韓玖廷

摘要：近年來(lái)，隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，我國(guó)高校的無(wú)線網(wǎng)安全問(wèn)題也開(kāi)始被重視，對(duì)安全防護(hù)技術(shù)的要求也在不斷地提高。本文首先對(duì)無(wú)線網(wǎng)進(jìn)行簡(jiǎn)要的分析，重點(diǎn)介紹了現(xiàn)在高校無(wú)線網(wǎng)存在的安全問(wèn)題以及防護(hù)技術(shù)方法。

關(guān)鍵詞：高校無(wú)線網(wǎng)；網(wǎng)絡(luò)安全；安全防護(hù)技術(shù)

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）08-0041-02

網(wǎng)絡(luò)技術(shù)的發(fā)展，為高校的教學(xué)帶來(lái)了很多的便利，但是無(wú)線網(wǎng)安全問(wèn)題一直都在困擾著各大高校。目前，互聯(lián)網(wǎng)中擁有十分多的病毒、黑客，威脅著高校無(wú)線網(wǎng)的正常運(yùn)行。因?yàn)楹芏喔咝６加兄种匾目蒲谐晒徒虒W(xué)內(nèi)容等資料，所以必須保證網(wǎng)絡(luò)的安全。高校教師和學(xué)生必須充分的了解無(wú)線網(wǎng)中的安全隱患，結(jié)合自身的特點(diǎn)，建立更加有效的防護(hù)措施，保證擁有一個(gè)安全的網(wǎng)絡(luò)環(huán)境。

1無(wú)線網(wǎng)通訊協(xié)議和安全措施

1.1通訊協(xié)議

無(wú)線網(wǎng)絡(luò)是現(xiàn)在十分流行的一種網(wǎng)絡(luò)形式，也是人們應(yīng)用網(wǎng)絡(luò)時(shí)的重要部分，其通訊協(xié)議主要包括四個(gè)方面。第一，就是802.11b協(xié)議，這種通訊協(xié)議的價(jià)格相對(duì)比較便宜，而且具有較高的開(kāi)放性，點(diǎn)對(duì)點(diǎn)和基本結(jié)構(gòu)這兩種工作模式都可以起到支持的作用；第二，就是802.11g協(xié)議，這種協(xié)議的傳輸速度比較快，最高甚至可以達(dá)到54M的傳輸速率。而且隨著科技的發(fā)展，現(xiàn)有的加強(qiáng)型的802.11g產(chǎn)品已經(jīng)逐漸地達(dá)到無(wú)線百兆的時(shí)代，而且可以對(duì)802.11b協(xié)議實(shí)現(xiàn)兼容；第三，藍(lán)牙傳輸。藍(lán)牙主要是在筆記本電腦中進(jìn)行應(yīng)用，而且現(xiàn)在很多的無(wú)線網(wǎng)絡(luò)產(chǎn)品都可以使用藍(lán)牙，十分便利；第四，WEP協(xié)議。這種協(xié)議是一種安全協(xié)議，主要就是為了保證802.11b協(xié)議更好的傳輸數(shù)據(jù)，保證數(shù)據(jù)的安全傳輸。在數(shù)據(jù)的傳輸過(guò)程中，WEP協(xié)議會(huì)對(duì)數(shù)據(jù)進(jìn)行加密，保證在無(wú)線網(wǎng)中數(shù)據(jù)傳輸?shù)陌踩浴?/p>

1.2安全措施

對(duì)于無(wú)線網(wǎng)絡(luò)，最主要的威脅就是外界可以截獲或者修改傳輸中的數(shù)據(jù)。如果有外界人員對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，隨意的訪問(wèn)網(wǎng)絡(luò)，就可以通過(guò)插入惡意計(jì)算機(jī)的方法來(lái)截獲甚至私自篡改客戶端的通信內(nèi)容。所以，無(wú)線網(wǎng)絡(luò)覆蓋范圍內(nèi)的安全問(wèn)題一直都是無(wú)線網(wǎng)發(fā)展過(guò)程中最關(guān)心的問(wèn)題之一，因?yàn)闊o(wú)線網(wǎng)絡(luò)的覆蓋范圍比較廣，在這個(gè)區(qū)域內(nèi)，很可能就會(huì)有一些非法的分子接入到網(wǎng)絡(luò)當(dāng)中?，F(xiàn)在的無(wú)線網(wǎng)絡(luò)通常都會(huì)進(jìn)行安全防護(hù)，都在一定程度上具有了安全措施。常見(jiàn)的有MAC地址訪問(wèn)的限制、數(shù)據(jù)傳輸過(guò)程的加密等方法。對(duì)AP端的MAC地址訪問(wèn)設(shè)置權(quán)限，可以拒絕沒(méi)有經(jīng)過(guò)登記許可的外來(lái)無(wú)線客戶端連接到無(wú)線網(wǎng)絡(luò)中。另外，就是通過(guò)數(shù)據(jù)加密的方法，保證傳輸過(guò)程中信息的安全。最后，就是無(wú)線設(shè)備自身也會(huì)擁有一些安全的防護(hù)技術(shù)和措施。

2現(xiàn)代高校無(wú)線網(wǎng)絡(luò)存在的安全問(wèn)題

在現(xiàn)實(shí)生活中，很多無(wú)線網(wǎng)絡(luò)設(shè)備的成本都比有線網(wǎng)絡(luò)設(shè)備的成本要低，通過(guò)兩者之間的比較發(fā)現(xiàn)，在網(wǎng)絡(luò)的建設(shè)成本、應(yīng)用交換機(jī)的數(shù)量以及網(wǎng)絡(luò)的建設(shè)和維護(hù)等方面上，無(wú)線網(wǎng)絡(luò)都有很大的優(yōu)勢(shì)，所以，無(wú)線網(wǎng)絡(luò)也深受高校的喜愛(ài)，應(yīng)用范圍十分廣泛。但是，高校中的無(wú)線局域網(wǎng)絡(luò)具有明顯開(kāi)放的傳播介質(zhì)，也進(jìn)一步地導(dǎo)致了數(shù)據(jù)在無(wú)線傳輸過(guò)程中有十分突出的開(kāi)放性。同時(shí)空間內(nèi)的輻射傳播也使得數(shù)據(jù)傳輸具有很低的安全指數(shù)，使得數(shù)據(jù)被非法截獲的可能性大大增加，造成很多惡意網(wǎng)站或者網(wǎng)絡(luò)非法接人的情況不斷增加?，F(xiàn)在，網(wǎng)絡(luò)上存在著大量的非法攻擊軟件，比如BTT3、BTF4、WEP等，被廣泛的宣傳和使用，市面上也存在著各種各樣的蹭網(wǎng)卡和軟件，下載十分便利，這些都極大地增加了用戶應(yīng)用網(wǎng)絡(luò)時(shí)的風(fēng)險(xiǎn)。

2.1非法網(wǎng)絡(luò)入侵

高校在應(yīng)用無(wú)線網(wǎng)絡(luò)的時(shí)候，一般都會(huì)有很多的軟硬件共享管理，里面會(huì)保存著大量的數(shù)據(jù)信息，有些甚至是十分重要的信息。而非法入侵者在侵入進(jìn)網(wǎng)絡(luò)之后，就可以通過(guò)使用無(wú)線網(wǎng)絡(luò)的連接，從而獲取到這些信息，可以免費(fèi)的使用軟硬件共享管理中的信息，更嚴(yán)重的甚至可以直接修改其中的信息，這樣就會(huì)為高校帶來(lái)巨大的損失。另外，通過(guò)非法的方式接入到無(wú)線網(wǎng)絡(luò)中，還可以獲取所有無(wú)線網(wǎng)絡(luò)使用人員的個(gè)人信息，包括用戶的一些秘密信息，會(huì)增加網(wǎng)絡(luò)合法使用者的風(fēng)險(xiǎn)。

2.2網(wǎng)絡(luò)攻擊嚴(yán)重

非法分子通過(guò)一系列的非法軟件登錄到無(wú)線網(wǎng)絡(luò)之后，可以進(jìn)入到合法使用的界面中，這樣就可以攻擊合法使用的網(wǎng)絡(luò)用戶。現(xiàn)在十分常見(jiàn)的有ARP網(wǎng)絡(luò)詐騙、DOS入網(wǎng)認(rèn)證攻擊等非法手段。這些非法的行為會(huì)造成合法的網(wǎng)絡(luò)用戶上網(wǎng)變得困難，或者是造成合法用戶沒(méi)有辦法連接到無(wú)線網(wǎng)絡(luò)當(dāng)中。同時(shí)非法分子在使用網(wǎng)絡(luò)的時(shí)候，還可以在無(wú)線網(wǎng)絡(luò)上竊取他人的信息。另外，無(wú)線網(wǎng)絡(luò)的入侵者還可以使用無(wú)線網(wǎng)絡(luò)對(duì)合法用戶進(jìn)行攻擊，比如發(fā)送木馬、傳輸各種網(wǎng)絡(luò)病毒等，甚至?xí){到整個(gè)無(wú)線網(wǎng)絡(luò)的安全使用。

2.3技術(shù)安全問(wèn)題

第一，就是SSID安全問(wèn)題。為了更好地滿足所有客戶的上網(wǎng)需求，在進(jìn)行配置時(shí)需要搭建不相同的SSID的無(wú)線網(wǎng)絡(luò)，同時(shí)，要保證不同的SSID之間有嚴(yán)格的安全距離，否則會(huì)導(dǎo)致用戶在接入進(jìn)無(wú)線網(wǎng)時(shí)出現(xiàn)信號(hào)跳變的問(wèn)題；第二，VLAN問(wèn)題。VLAN安全可以簡(jiǎn)單地分為設(shè)備安全和用戶安全。設(shè)備安全指的就是AC和AP之間進(jìn)行的通信，如果兩者之間的VLAN劃分不嚴(yán)格，那么就會(huì)容易受到ARP的攻擊，然后AC端就會(huì)向AP端轉(zhuǎn)發(fā)一些沒(méi)有用處的數(shù)據(jù)，最后會(huì)形成網(wǎng)絡(luò)擁堵，甚至?xí)?dǎo)致所有網(wǎng)絡(luò)出現(xiàn)癱瘓的情況。另外，用戶安全指的就是在相同SSID下，大部分的用戶都需要在一個(gè)VLAN內(nèi)，內(nèi)部的用戶可以進(jìn)行通信。如果Portal認(rèn)證頁(yè)面向用戶推送的URL沒(méi)有進(jìn)行翻譯，那么攻擊者可以使用ARP嗅探的方法，然后修改IP從而獲得上網(wǎng)的權(quán)限，最后可能會(huì)侵犯用戶的合法權(quán)益；第三，DHCP地址池耗盡。當(dāng)用戶接入到無(wú)線網(wǎng)之后，第一件事就是請(qǐng)求分配一個(gè)IP地址，然后AC作為DHCP的服務(wù)器在接收到請(qǐng)求之后會(huì)為用戶分配一個(gè)合適的IP。但是如果無(wú)線網(wǎng)使用Portal的方法，用戶只能接人到開(kāi)放網(wǎng)絡(luò)當(dāng)中卻沒(méi)有辦法認(rèn)證，這樣一來(lái)會(huì)占用到IP；第四，DNS安全問(wèn)題。為了更好的增強(qiáng)解析的效率，滿足內(nèi)網(wǎng)IP解析的需求，很多的高校都會(huì)在內(nèi)部設(shè)置一個(gè)DNS。在實(shí)際的應(yīng)用過(guò)程中，無(wú)線網(wǎng)和有線網(wǎng)一般會(huì)使用一個(gè)DNS，如果DNS的設(shè)置不夠嚴(yán)格，非法分子就會(huì)利用其中的漏洞，從而獲得DNS的控制權(quán)利，然后就可以隨意的入侵無(wú)線網(wǎng)以及有線網(wǎng)中其他的設(shè)備。同時(shí)，DNS的安全問(wèn)題還體現(xiàn)在DNS隧道當(dāng)中。攻擊者可以使用一些代理工具，將別的協(xié)議產(chǎn)生的訪問(wèn)流量裝在DNS的流量當(dāng)中，這樣就可以繞過(guò)身份認(rèn)證，可以達(dá)到免費(fèi)上網(wǎng)的目的，甚至可以進(jìn)行遠(yuǎn)程控制；第五，設(shè)備漏洞。部分無(wú)線網(wǎng)絡(luò)可能自身就存在一些漏洞，攻擊者可以利用這種漏洞操作網(wǎng)絡(luò)。比如有些設(shè)備廠家發(fā)布的AC軟件本身就存在漏洞，十分容易就會(huì)被非法分子利用。

2.4網(wǎng)絡(luò)監(jiān)聽(tīng)

無(wú)線網(wǎng)絡(luò)本身就有十分強(qiáng)的開(kāi)放性，用戶的訪問(wèn)都是開(kāi)放的，所以很多的無(wú)線網(wǎng)絡(luò)通信數(shù)據(jù)表現(xiàn)出來(lái)的都是非加密的模式，這就為攻擊者提供了很大的便利，能夠監(jiān)聽(tīng)和讀取通信數(shù)據(jù)。對(duì)于網(wǎng)絡(luò)入侵者來(lái)說(shuō)，不需要使用竊聽(tīng)或者分析設(shè)備就可以接入網(wǎng)絡(luò)當(dāng)中，就可以進(jìn)人信號(hào)的覆蓋區(qū)域之內(nèi)，可以隨意的開(kāi)展惡意修改等活動(dòng)。

2.5地址欺騙和拒絕服務(wù)

很多非法用戶的技術(shù)手段比較高，可能使用偵聽(tīng)或者偵察的方式，從而竊取合法用戶的MAC地址或者IP地址的相應(yīng)信息。獲得信息之后，就可以進(jìn)行會(huì)話攔截、網(wǎng)絡(luò)詐騙和攻擊等。另外，就是拒絕服務(wù)。這是無(wú)線網(wǎng)絡(luò)中最嚴(yán)重的一個(gè)方式，一般可以分為兩種情況。一種是攻擊者使用泛洪式的方法攻擊AP，使得AP拒絕服務(wù)，讓合法用戶沒(méi)有辦法接入到網(wǎng)絡(luò)當(dāng)中。這種情況也是相對(duì)更為嚴(yán)重的一種問(wèn)題。另外一種就是攻擊者攻擊其中的一個(gè)節(jié)點(diǎn)，讓其一直提供服務(wù)，或者是轉(zhuǎn)發(fā)數(shù)據(jù)包，最終可能會(huì)導(dǎo)致資源耗盡而沒(méi)有辦法繼續(xù)工作。

3現(xiàn)代高校無(wú)線網(wǎng)安全問(wèn)題的原因

3.1高校管理意識(shí)不足

造成高校無(wú)線網(wǎng)絡(luò)安全問(wèn)題的原因有很多，其中最主要的還是學(xué)校的相關(guān)管理者對(duì)無(wú)線網(wǎng)絡(luò)安全的認(rèn)識(shí)不充分，不重視無(wú)線網(wǎng)絡(luò)的安全問(wèn)題。特別是在一些相對(duì)比較小的高校中，這些學(xué)校的網(wǎng)絡(luò)管理人員、資源的配備等相對(duì)都比較弱，有的高校甚至連最基礎(chǔ)的安全認(rèn)證都沒(méi)有，比如MAC地址過(guò)濾、登錄鑰匙等一些基本的認(rèn)證設(shè)置。而有的雖然是設(shè)置了，但是密匙的設(shè)置過(guò)于簡(jiǎn)單，很容易就可以破解，而且也沒(méi)有及時(shí)的更換密匙。像一些高級(jí)的、比較難的認(rèn)證方法更是十分少見(jiàn)，很少有相應(yīng)的設(shè)置。在這樣的情況下，會(huì)使無(wú)線校園網(wǎng)絡(luò)出現(xiàn)非法登錄、非法入侵等問(wèn)題。

3.2校園網(wǎng)的規(guī)劃不合理

在高校無(wú)線網(wǎng)的建設(shè)過(guò)程中，很多管理部門(mén)都過(guò)于重視成本和速度，片面的節(jié)約成本、追求工程的進(jìn)度，使得無(wú)線網(wǎng)絡(luò)的規(guī)劃變得十分單一。很多高校的無(wú)線網(wǎng)絡(luò)規(guī)劃模式都是相同的，都非常的簡(jiǎn)單，并且子網(wǎng)、VLAN的劃分、鏈路的備份等都是十分簡(jiǎn)單的。這種簡(jiǎn)單網(wǎng)絡(luò)架構(gòu)一般只能在二層鏈路上進(jìn)行應(yīng)用，但是如果應(yīng)用在三層網(wǎng)絡(luò)上，就會(huì)容易缺乏容錯(cuò)和備份的機(jī)制。如果出現(xiàn)鏈路掉下的情況，就會(huì)出現(xiàn)斷網(wǎng)、停網(wǎng)的問(wèn)題，為校園無(wú)線網(wǎng)的正常使用帶來(lái)不利的影響。

4現(xiàn)代高校無(wú)線網(wǎng)的安全防護(hù)技術(shù)方法

4.1對(duì)接入用戶進(jìn)行認(rèn)證

第一，Web認(rèn)證，這種方法首先是為用戶分配一個(gè)具體的地址，當(dāng)用戶打開(kāi)瀏覽器準(zhǔn)備進(jìn)人網(wǎng)站的時(shí)候，認(rèn)證系統(tǒng)就會(huì)自動(dòng)彈出一個(gè)界面，只有輸入正確的名稱和密碼之后，才能觸發(fā)客戶端，然后再一次發(fā)出請(qǐng)求，這個(gè)時(shí)候就可以獲得訪問(wèn)外網(wǎng)的地址。而當(dāng)用戶下線的時(shí)候，可以直接利用客戶端發(fā)送離線的請(qǐng)求。針對(duì)Web認(rèn)證方法，不需要使用特殊的客戶端。就可以減小網(wǎng)絡(luò)維護(hù)的工作量?？墒侨绻幱诰W(wǎng)絡(luò)七層協(xié)議的時(shí)候，會(huì)對(duì)設(shè)備有很高的要求，而且用戶的連接線比較差，離線時(shí)很難檢測(cè)到，所以在訪問(wèn)網(wǎng)絡(luò)前，一定要進(jìn)行Web的認(rèn)證；第二，802.1x認(rèn)證，這個(gè)認(rèn)證方式主要根據(jù)用戶的賬號(hào)以及設(shè)備，對(duì)客戶的權(quán)限進(jìn)行監(jiān)督，但只是適合接入網(wǎng)絡(luò)設(shè)備或者接入端口之間的每一個(gè)點(diǎn)的連接。通常校園網(wǎng)的端口主要都是用戶設(shè)備的MAC地址，只有將這個(gè)地址激活，才能完成認(rèn)證。另外，想要應(yīng)用這種方法，必須要使用認(rèn)證服務(wù)器、客戶端以及交換機(jī)，只有三者都有才能成功認(rèn)證并且授權(quán)；第三，MAC地址認(rèn)證。這種認(rèn)證方法是以MAC地址和端口為基礎(chǔ)，從而控制網(wǎng)絡(luò)訪問(wèn)權(quán)限的最有效的方法。這種方法有許多優(yōu)點(diǎn)，比如配置命令相對(duì)比較簡(jiǎn)單、不需要設(shè)置客戶端等，十分適合學(xué)校里的中小型網(wǎng)絡(luò)。其中，必要的組件包括服務(wù)器、可以認(rèn)證MAC地址的交換機(jī)、Radiu等，如果交換機(jī)不能提供一個(gè)合適的MAC地址，就只有通過(guò)使用服務(wù)器和Radiu進(jìn)行驗(yàn)證；第四，就是分類認(rèn)證的方法。對(duì)于高校的無(wú)線網(wǎng)來(lái)說(shuō)，主要就是包括校內(nèi)的用戶和校外的來(lái)訪用戶。校內(nèi)用戶主要指的就是學(xué)校的師生，他們擁有的科研成果以及相關(guān)的資料、個(gè)人信息等都需要很高的安全性，所以可以使用802.1x這種方法來(lái)完成認(rèn)證。而來(lái)訪用戶就主要包括培訓(xùn)群體、來(lái)校參觀和交流的群體等，對(duì)安全性沒(méi)有較高的要求，就可以使用一些簡(jiǎn)單的認(rèn)證方式。

4.2加密技術(shù)

加密技術(shù)主要可以分為兩種，一種是WPA加密技術(shù)，另外一種就是WEP加密技術(shù)。WPA加密技術(shù)可以彌補(bǔ)WEP技術(shù)的缺點(diǎn)，使用TKIP算法可以再次獲得一個(gè)密碼，與WEP加密技術(shù)相比安全性更高。但是通過(guò)WPA加密技術(shù)得到的數(shù)據(jù)包依舊可能被破解，所以就出現(xiàn)了WPA2。對(duì)于現(xiàn)代高校中的無(wú)線網(wǎng)，可以使用WPA2或者WPA進(jìn)行加密，同時(shí)為了更好的防止非法入侵者使用暴力的手段破解密匙，需要定期地對(duì)密匙進(jìn)行更換。而WEP加密技術(shù)是屬于802.11b標(biāo)準(zhǔn)里的一種協(xié)議，可以對(duì)無(wú)線網(wǎng)的流量進(jìn)行加密。因?yàn)闊o(wú)線網(wǎng)不需要進(jìn)行物理上的連接，現(xiàn)在的WEP很快就能夠被攻破，所以可以使用支持128位的WEP，而且不能夠直接使用生產(chǎn)廠家提供的密匙，必須及時(shí)地進(jìn)行修改。

4.3入侵檢測(cè)技術(shù)

這種技術(shù)可以非常及時(shí)地對(duì)數(shù)據(jù)進(jìn)行采集、傳輸以及處理，而且可以控制網(wǎng)絡(luò)，找出網(wǎng)絡(luò)當(dāng)中的問(wèn)題，保證高校無(wú)線網(wǎng)絡(luò)一直都能夠處在一種安全的狀態(tài)，防止非法分子的入侵或者數(shù)據(jù)被盜取的情況發(fā)生?，F(xiàn)代的黑客追蹤技術(shù)能夠讓受害主機(jī)的管理者獲得發(fā)動(dòng)惡意攻擊的源頭，然后讓網(wǎng)絡(luò)十分快速地恢復(fù)到原來(lái)的功能，同時(shí)可以阻止再次攻擊行為的發(fā)生，有些時(shí)候甚至可以直接找到攻擊者的位置。目前來(lái)說(shuō)，最常見(jiàn)的追蹤方法就是路由追蹤方法、IP追蹤方法、反追蹤法等。

4.4安全審計(jì)技術(shù)

這個(gè)方法主要是對(duì)用戶的網(wǎng)絡(luò)訪問(wèn)行為及其訪問(wèn)的數(shù)據(jù)進(jìn)行審計(jì)，可以使用內(nèi)部控制的方法，更加有效的治理系統(tǒng)。同時(shí)也包括嚴(yán)格的控制相應(yīng)IT系統(tǒng)內(nèi)部的情況。和入侵檢測(cè)系統(tǒng)相比較，安全審計(jì)技術(shù)對(duì)實(shí)時(shí)性的要求不高，所以可以對(duì)過(guò)去海量的數(shù)據(jù)進(jìn)行分析，而且使用的方法也更加的復(fù)雜和精細(xì)。另外，安全審計(jì)系統(tǒng)也可以找出更多的攻擊種類，報(bào)錯(cuò)的概率相對(duì)也比較小。

5小結(jié)

隨著信息化的發(fā)展，高校無(wú)線網(wǎng)的建設(shè)已經(jīng)有了很大的發(fā)展，我國(guó)大多數(shù)高校都已經(jīng)實(shí)現(xiàn)了無(wú)線網(wǎng)覆蓋。但是，在建設(shè)無(wú)線網(wǎng)的過(guò)程中，很多高校還是沒(méi)有意識(shí)到其安全問(wèn)題，導(dǎo)致安全問(wèn)題頻發(fā)，甚至出現(xiàn)了一些重要數(shù)據(jù)丟失的情況，產(chǎn)生十分嚴(yán)重的后果。為了提高無(wú)線網(wǎng)的安全管理，為高校無(wú)線網(wǎng)的發(fā)展實(shí)施更有效的保障，相關(guān)管理人員必須做好無(wú)線網(wǎng)的安全防護(hù)技術(shù)，更好的服務(wù)學(xué)校的師生和相關(guān)人員。