趙曉飛 韓慧敏

·海關(guān)科技·

校園BYOD時代的Wi-Fi安全風(fēng)險探析

趙曉飛 韓慧敏*

隨著越來越多的校園師生開始擁有自己的無線上網(wǎng)設(shè)備，校園Wi－Fi成為廣大師生獲取信息的重要途徑。然而，大量自帶設(shè)備（BYOD）涌入校園也隨之給校園網(wǎng)絡(luò)安全帶來重大隱患。了解隱患的根源和出處是解決安全風(fēng)險問題的關(guān)鍵所在，本文將分別從四個方面對校園Wi－Fi環(huán)境下BYOD的到來給校園信息安全帶來的風(fēng)險進行詳細分析。通過分析安全風(fēng)險問題的出現(xiàn)環(huán)節(jié)和表現(xiàn)形式，找到解決問題的入手點和基本方法，最終為解決BYOD帶來的信息安全風(fēng)險提供參考。

信息安全管理；BYOD；安全風(fēng)險；解決方案

隨著無線網(wǎng)絡(luò)在各大學(xué)校園的不斷普及，Wi－Fi這個專業(yè)術(shù)語在大學(xué)校園里已經(jīng)不再是專業(yè)人員拿來炫耀的技術(shù)名詞，可以說無論是老師還是學(xué)生，幾乎所有的師生都知道Wi－Fi，而且都在使用著Wi－Fi。然而，BYOD這一名詞卻不為廣大師生所關(guān)注，而BYOD卻在潛移默化的影響著我們的網(wǎng)絡(luò)和工作。

一、校園BYOD時代的到來

BYOD（Bring Your Own Device），是指個人將自己的智能手機、平板電腦、筆記本電腦等移動智能設(shè)備帶到辦公場所，并將其用于處理工作和學(xué)習(xí)事務(wù)。為了隨時隨地的滿足辦公、學(xué)習(xí)的需求，幾乎所有的BYOD設(shè)備都支持Wi－Fi網(wǎng)絡(luò)，國際國內(nèi)也均由此引發(fā)出了一系列管理和安全上的討論，而BYOD所帶來的風(fēng)險也因此被認為是近幾年信息安全管理中風(fēng)險上升最快的短板之一。在BYOD迅猛的發(fā)展浪潮中，我國并不落后，甚至發(fā)展速度已經(jīng)超過某些西方發(fā)達國家，而中國的大學(xué)校園無疑是這個BYOD時代到來的主力軍之一。

一般來說，一所大學(xué)每年約有10，000個新學(xué)生到達校園，并且每個人都平均帶有3.5件個人電子設(shè)備，BYOD的規(guī)模在一所大學(xué)中就數(shù)目龐大。①廖煜嶸：《迎接移動化高校教育如何看待BYOD》，2013年9月10日，http://cio.it168.com/a2013/0909/1531/000001531395.shtml，2013年9月21日訪問。雖然大多數(shù)高校都為學(xué)生提供電腦或其他上網(wǎng)硬件設(shè)備，然而，當(dāng)智能手機、平板設(shè)備開始興起的今天，無論是老師還是學(xué)生都不約而同地將自己的設(shè)備帶進校園并且期望利用它們來方便自己的工作和學(xué)習(xí)。而大學(xué)作為一個自由開發(fā)的空間，又很少去控制這些外來移動終端的使用情況，如此這將可能會帶來重大的安全隱患。

二、不斷普及的校園Wi－Fi

隨著無線技術(shù)的快速發(fā)展和不斷成熟，設(shè)備價格越來越廉價，越來越多的老師和學(xué)生都擁有帶有Wi－Fi功能的筆記本電腦、平板電腦、手機等，廣大師生迫切希望能夠突破有線網(wǎng)絡(luò)節(jié)點的限制，能夠隨時隨地的辦公學(xué)習(xí)。根據(jù)Educause的研究顯示，有78%的學(xué)生認為Wi－Fi對于專業(yè)成績的提高有價值，而60%的學(xué)生表示不會考慮在不提供免費Wi－Fi的學(xué)校就讀。校園Wi－Fi已經(jīng)逐漸成為校園生活的重要組成部分，是廣大師生能夠隨時隨地獲取資源和信息的主要途徑之一，各高校也紛紛把校園Wi－Fi建設(shè)作為信息化建設(shè)的重要指標(biāo)和任務(wù)。在國際上，無線校園也已成為學(xué)校提高教育資源利用率，提升教學(xué)環(huán)境品質(zhì)，增加教育交流性和靈活性的一種重要方式。據(jù)統(tǒng)計，截止到2010年，全球建設(shè)了無線校園網(wǎng)的高校達1500所。在國內(nèi)，據(jù)教育部在2005年的一項調(diào)查顯示，到2005年止，在我國高校中建有校園無線網(wǎng)絡(luò)已有15.1%；同時，有36.2%的高校將計劃建設(shè)無線校園網(wǎng)，兩項數(shù)據(jù)合計達到了51.3%。截止2012年，國內(nèi)有200多所高校已在建或建成了自己的校園無線網(wǎng)。與此同時，移動、聯(lián)通、電信等公司為了搶占校園市場，也極盡所能的把各種熱點遍布整個校園，并提供各種免費或優(yōu)惠的網(wǎng)絡(luò)服務(wù)，Wi－Fi熱潮已在中國校園勢不可擋。

三、BYOD帶來的校園信息安全風(fēng)險及應(yīng)對

就在各高校無線網(wǎng)絡(luò)蓬勃發(fā)展的同時，Wi－Fi網(wǎng)絡(luò)也帶來了眾多不安全機制，導(dǎo)致校園信息安全風(fēng)險。尤其，當(dāng)絕大多數(shù)的外來BYOD設(shè)備使用Wi－Fi訪問網(wǎng)絡(luò)時，更容易被攻擊、欺騙和破解，存在較高的信息泄露風(fēng)險，甚至?xí)o校園整體網(wǎng)絡(luò)環(huán)境帶來重大影響。因此，分析、防范Wi－Fi網(wǎng)絡(luò)所帶來的安全風(fēng)險，對于全面解決BYOD風(fēng)險至關(guān)重要。具體說來，主要表現(xiàn)為以下幾種形式：

（一）Rogue AP層出不窮

Rogue AP被稱為非法AP或流氓AP，是指未經(jīng)管理員注冊，由師生個人私自接入到校園內(nèi)網(wǎng)的AP。而且，Rogue AP層出不窮，在學(xué)生的宿舍里、校內(nèi)賓館里、實驗室里、甚至是教室里無處不見。在Rogue AP信號覆蓋范圍內(nèi)，內(nèi)網(wǎng)被入侵的可能性大幅增加，傳統(tǒng)的防火墻等網(wǎng)絡(luò)安全設(shè)備對此毫無辦法，校園內(nèi)網(wǎng)在不經(jīng)意間已對外大門敞開（見圖1）。

圖1 Rogue AP

對于那些尚未來得及部署Wi－Fi網(wǎng)絡(luò)的區(qū)域，Rogue AP所帶來的網(wǎng)絡(luò)安全風(fēng)險從不間斷。老師為了方便辦公，在辦公室里私自部署AP，可能某位同學(xué)僅僅是為了使用自帶的手機、電腦或iPad，而把家用AP連接到網(wǎng)絡(luò)上，一個個Rogue AP就這樣出現(xiàn)了，加之校園環(huán)境下學(xué)生的活動性又非常大，Rogue AP顯得更加難以管理。一旦某個Rogue AP持續(xù)運行，就很可能帶來眾多災(zāi)難性后果。Rogue AP可能導(dǎo)致產(chǎn)生多個DHCP服務(wù)、造成環(huán)路從而引起的整網(wǎng)數(shù)據(jù)風(fēng)暴過載。更糟糕的是，即使設(shè)置了加密，也會被惡意者注意到，通常情況下，由于缺少集中認證、加密等安全策略，Rogue AP總是容易被破解，更何況有些Rogue AP是采用WEP加密甚至完全開放狀態(tài)，從而導(dǎo)致校園內(nèi)網(wǎng)病毒橫流，信息嚴重泄露等問題。無意架設(shè)的Rogue AP，管理員可以在定期的檢查中發(fā)現(xiàn)，但總有一部分人為了逃避檢查，采取各種辦法來隱藏自己，例如不對外廣播SSID、設(shè)置一個不常用的無線信道，甚至干脆遷移到5.8GHz頻段上。這些辦法有可能會逃過管理人員的眼睛，但是卻不一定能躲開黑客發(fā)起的攻擊，這些AP運行的時間越長，被入侵的概率也就越大。

針對這種情況，我們可以采用以下辦法加以防范：一是通過配置交換端口對廣播和流量進行限制，屏蔽大數(shù)據(jù)大流量降低數(shù)據(jù)風(fēng)暴風(fēng)險，配置端口隔離減少端口間的串?dāng)_。二是在接入層交換機上開啟DHCP－snooping功能，通過建立和維護DHCP－snooping綁定表過濾不可信任的DHCP信息。三是通過無線網(wǎng)絡(luò)控制器AC的屏蔽非法AP功能，直接將合法AP探測到的Rogue AP強制屏蔽。當(dāng)然校園Wi－Fi管理人員更要加強技術(shù)手段，充分運用各種工具進行定期清查。

（二）非法Wi－Fi外聯(lián)防不勝防

BYOD時代，越來越多的移動終端內(nèi)置了Wi－Fi網(wǎng)絡(luò)，即便在內(nèi)部實行了嚴格的互聯(lián)網(wǎng)訪問策略，命令禁止使用外部Wi－Fi網(wǎng)絡(luò)，但只要所在區(qū)域附近存在著免費熱點，任何人就有可能使用自己的終端進行Wi－Fi連接，尤其是當(dāng)前移動（CMCC）、聯(lián)通（CUCC）和電信（ChinaNet）等熱點彌散在校園的各個角落，這樣的鏈接常常是在無意識的狀態(tài)下就進行了。假如一臺終端在鏈接外來熱點的同時又不時地聯(lián)入校園內(nèi)網(wǎng)，那么這些終端就像一個不受控制的“網(wǎng)閘”，可能經(jīng)常在隔離的內(nèi)網(wǎng)與外聯(lián)的外網(wǎng)之間來回切換，則終端內(nèi)的秘密信息就有被竊取的可能，校園內(nèi)網(wǎng)感染病毒、木馬的風(fēng)險也隨之提高（見圖2）。

圖2 非法Wi－Fi外聯(lián)

非法Wi－Fi外聯(lián)行為較為隱蔽，很多時候有可能是個人無意識的行為，可謂防不勝防，非常難以排除。原因在于提供Wi－Fi連接的外部AP并不在學(xué)校內(nèi)網(wǎng)，公共的Wi－Fi資源不在學(xué)校網(wǎng)絡(luò)管理人員可控范圍內(nèi)。針對這種情況，一方面應(yīng)從管理上入手，告知廣大師生其中的危害，讓每個人都引起重視，確保在使用自己的BYOD設(shè)備時，合理接入網(wǎng)絡(luò)進行使用，管好自己的終端。另一方面，從技術(shù)手段入手解決，比較極端的做法是，通過房屋的電磁屏蔽來防止外來電磁波的播散，當(dāng)然這種做法只適用于機密程度要求較高的網(wǎng)絡(luò)環(huán)境。我們還可以通過強大的訪問控制和合理的設(shè)備部署來減少無線外聯(lián)的風(fēng)險。例如可以將合法AP安放在像防火墻或防病毒網(wǎng)關(guān)之類的設(shè)備之外。再例如還可以考慮利用VPN技術(shù)將AP連接到主干網(wǎng)。這樣我們就在AP和校園內(nèi)網(wǎng)建立起一道安全防線，一定程度上確保了內(nèi)網(wǎng)的安全，然而終端上已從內(nèi)網(wǎng)下載獲得的資源仍然有可能在鏈接外來Wi－Fi時泄露。

（三）惡意的釣魚AP

通常來說，一臺打開了Wi－Fi功能的終端，會定期掃描周圍的網(wǎng)絡(luò)情況，而且自動記住曾經(jīng)連接過的Wi－Fi，一旦周圍出現(xiàn)了曾經(jīng)連接過的Wi－Fi，終端便會自動發(fā)起連接。一般而言，為了保證Wi－Fi信號的強度，終端設(shè)備會不斷探測周邊的AP，判斷AP信號強度并根據(jù)信號強度自動在網(wǎng)絡(luò)里的眾多AP之間漫游。此時，如果出現(xiàn)一個惡意AP，它通過攻擊合法AP進而偽裝成合法AP廣播同樣SSID信號，作為使用者通常是難以分辨的，一旦釣魚AP信號強度超過其他AP，或合法AP的工作被干擾或被發(fā)起無線DoS攻擊，終端就會毫不猶豫地聯(lián)接到這個釣魚AP上來。此時，移動終端的數(shù)據(jù)流量都會流經(jīng)釣魚AP，此AP在通過橋接功能將移動終端的流量再轉(zhuǎn)發(fā)至Internet，因此移動終端仍可以繼續(xù)上網(wǎng)，但此時，黑客可輕而易舉的使用嗅探工具捕獲流量，所有流量已經(jīng)被別人盡收眼底了。如果使用中間人攻擊工具，甚至可以截獲采用了SSL加密的郵箱信息，更進一步，由于黑客的攻擊系統(tǒng)與被釣魚的終端建立了連接，黑客可以尋找可利用的系統(tǒng)漏洞，并截獲終端的DNS/URL請求，注入攻擊代碼，并向用戶終端植入木馬，達到最終控制用戶終端的目的。此時，那些存儲在終端上的資料已經(jīng)是黑客囊中之物了。

由此可見，無線釣魚AP確實是BYOD的一大威脅，BYOD中的隱私很可能會隨風(fēng)飛走，被人窺視。因此做好無線釣魚攻擊的防范尤為重要。對此問題，我們需要從無線網(wǎng)絡(luò)的部署、無線終端的使用等環(huán)節(jié)全面考慮安全性配置，最大程度降低信息泄露風(fēng)險。在部署方面，需要統(tǒng)籌考慮全局，從有線到無線、從AC到AP，從AP到終端，每一個過程都需要合理規(guī)劃、仔細考量。在有線與無線網(wǎng)絡(luò)之間建立起非法無線設(shè)備的監(jiān)控、定位、警告機制，并通過無線控制器統(tǒng)一部署有線無線安全策略，還可以采用部署WLAN IDS/IPS（無線入侵檢測系統(tǒng)或無線入侵防御系統(tǒng)）或其他類似設(shè)備定期進行無線安全檢測，消除可能存在的釣魚AP和其他無線風(fēng)險（見圖3）。在終端使用上，要加強客戶端安全認證，可以充分運用802.1x/PSK/MAC/Portal等多種認證方式的混合接入，并可進一步升級支持WAPI（Wireless LAN Authentication and Privacy Infrastructure）。還可以通過架設(shè)專用的VPN通道進行加密認證。如果經(jīng)費允許，甚至可以購買無線網(wǎng)絡(luò)安全交換機，這種基于硬件的交換機可以將原來AP中存放的IP地址、密碼、安全認證、ACL、QoS等集成到交換機中通過硬件實現(xiàn)，在一定程度上解決無線安全問題。

圖3 防釣魚AP全局部署

（四）Wi－Fi中的“欺騙”、“攔截”與“綁架”

“欺騙”是指黑客或攜帶了黑客軟件的設(shè)備將偽造的信息發(fā)送給計算機的行為，由于802.11無線局域網(wǎng)對數(shù)據(jù)幀不進行認證操作，入侵者可以使用欺騙幀的方式重新定向數(shù)據(jù)流，并通過對ARP表的分析獲得網(wǎng)絡(luò)中站點的MAC地址，得到了MAC就相當(dāng)于找到了門牌號，進門拿東西就方便多了。

再有，通過AP上網(wǎng)的終端一定會監(jiān)測到AP發(fā)出的廣播幀發(fā)現(xiàn)AP的存在，然而裝有惡意攔截工具的終端能很容易對廣播幀進行“攔截”并進一步分析，進而裝扮成一個合法的AP，通過這樣的AP，攻擊者可以進一步獲取認證身份信息從而進入網(wǎng)絡(luò)。在沒有采用802.11對每一個802.11 MAC幀進行認證的技術(shù)前，通過會話攔截實現(xiàn)的網(wǎng)絡(luò)入侵是無法避免的。

“綁架”，這里的綁架是指對無線信息的綁架，由于在AP的覆蓋區(qū)域內(nèi)，Wi－Fi信號是無處不在的，使得Wi－Fi流量被“綁架”的風(fēng)險遠遠高于有線網(wǎng)絡(luò)。被黑客安裝了嗅探軟件的終端可以在不被察覺的情況下綁架網(wǎng)絡(luò)傳輸?shù)娜繑?shù)據(jù)，從而捕獲賬號和口令、專用的或機密的信息，甚至可以用來獲取更高級別的訪問權(quán)限、分析網(wǎng)絡(luò)結(jié)構(gòu)進行網(wǎng)絡(luò)滲透等。Wi－Fi信道的開放性給網(wǎng)絡(luò)嗅探帶來了極大的方便，在Wi－Fi環(huán)境中網(wǎng)絡(luò)嗅探對信息安全的威脅來自其被動性和非干擾性，運行監(jiān)聽程序的終端在竊聽的過程中只是被動的接收網(wǎng)絡(luò)中傳輸?shù)男畔?，它不會跟其它的主機交換信息，也不修改在網(wǎng)絡(luò)中傳輸?shù)男畔?，使得網(wǎng)絡(luò)嗅探具有很強的隱蔽性，往往讓網(wǎng)絡(luò)信息泄密變得不知不覺（見圖4）。

圖4 Wi－Fi中的“欺騙”、“攔截”與“綁架”

“欺騙”、“攔截”與“綁架”嚴重地威脅著無線網(wǎng)絡(luò)安全，對于學(xué)校提供的無線網(wǎng)絡(luò)設(shè)備，管理人員通過定期的檢查保證終端的“純凈”。但對于老師學(xué)生的BYOD就有可能攜帶了眾多的黑客軟件，尤其是學(xué)生的好奇心比較強，容易在自己的設(shè)備上感染各種病毒軟件，各種風(fēng)險出現(xiàn)的概率隨之明顯增加。雖然三種信息泄密方式均不宜被察覺，但并非沒有防范方法。歸納其三者的共性還是無線信號的外泄造成，然而Wi－Fi網(wǎng)絡(luò)的特性又決定著信息的擴散不可避免。因此，使用加密協(xié)議就非常有必要了，唯有加強外泄信息的保密性才能有效截止各種安全威脅的產(chǎn)生，如果加密方式不夠強壯，數(shù)據(jù)流量依然有被破解還原的可能，像傳統(tǒng)的僅用wep加密的方式是遠遠不夠了，需要進一步采用像SSH、SSL、IPSEC等這樣的加密技術(shù)，即使信息外泄也能保證信息不被破解，從而有效地保障Wi－Fi數(shù)據(jù)安全。

四、結(jié)束語

本文僅總結(jié)了BYOD設(shè)備在校園Wi－Fi環(huán)境下所可能出現(xiàn)的部分信息安全風(fēng)險情況，在日益復(fù)雜的校園無線網(wǎng)絡(luò)環(huán)境中，潛藏的危機也會隨著技術(shù)的進步、外來設(shè)備的增多而越來越多，越來越棘手。我們唯有認真借鑒和分析現(xiàn)有的經(jīng)驗和教訓(xùn)，并結(jié)合各校無線網(wǎng)絡(luò)接入情況，充分運用各種技術(shù)、資源來盡力維護一個安全的校園無線網(wǎng)絡(luò)環(huán)境。同時，更需要使用校園無線網(wǎng)絡(luò)的每一位師生都參與到安全防護中來，管理好自帶的設(shè)備，并按照規(guī)定合理合規(guī)的接入校園Wi－Fi，我們的校園無線才會更加安全，我們才能更好地享受校園Wi－Fi給廣大師生帶來的便捷。

〔1〕張巖.校園WIFI無線網(wǎng)絡(luò)安全防護〔J〕.電子制作，2012（10）.

〔2〕楊敬民，林偉俊.基于BYOD的移動辦公及其解決方案研究〔J〕.科技傳播，2013（14）.

〔3〕韓韋.WIFI及其安全性研究〔J〕.無線互聯(lián)科技，2013（1）.

（責(zé)任編輯 趙世璐）

趙曉飛，上海海關(guān)學(xué)院科技處；韓慧敏，華東師范大學(xué)。