潛在的威脅網(wǎng)絡(luò)安全的場所，只是一味的強(qiáng)調(diào)大規(guī)模無線接入和大面積的無線覆蓋，只會造成越來越多的安全隱患，如果網(wǎng)絡(luò)管理者沒有清醒認(rèn)識，也將是一種無線網(wǎng)絡(luò)的安全隱患，后果是可以想象的。

1.2 校園網(wǎng)無線終端的無線入侵攻擊的安全隱患。伴隨無線網(wǎng)絡(luò)的技術(shù)不斷更新發(fā)展，惡意客戶端無線攻擊無線局域網(wǎng)的日益普及，同時也促進(jìn)了無線入侵和攻擊工具快速發(fā)展，這些工具可以非常容易地從位于互聯(lián)網(wǎng)的各個黑客網(wǎng)站上下載得到，從而對無線網(wǎng)的安全構(gòu)成很大的威脅。當(dāng)遭受到像無線DOS攻擊時，網(wǎng)絡(luò)管理員往往會誤以為是無線信號受干擾或AP出現(xiàn)不穩(wěn)定情況，導(dǎo)致正常用戶的無線連接莫名其妙地中斷，間接影響到無線網(wǎng)絡(luò)所承載的各種業(yè)務(wù)應(yīng)用的質(zhì)量。

1.3 校園網(wǎng)內(nèi)有線終端中毒對無線網(wǎng)絡(luò)傳輸?shù)呢?fù)面影響。一個正常有線用戶連入網(wǎng)絡(luò)后，由于PC中毒，可能會發(fā)出大量的無效數(shù)據(jù)包，當(dāng)數(shù)據(jù)包送達(dá)有線防火墻后，由于現(xiàn)有的有線防火墻或IPS無法跟無線控制器進(jìn)行聯(lián)動，也就不能將該用戶直接和無線網(wǎng)絡(luò)斷開連接，有線防火墻只能將流量阻隔不讓其進(jìn)入有線核心網(wǎng)絡(luò)，而大量的無線數(shù)據(jù)包已經(jīng)占滿無線網(wǎng)絡(luò)鏈路，造成了不必要的網(wǎng)絡(luò)擁塞。

1.4 無線攻擊和非法入侵的安全隱患。隨著無線局域網(wǎng)的廣泛應(yīng)用，無線信號到處都是。酒店、大學(xué)安裝了成百上千的AP；大型校園也開始大規(guī)模應(yīng)用無線網(wǎng)絡(luò)。所有這些跡象表明，校園的無線網(wǎng)絡(luò)只是全球無線應(yīng)用的一部分，會不斷地收到外來的無線信號。在這樣的環(huán)境中，發(fā)射無線信號的設(shè)備，既有可能是獲得校園授權(quán)的AP，也有可能是企圖盜竊機(jī)密信息或者造成網(wǎng)絡(luò)中斷的攻擊者。因此無線局域網(wǎng)設(shè)備必須能夠提供完善的無線攻擊和入侵檢測及保護(hù)機(jī)制，以防止惡意終端發(fā)起的各種“拒絕服務(wù)”攻擊和未經(jīng)授權(quán)的非法AP入侵網(wǎng)絡(luò)所造成的安全隱患。

2 無線網(wǎng)絡(luò)安全措施的設(shè)計及實(shí)施

2.1 針對非法AP入侵防范的安全措施。在今天的校園網(wǎng)絡(luò)中，不經(jīng)意的員工為使用方便而私自接入網(wǎng)絡(luò)中的AP比比皆是。而惡意入侵者通過設(shè)置假冒的AP誘騙使用無線網(wǎng)絡(luò)的校園員工從而截獲信息。需要通過無線網(wǎng)絡(luò)管理系統(tǒng)的網(wǎng)管界面，網(wǎng)管中心便可實(shí)時查看到是否有非法AP在網(wǎng)內(nèi)，或是校園無線網(wǎng)絡(luò)覆蓋范圍內(nèi)是否有其它AP仿冒校園AP。網(wǎng)管人員亦可開啟自動保護(hù)機(jī)制，阻止無線終端通過非法AP連接到網(wǎng)內(nèi)或者被誘騙到假冒AP上。這些非法的無線連接會被周邊最接近的AP所發(fā)出的802.11 De-Auth包所切斷。802.11 De-Auth包會不停地發(fā)出直到在線的無線終端的無線連接被打斷為止。要做到一個真正自動的保護(hù)機(jī)制就必須能正確識別所有在校園范圍內(nèi)檢測出來的AP身份。除了對非法AP進(jìn)行分類和壓制，無線控制器就應(yīng)該對非法AP的位置進(jìn)行定位。

2.2 集中化的用戶認(rèn)證和流量加密的安全措施。802.11網(wǎng)絡(luò)所使用的無線信道所具有的共享介質(zhì)特性決定了其網(wǎng)絡(luò)數(shù)據(jù)在空中進(jìn)行傳播時，不可能阻止未經(jīng)授權(quán)的第三者對其進(jìn)行監(jiān)聽，同時用戶的接入也并無法受到校園圍墻和大門的保護(hù)（因?yàn)殡姶挪ǖ妮椛淇赡軙鰢鷫Ψ秶Ｒ虼?02.11無線網(wǎng)絡(luò)技術(shù)自誕生伊始便采用了用戶數(shù)據(jù)加密和認(rèn)證技術(shù)來保證無線網(wǎng)絡(luò)的安全。

2.3 加強(qiáng)無線控制器的多種身份驗(yàn)證安全措施。無線控制器是無線網(wǎng)絡(luò)系統(tǒng)中必不可少的硬件，可以為無線客戶提供功能豐富的身份驗(yàn)證和數(shù)據(jù)加密功能，并可以通過對無線控制器的安全配置實(shí)現(xiàn)整個無線網(wǎng)絡(luò)安全的集中部署。通常無線控制器提供的身份驗(yàn)證方式有：不進(jìn)行用戶身份驗(yàn)證、基于MAC地址的身份驗(yàn)證、基于802.1X/EAP的身份驗(yàn)證、支持機(jī)器名和用戶名的Windows域認(rèn)證綁定、基于Web Portal的身份驗(yàn)證、基于VPN的身份驗(yàn)證以上驗(yàn)證方式的組合。只有充分地整合上述的認(rèn)證方式，從而進(jìn)一步提高無線網(wǎng)絡(luò)的安全性。

2.4 基于用戶的無線應(yīng)用防火墻的安全措施。由于無線網(wǎng)絡(luò)的用戶通常具有更大的流動性，對于某些類型的用戶采用802.1X的方式進(jìn)行用戶認(rèn)證顯然并不可行（如外來訪客），因此大多數(shù)校園無線網(wǎng)絡(luò)都會提供Web Portal的方式對用戶進(jìn)行認(rèn)證。基于用戶的無線應(yīng)用防火墻提供了一種基于用戶身份角色來實(shí)施用戶安全策略管理的方法，能夠理想地解決上述難題。說白了就是無線控制器上集成了經(jīng)過ICSA（國際計算機(jī)安全聯(lián)盟）認(rèn)證的用戶狀態(tài)防火墻，這個用戶狀態(tài)防火墻是以用戶，而不僅僅是 IP 地址為驗(yàn)證方法的，從而可以基于每個無線網(wǎng)絡(luò)用戶的身份角色定制與其他用戶完全不同的安全策略、帶寬策略及QoS策略，實(shí)現(xiàn)完全以用戶為中心的、不依賴于網(wǎng)絡(luò)參數(shù)（如VLAN、IP地址等）的用戶安全策略管理。防火墻還能夠在第一時間檢測到惡意用戶對網(wǎng)絡(luò)發(fā)起的ICMP、TCP Sync、IP Session、IP Spoofing、RST Relay、ARP Spoofing等多種基于TCP/IP層面的網(wǎng)絡(luò)攻擊，并能夠自動將攻擊者放入網(wǎng)絡(luò)黑名單，從無線網(wǎng)絡(luò)中隔離開來。

2.5 無線接入的病毒檢查與防護(hù)的安全措施。無線管理系統(tǒng)針對無線終端的病毒防護(hù)分為兩個層面，一、無線終端的準(zhǔn)入檢查；二、對無線終端發(fā)出數(shù)據(jù)進(jìn)行有效的檢查和監(jiān)控。當(dāng)無線終端連接到無線管理系統(tǒng)中，試圖訪問網(wǎng)絡(luò)，在用戶認(rèn)證之后，首先通過從準(zhǔn)入控制系統(tǒng)下載的或預(yù)裝的準(zhǔn)入控制客戶端對無線終端的完整性進(jìn)行檢查，如操作系統(tǒng)打補(bǔ)丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級的情況等。如果無線終端不能通過該完整性檢查，可以設(shè)定策略禁止其訪問網(wǎng)絡(luò)，也可設(shè)置成將無線用戶重定向到一臺修復(fù)服務(wù)器，通過安裝系統(tǒng)補(bǔ)丁、防病毒軟件和升級病毒定義碼等操作對終端完整性進(jìn)行修復(fù)，直到滿足系統(tǒng)制定的安全策略以后，該無線終端才可以通過認(rèn)證而進(jìn)入網(wǎng)絡(luò)。

3 結(jié)論

無線網(wǎng)絡(luò)的產(chǎn)生之日起無線網(wǎng)絡(luò)安全的問題就如影隨形地伴隨著，隨著無線網(wǎng)絡(luò)技術(shù)不斷的提高和更新，無線網(wǎng)絡(luò)的安全技術(shù)和安全防范措施也在不斷的前進(jìn)和創(chuàng)新，希望上面的一些無線網(wǎng)絡(luò)的安全措施和理念能夠深入人心，事實(shí)上有線網(wǎng)絡(luò)安全又何嘗不是如此呢？恐怕是有過之而無不及。最關(guān)鍵是在于我們網(wǎng)絡(luò)管理者遠(yuǎn)見卓識的安全意識，才能在無線網(wǎng)絡(luò)安全競賽中里立于不敗之地。

參考文獻(xiàn)：

[1]任偉著.無線網(wǎng)絡(luò)安全[M].北京：電子工業(yè)出版社，2011.

[2]芮廷先等著.計算機(jī)網(wǎng)絡(luò)[M].北京：清華大學(xué)出版社，2009.

[3]楊哲著.無線網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)進(jìn)階[M].北京：電子工業(yè)出版社，2011.

[4]王暢，張?zhí)煳橹?計算機(jī)網(wǎng)絡(luò)技術(shù)[M].北京：清華大學(xué)出版社，2011.

[作者簡介]

宛鉞（1969.9.23-），男，沈陽市人，法國凡爾賽大學(xué)及巴黎第六大學(xué)，碩士研究生，高級工程師，研究方向：網(wǎng)絡(luò)工程及系統(tǒng)工程。