◆陸紫光

?

校園無線網(wǎng)絡(luò)的安全現(xiàn)狀及防護(hù)策略探究

◆陸紫光

（廣西大學(xué)計(jì)算機(jī)與電子信息學(xué)院 廣西 530004）

進(jìn)入二十一世紀(jì)，信息化是這個(gè)時(shí)代基本特征，隨著各大高校信息化建設(shè)的不斷推進(jìn)，無線網(wǎng)已經(jīng)成為了校園網(wǎng)解決方案中一個(gè)關(guān)鍵組成部分，但是校園網(wǎng)一旦受到一定的破壞，學(xué)校的機(jī)密信息也就可能會泄漏出去，這將直接造成學(xué)校的經(jīng)濟(jì)損失并給學(xué)生的人身安全帶來影響。本文對當(dāng)前校園無線網(wǎng)所面臨的安全威脅進(jìn)行了分析，并給出了幾種適用于校園無線網(wǎng)的安全解決方案。

校園網(wǎng)；無線網(wǎng)絡(luò)安全；數(shù)據(jù)加密

0 引言

得益于網(wǎng)絡(luò)通信技術(shù)的不斷進(jìn)步，無論是在工作、學(xué)習(xí)還是生活中，任何一處都少不了網(wǎng)絡(luò)的身影，我們對網(wǎng)絡(luò)接入點(diǎn)形式多樣化的要求也越來越高[1]。無線校園網(wǎng)的出現(xiàn)，使學(xué)生和老師的效率得到了大幅提升，但無線校園網(wǎng)在給學(xué)校的教學(xué)工作帶來諸多便捷的同時(shí)也存在諸多安全隱患[2]。為了保證校園工作的有序進(jìn)行，校園無線網(wǎng)絡(luò)的安全和穩(wěn)定就有著十分重要的意義[3]。除了易用性和可擴(kuò)展性之外，無線校園網(wǎng)的安全性也是我們在部署這類系統(tǒng)時(shí)所需要綜合考慮的問題。強(qiáng)化校園無線網(wǎng)絡(luò)安全管理[4]，這也是整個(gè)安全社區(qū)普遍關(guān)注的話題。

1 校園無線網(wǎng)絡(luò)安全概況

雖然目前無線網(wǎng)絡(luò)技術(shù)的成熟度能夠滿足現(xiàn)實(shí)生活中校園網(wǎng)絡(luò)環(huán)境下的特殊要求，但是無線網(wǎng)絡(luò)的無縫覆蓋、易擴(kuò)展性和靈活性也無法掩蓋不安全因素的存在[5]。校園無線網(wǎng)已經(jīng)不是一件新鮮的事情了，但是卻很少有人真正了解如何在無線網(wǎng)絡(luò)環(huán)境下保護(hù)自己的個(gè)人信息安全[6]。目前無線網(wǎng)絡(luò)身份驗(yàn)證中最基本的三種安全認(rèn)證機(jī)制有如下三種：

（1）基于MAC地址的認(rèn)證：基于MAC地址的認(rèn)證既不需要用戶安裝任何客戶端軟件，也不需要手動(dòng)輸入訪問密碼。每一個(gè)無線AP都可以根據(jù)MAC地址列表來限制用戶訪問該網(wǎng)絡(luò)。如果目標(biāo)用戶設(shè)備的MAC地址存在于這個(gè)MAC地址列表中，則該用戶就允許訪問該網(wǎng)絡(luò)。

（2）基于共享密鑰的認(rèn)證：基于共享密鑰的身份認(rèn)證要求訪問用戶進(jìn)行身份驗(yàn)證，用戶需要輸入正確的共享密鑰（密碼）才可使用網(wǎng)絡(luò)資源。

（3）IEEE802.1x認(rèn)證：802．1x協(xié)議需要根據(jù)用戶ID或設(shè)備信息來對網(wǎng)絡(luò)客戶端(或端口)進(jìn)行鑒權(quán)，這種雙層協(xié)議需要通過802.1x客戶端軟件來發(fā)起請求，并發(fā)起DHCP請求得到訪問IP以獲取對目標(biāo)無線網(wǎng)絡(luò)的訪問權(quán)限。

雖然上述這三種是無線網(wǎng)絡(luò)接入點(diǎn)最常用的身份認(rèn)證機(jī)制，但是現(xiàn)在很多校園無線網(wǎng)絡(luò)都沒有實(shí)現(xiàn)這些最基本的安全認(rèn)證措施。

2 常見安全風(fēng)險(xiǎn)分析

2.1 常見入侵方式

（1）非法連接

非法連接指的是攻擊者使用未經(jīng)授權(quán)的有線設(shè)備物理接入到交換機(jī)、路由器及無線AP端口上，或使用物理設(shè)備在沒有經(jīng)過身份驗(yàn)證的情況下進(jìn)入目標(biāo)網(wǎng)絡(luò)。由于攻擊者直接將非法設(shè)備連接到了現(xiàn)有的網(wǎng)絡(luò)節(jié)點(diǎn)或終端上，他們將能夠在不需要破解任何密鑰的情況下進(jìn)入校園網(wǎng)絡(luò)系統(tǒng)之中。

（2）非法入侵

非法入侵不需要進(jìn)行設(shè)備的物理連接，攻擊者只需要在校園無線網(wǎng)絡(luò)信號足夠強(qiáng)的地方使用帶有高功率天線的設(shè)備來重復(fù)探測無線網(wǎng)絡(luò)接入點(diǎn)的信號和信道，然后使用WiFi破解工具即可破解那些利用WEP和WPA加密的無線接入點(diǎn)的訪問密碼。

2.2 常見攻擊技術(shù)

（1）用戶非法訪問

由于任何人都可以在目標(biāo)無線網(wǎng)絡(luò)的覆蓋范圍內(nèi)搜索到WiFi信號，這種特性與有線網(wǎng)絡(luò)的管理和控制有著很大的區(qū)別。有線網(wǎng)絡(luò)只需要控制網(wǎng)絡(luò)端口的使用便能夠控制整個(gè)網(wǎng)絡(luò)的訪問情況，但無線網(wǎng)絡(luò)如果沒有設(shè)置登錄驗(yàn)證機(jī)制，就無法抵御攻擊者的非法訪問了。

（2）WEP加密協(xié)議破解

WEP加密協(xié)議只是一種最基礎(chǔ)的安全保密協(xié)議，但是低級的安全加密協(xié)議已經(jīng)無法完全保證用戶的數(shù)據(jù)安全了，而現(xiàn)在安全社區(qū)也已經(jīng)設(shè)計(jì)出了100%破解WEP加密的方法。根據(jù)研究表明，攻擊者可以在短短的五分鐘之內(nèi)成功破解長度為10位的WEP密碼。

（3）網(wǎng)絡(luò)偵聽

校園無線網(wǎng)絡(luò)中的數(shù)據(jù)傳輸主要依靠無線網(wǎng)通信信道來實(shí)現(xiàn)信息的接收和發(fā)送，所以攻擊者將能夠在校園無線網(wǎng)絡(luò)所覆蓋的任何一個(gè)區(qū)域使用帶有高增益天線的網(wǎng)絡(luò)監(jiān)聽設(shè)備來對目標(biāo)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行偵聽。在對捕獲到的數(shù)據(jù)包進(jìn)行深度分析之后，攻擊者便可以獲取到無線網(wǎng)絡(luò)數(shù)據(jù)包中的敏感信息。

（4）網(wǎng)絡(luò)欺騙攻擊

網(wǎng)絡(luò)欺騙攻擊主要有地址協(xié)議ARP攻擊和MAC地址欺騙。地址協(xié)議ARP攻擊指的是攻擊者通過偽造IP地址和MAC地址的方式實(shí)現(xiàn)ARP欺騙，然后在目標(biāo)網(wǎng)絡(luò)中生成大量ARP數(shù)據(jù)并導(dǎo)致目標(biāo)網(wǎng)絡(luò)發(fā)生擁塞或?qū)崿F(xiàn)中間人攻擊。而MAC地址欺騙指的是攻擊者在入侵了目標(biāo)無線網(wǎng)絡(luò)之后竊取到了網(wǎng)絡(luò)內(nèi)合法設(shè)備的MAC地址，然后利用這個(gè)竊取來的MAC地址來偽裝成合法用戶并使用校園無線網(wǎng)絡(luò)的資源。

3 校園無線網(wǎng)絡(luò)安全防御技術(shù)

3.1 用戶訪問權(quán)限控制

用戶訪問控制的核心思想就是通過安全策略和安全規(guī)則來防止非法用戶訪問目標(biāo)網(wǎng)絡(luò)，以防止校園無線網(wǎng)絡(luò)被非法連接或非法入侵。通過將MAC地址與IP地址綁定：將無線網(wǎng)絡(luò)用戶的IP地址與該用戶的無線網(wǎng)卡MAC地址進(jìn)行綁定，此時(shí)即使攻擊者能夠進(jìn)入目標(biāo)無線網(wǎng)絡(luò)，他們也無法訪問網(wǎng)絡(luò)中的資源。

3.2 無線加密技術(shù)

在數(shù)據(jù)傳輸?shù)倪^程中需要防止攻擊者通過中間人攻擊和網(wǎng)絡(luò)嗅探等手段竊取信息，而對傳輸數(shù)據(jù)實(shí)施有效的加密處理，可以提高數(shù)據(jù)的傳輸安全性。目前校園無線網(wǎng)絡(luò)環(huán)境下比較常用的加密機(jī)制有WPA2-PSK、TKIP和CCMP，管理員也可以采用3DES算法或者通過VPN來保障校園無線網(wǎng)絡(luò)的安全。

3.3 安全路由技術(shù)及硬件防火墻

采用了專門的芯片和加密方法的安全路由器設(shè)備可以有效地保障網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)耐暾浴３税踩酚芍?，硬件防火墻技術(shù)同樣是一種保護(hù)校園無線網(wǎng)絡(luò)安全的有效措施。在校園無線網(wǎng)的網(wǎng)絡(luò)邊際部署硬件防火墻來隔離和劃分內(nèi)外網(wǎng)，而且還可以根據(jù)需求來設(shè)置無線網(wǎng)絡(luò)的訪問策略，并根據(jù)預(yù)先設(shè)定的網(wǎng)絡(luò)安全過濾規(guī)則來對數(shù)據(jù)進(jìn)行過濾和清洗。

3.4 身份認(rèn)證技術(shù)

基于無線網(wǎng)絡(luò)的身份驗(yàn)證機(jī)制可以有效地防止未經(jīng)授權(quán)的用戶訪問，目前校園無線網(wǎng)絡(luò)環(huán)境下的身份驗(yàn)證機(jī)制主要有IEEE802.1x以及Portal認(rèn)證這兩種方式，IEEE802.1x的特點(diǎn)就是對網(wǎng)絡(luò)設(shè)備的整體性能要求不高，組網(wǎng)的成本也相對較低，但是在需要接入網(wǎng)絡(luò)的終端上必須安裝有客戶端認(rèn)證軟件。Portal認(rèn)證則需要涉及到服務(wù)器端的認(rèn)證，雖然Portal認(rèn)證不需要用戶安裝客戶端軟件，但是對于服務(wù)器的性能要求比較高，而且組網(wǎng)成本也相對較高。

4 結(jié)語

將無線網(wǎng)絡(luò)通信技術(shù)應(yīng)用到校園網(wǎng)中，不僅提升了校園工作的效率，而且從一定程度上也提升了我國無線網(wǎng)絡(luò)通信技術(shù)的水平。但是從現(xiàn)狀來看，無線網(wǎng)絡(luò)依舊存在很多問題，尤其是安全防御部分。校園無線網(wǎng)絡(luò)要實(shí)現(xiàn)其性能的正常發(fā)揮，就需要我們對其安全性的實(shí)現(xiàn)付諸努力。

[1]林奕水，鄔燕萍等.基于網(wǎng)絡(luò)環(huán)境下校園網(wǎng)絡(luò)安全問題的分析與對策探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014.

[2]程紅.如何遏制非法入侵校園無線網(wǎng)[J].電腦編程技巧與維護(hù)，2016.

[3]楊志強(qiáng).無線校園網(wǎng)安全分析與防御[J].科技展望，2016.

[4]邵全義，趙書田.構(gòu)建智慧校園WiFi無線網(wǎng)絡(luò)的安全方案[J].無線互聯(lián)科技，2017.

[5]DavidKotzKobbyEssien,etal.AnalysisofaCampus-wideWirelessNetwork[J].WirelessNetworks，2015.

[6]崔小冬.基于WiFi的無線校園網(wǎng)建設(shè)研究[D].江蘇:南京理工大學(xué)，2010.