徐志良

摘? 要：隨著網(wǎng)絡技術(shù)的不斷發(fā)展，人們的生活學習對其需求也越來越大。在校園中無線局域網(wǎng)的需求也越來越多，它為師生的教學工作提供了極大的便利，同時帶來了非常多的安全隱患。文章對當前校園無線網(wǎng)常見的安全問題進行分析，提出解決方案。

關(guān)鍵詞：無線校園網(wǎng);安全威脅;加密認證

Abstract： With the continuous development of network technology， there is an increasing demand for it in people's life and study. The demand of wireless local area network （WLAN） on campus is more and more， provides great convenience for teachers' teaching work and students' study， thereby brings a lot of security risks at the same time. This paper analyzes the common security problems of wireless campus network and puts forward solutions.

1 校園無線網(wǎng)的應用需求

隨著智能手機、平板電腦和筆記本電腦等移動電子產(chǎn)品的普及;以及像云班課、騰訊課堂、“MOOC課堂”等線上教學形式的出現(xiàn)，校園無線網(wǎng)絡已經(jīng)成為廣大師生利用網(wǎng)絡進行通信和教學的主要途徑。正因為無線網(wǎng)絡移動便捷、組建方便、可擴展性強等優(yōu)勢使得在校園里無線網(wǎng)絡逐步替代了有線網(wǎng)絡的存在。校園內(nèi)如何為廣大師生在教學區(qū)域、學生宿舍區(qū)和辦公會議場所提供穩(wěn)定、可靠、安全的無線網(wǎng)絡，以及在不同場所和不同人群提供網(wǎng)絡服務的設置，正是構(gòu)建無線校園網(wǎng)的應用需求。

2 校園無線網(wǎng)絡安全問題

無線局域網(wǎng)（WLAN）相對有線網(wǎng)絡來說無需復雜的布線安裝更簡單，移動性強易于進行網(wǎng)絡規(guī)劃，利用電磁波發(fā)送接收數(shù)據(jù)成本低以及易于擴展。但是，由于無線網(wǎng)絡是使用無線信道傳播，其信道是開放的，因而用戶數(shù)據(jù)面臨著被竊聽和篡改的威脅，以及攻擊者更容易進行各種服務攻擊的安全問題。

2.1 非法竊聽

竊聽，這是無線網(wǎng)絡和傳統(tǒng)網(wǎng)絡都會遭遇的攻擊方式，但是對無線網(wǎng)絡來說更為嚴重。這是由無線網(wǎng)絡的開放性特點決定的。在無線網(wǎng)絡環(huán)境中，任何用戶都可能通過帶有無線網(wǎng)絡信號接入設備的移動終端連接網(wǎng)絡而進行非法竊聽。在校園無線網(wǎng)中，攻擊者會通過WLAN發(fā)現(xiàn)工具軟件（如inSSIDer），搜索附近開放的WLAN信號;發(fā)送空探尋請求幀，以期收到包含WLAN的信息：SSID、信息、加密方式。如果數(shù)據(jù)包在校園無線射頻覆蓋的區(qū)域內(nèi)未進行加密，或者使用了弱口令加密，攻擊者可使用監(jiān)聽模式竊取WLAN的數(shù)據(jù)包，造成數(shù)據(jù)信息的泄露等安全威脅，而使用者并無法察覺是否有人正在進行非法竊聽。因此竊聽成為在無線網(wǎng)極為常見的非法行為。

2.2 WEP的缺陷

由于無線局域網(wǎng)極易被非法用戶竊聽和侵入，因此需要對無線網(wǎng)絡中傳輸?shù)臄?shù)據(jù)進行加密。早期普遍使用WEP技術(shù)，期望能夠與有線網(wǎng)絡有著同級的安全性，但由于其存在根本性的加密缺陷并不能達到這樣的期望。因為WEP通過使用RC4序列密碼算法加密，其中密鑰是由IV（初始向量）和共享密鑰組成，而起決定作用的IV會被重復使用，使其算法存在缺陷。而IV向量空間較小，只有24位，如果攻擊者截獲多個加密包進行統(tǒng)計攻擊就可恢復明文。所以一個黑客用破解工具就可以收集分析發(fā)送的數(shù)據(jù)，很容易就能從中提取密鑰進行破解。當前有許多免費工具都可以輕松地探測WLAN流量并分析得到WEP密鑰。

2.3 非法接入點

非法接入點（Rogue設備）指的是未經(jīng)許可而被安裝的接入點。一般情況下，有可能是校內(nèi)的師生對于安全意識不夠，常常會在工作場所內(nèi)自行安裝無線接入的AP，而這些自行安裝的AP幾乎都是開放的，每一個非法的AP接入點都將成為一個安全漏洞，使得攻擊者會輕易獲取到SSID，并成功與接入點進行鏈接，對單位的信息安全帶來極大威脅，甚至可能還會對無線網(wǎng)絡服務通過發(fā)送大量的數(shù)據(jù)包，進行拒絕服務的攻擊，造成通信設備和服務器癱瘓。

3 校園無線網(wǎng)絡安全策略

3.1 服務集標識符（SSID）匹配

SSID通俗地說就是無線網(wǎng)絡的名稱。接入無線網(wǎng)，首先是尋找想要連接的網(wǎng)絡所對應的SSID無線接入端要與無線接入點（AP）的SSID相同，才能與AP進行連接。SSID可以說是無線局域網(wǎng)的第一道防線。在一個AP中可以創(chuàng)建多個SSID，每一個SSID相當于一個無線的子網(wǎng)絡，并可以獨立設置身份驗證，只有通過身份驗證才能進入對應的子網(wǎng)絡。為了避免無線網(wǎng)絡容易被別人搜索到，可以設置禁止SSID廣播。校園中個別部門數(shù)據(jù)有隱私需求，假如與其他類型用戶共用同一網(wǎng)絡，數(shù)據(jù)很容易會被竊取。因此要為不同的用戶類型劃分多個不同的子網(wǎng)設置不同SSID，并且對各個SSID設置不同的加密密鑰;同時將重要的部門的SSID中進行隱蔽（禁止廣播SSID）。例如將教師、學生、臨時用戶、特別行政部門分配不同SSID，設置相應不同的密鑰，并將特殊行政部門的SSID禁止廣播。這樣一般的無線終端用戶在SSID不可見的情況下難以搜索進行連接，另外用戶分別連入不同的無線子網(wǎng)，實現(xiàn)了不同SSID用戶之間的二層隔離，從而提高安全性。

3.2 使用WPA加密認證

WPA是一種在802.11i完備之前替代WEP的過渡方案，包含有WPA和WPA2兩個標準。WPA是繼承了WEP基本原理又特別針對WEP的幾個缺點進行了優(yōu)化和缺陷彌補來提供加密和認證。WPA認證的密鑰只用于身份認證過程，傳輸數(shù)據(jù)加密則采用用戶認證后的動態(tài)密鑰，使得各用戶的密鑰不相同而提高安全性，而且在不需要修改原來無線設備的硬件也能兼容之前的無線設備。WPA2是基于WPA升級版本，安全標準充分考慮了企業(yè)網(wǎng)絡的安全防護需要，采用AES的加密技術(shù)可以滿足更高的安全需求，目前大多數(shù)WiFi產(chǎn)品都支持WPA2安全認證技術(shù)，而且在一個SSID內(nèi)可以同時配置WPA和WPA2，因此在設置二層安全上，可以通過WPA的兩個標準方法進行加密認證。

3.3 無線AC結(jié)合WEB認證方式

在傳統(tǒng)的WLAN結(jié)構(gòu)中采用的是FAT-AP模式，F(xiàn)AT-AP配置簡單，有獨立的系統(tǒng)，能獨立自主完成無線接入和安全加密等多項任務，但由于不能集中配置與管理，因而在受到攻擊與干擾時難以發(fā)現(xiàn)。FIT-AP必須借助無線網(wǎng)絡控制器（AC）進行統(tǒng)一的管理和配置。采用FIP-AP模式，除了簡化AP的配置和管理功能，還可以將密集型的無線網(wǎng)絡和安全處理功能轉(zhuǎn)移到無線控制器中統(tǒng)一實現(xiàn)。例如實現(xiàn)AP的設備功率的調(diào)整，控制信號的覆蓋范圍，盡量減少信號泄露出所需覆蓋范圍之外，以防止覆蓋范圍外的接入。同時可設置多個WLAN與VLAN關(guān)聯(lián)，提供多個SSID接入服務，針對每個SSID配置單獨的認證方式、加密機制，部署不同的服務來實現(xiàn)通信安全。

校園網(wǎng)主要功能是為本校師生提供校園網(wǎng)內(nèi)的資源。單純依靠WPA的加密認證方式是不足的，倘若加密密鑰被告知而泄露，非法用戶便可隨意加入校園無線網(wǎng)內(nèi)，占用內(nèi)部帶寬資源，甚至帶來安全隱患。因此在認證設計上，可采取FITAP+無線控制器（AC），結(jié)合Web認證服務來實現(xiàn)。Web認證是一種采用一般瀏覽器就能進行控制用戶訪問網(wǎng)絡權(quán)限的身份認證方法。當用戶未進行認證時，只可使用Protal服務器上提供的有限服務。未認證用戶若要訪問服務器以外的網(wǎng)絡資源時，只需打開瀏覽器進行上網(wǎng)，這時瀏覽器會被接入設備強制訪問指定的Protal服務器網(wǎng)頁，然后輸入賬號和密碼以進行身份認證，一旦認證通過就可以使用其他網(wǎng)絡資源。

類似我校有VERP校園內(nèi)部辦公網(wǎng)，在校師生均有各自登錄系統(tǒng)的賬號和密碼。可利用辦公網(wǎng)中賬號和密碼作為Protal認證服務的驗證數(shù)據(jù)，只要師生在登錄驗證網(wǎng)頁中，輸入自己正確的系統(tǒng)內(nèi)賬號和密碼便可實現(xiàn)認證登錄訪問網(wǎng)絡資源。由于每位師生都有唯一的賬號和密碼，并且賬號與師生有一一對應的關(guān)系，這樣可以避免師生將自己的賬號和密碼泄露出去，同時又增加了網(wǎng)絡安全性。

3.4 部署無線入侵檢測系統(tǒng)

部署無線網(wǎng)絡會在整個校園區(qū)中安裝了大量的AP。在校園內(nèi)的設備中，既有可能是獲得授權(quán)的AP，也可能存在安全漏洞或被攻擊者操縱的非法設備（Rogue設備）。非法接入設備對于校園網(wǎng)的威脅很大。入侵者可能會通過Rouge設備入侵網(wǎng)絡及發(fā)起各種惡意“拒絕服務”攻擊，因而無線校園網(wǎng)中要部署無線入侵檢測系統(tǒng)。WIDS可以在不影響網(wǎng)絡性能的情況下對無線網(wǎng)絡進行監(jiān)測，提前檢測網(wǎng)絡中的入侵行為和用戶攻擊，保護網(wǎng)絡和用戶不被無線網(wǎng)絡上未經(jīng)授權(quán)的設備訪問，從而提供對各種攻擊實時防范。WIDS對處于監(jiān)聽模式的AP作為檢測設備進行集中式部署配置，通過捕捉無線報文并發(fā)送探查請求消息，監(jiān)聽AP便可通過附近設備返回的這些探查響應幀分辨設備類型。目前大多數(shù)無線控制器都具備無線入侵檢測功能，能檢測阻止類似泛洪攻擊，欺騙攻擊等。

例如，以某技師學院無線校園網(wǎng)為例，以銳捷無線控制器WS5708進行集中式控制管理，同時設置了WIDS進行實時監(jiān)視非法設備配置，對檢測到的Rogue設備進行反制和拒絕泛洪攻擊。當WIDS檢測到Flooding攻擊時，則將發(fā)起攻擊的設備添加到動態(tài)黑名單列表中進行攔截以保障網(wǎng)絡安全。

3.5 完善管理制度

若要保障無線局域網(wǎng)的安全，網(wǎng)絡運維人員須要運用專業(yè)技術(shù)進行管理，并定期檢測無線網(wǎng)絡設備的運行狀況，檢查相關(guān)的網(wǎng)絡日志，發(fā)現(xiàn)問題及時處理;同時學校要出臺相關(guān)管理制度，加強校園網(wǎng)絡使用宣傳，培養(yǎng)教師和學生的安全用網(wǎng)意識。

4 結(jié)束語

目前在眾多校園無線網(wǎng)中，都普遍存在安全性的問題?；疽苑欠ń尤牍艉头欠ń尤朐O備的威脅為主。加密認證技術(shù)的設置不合理，以及管理不足是問題的關(guān)鍵。在無線校園網(wǎng)的安全方面，無線加密技術(shù)與認證是極為重要的，在無線校園網(wǎng)中采用Portal強制認證還是比較可靠的。網(wǎng)絡是沒有絕對安全的，若要盡量保證無線校園網(wǎng)安全，關(guān)鍵要建立有效的管理制度，加強師生的安全用網(wǎng)意識，了解網(wǎng)絡安全最新動態(tài)和技術(shù)的更新，不斷調(diào)整和完善防范措施。

參考文獻：

[1]唐繼勇，童均.無線網(wǎng)絡組建項目教程（第二版）[M].中國水利水電出版社，2014.

[2]徐振華.無線網(wǎng)絡安全現(xiàn)狀及對策研究[M].知識產(chǎn)權(quán)出版社，2016.

[3]汪雙頂，黃君羨，梁廣民.無線局域網(wǎng)技術(shù)與實踐[M].高等教育出版社，2018.

[4]高曉紅.無線校園網(wǎng)絡安全問題及其解決策略[J].辦公自動化，2015（20）：42-44.

[5]高竹.高校無線校園網(wǎng)絡安全管理方案[J].學周刊，2014（33）：23.