中職學(xué)校無線網(wǎng)絡(luò)安全技術(shù)初探

摘 要：校園網(wǎng)絡(luò)服務(wù)于廣大師生，無線網(wǎng)絡(luò)的覆蓋，為教師的教學(xué)、學(xué)生的學(xué)習(xí)及行政辦公帶來極大的便利，同時(shí)突出的無線網(wǎng)絡(luò)安全隱患，也給校園網(wǎng)絡(luò)的管理帶來極大的挑戰(zhàn)。本文針對(duì)這些問題，對(duì)中職學(xué)校無線網(wǎng)絡(luò)安全技術(shù)進(jìn)行分析和探討。

關(guān)鍵詞：中職無線網(wǎng)絡(luò)；安全技術(shù)

近年來，隨著中職學(xué)校的快速發(fā)展，信息化建設(shè)在不斷推進(jìn)，無線網(wǎng)絡(luò)技術(shù)逐步在校園網(wǎng)絡(luò)建設(shè)中被應(yīng)用開來。無線網(wǎng)絡(luò)覆蓋體現(xiàn)了一個(gè)學(xué)校信息化建設(shè)的水平，它擴(kuò)展了原來傳統(tǒng)的有線網(wǎng)絡(luò)，實(shí)現(xiàn)全校范圍最大面積的網(wǎng)絡(luò)覆蓋。無線網(wǎng)絡(luò)具有個(gè)性化、便攜性、可移動(dòng)性的特點(diǎn)，使廣大師生更充分使用教學(xué)資源。然而，隨著無線網(wǎng)絡(luò)的廣泛使用，安全問題也越來越突出，必須引起我們的高度重視。

1 無線網(wǎng)絡(luò)安全與有線網(wǎng)絡(luò)安全的不同點(diǎn)

1.1 無線網(wǎng)絡(luò)采用開放的傳輸介質(zhì)

傳統(tǒng)網(wǎng)絡(luò)是通過有線方式完成數(shù)據(jù)傳輸?shù)模瑪?shù)據(jù)通過電纜傳輸?shù)筋A(yù)定位置，在傳輸過程中，物理鏈路遭到破壞，才會(huì)引起數(shù)據(jù)泄密；而無線網(wǎng)絡(luò)通過無線電波完成數(shù)據(jù)傳輸，無線接入點(diǎn)（AP）在無線電波信號(hào)覆蓋范圍內(nèi)，都可成功接受信號(hào)，具有開放性的特點(diǎn)，利用無線網(wǎng)絡(luò)發(fā)射的數(shù)據(jù)僅傳給預(yù)定位置是難以實(shí)現(xiàn)的，這就使入侵者乘虛而入，他們可以借助無線網(wǎng)絡(luò)的廣播信號(hào)攻擊網(wǎng)絡(luò)，造成網(wǎng)絡(luò)安全的威脅。

1.2 無線網(wǎng)絡(luò)的移動(dòng)特性

傳統(tǒng)有線網(wǎng)絡(luò)的接入層交換機(jī)和用戶終端通過光纖或者雙絞線來接入網(wǎng)絡(luò)，這些硬件設(shè)備在布線時(shí)就固定在一個(gè)位置，很難大范圍移動(dòng)。而無線網(wǎng)絡(luò)的硬件設(shè)備一般放置在開放的位置，入侵者可以輕易移動(dòng)或拆除接入層的AP，增大了安全性管理的難度。

1.3 動(dòng)態(tài)的拓?fù)浣Y(jié)構(gòu)

傳統(tǒng)有線網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)在網(wǎng)絡(luò)規(guī)劃時(shí)已經(jīng)設(shè)計(jì)好，是相對(duì)固定的，網(wǎng)絡(luò)安全的設(shè)計(jì)和網(wǎng)絡(luò)防護(hù)相對(duì)較為簡(jiǎn)單。而無線網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是動(dòng)態(tài)的，非法用戶可以私下接入AP擴(kuò)展，增加網(wǎng)絡(luò)安全部署的難度。

2 校園無線網(wǎng)絡(luò)存在的安全隱患

校園網(wǎng)面向全校師生，服務(wù)人群多，信息使用復(fù)雜，用戶在使用過程中可能遇到的安全隱患包括無線密鑰破解、拒絕服務(wù)、篡改數(shù)據(jù)、APP攻擊、MAC地址欺騙等，現(xiàn)對(duì)部分隱患進(jìn)行分析。

2.1 無線密鑰破解

因?yàn)闊o線網(wǎng)絡(luò)具有易獲取與開放性的特性，同樣也容易遭到攻擊。為保證無線網(wǎng)絡(luò)接入用戶和數(shù)據(jù)傳輸?shù)陌踩芾砣藛T使用IEEE802.11標(biāo)準(zhǔn)中WEP（有線對(duì)等保密）協(xié)議的安全機(jī)制來設(shè)置密鑰，對(duì)網(wǎng)絡(luò)進(jìn)行加密和認(rèn)證，這種加密方式是有弱點(diǎn)的，美國(guó)聯(lián)邦調(diào)查局的一組人曾經(jīng)通過網(wǎng)上免費(fèi)的軟件在三分鐘內(nèi)破解一個(gè)用 WEP 保護(hù)的網(wǎng)絡(luò)。入侵者通過蹭網(wǎng)卡、BT5解碼等軟件非法捕捉AP信號(hào)覆蓋區(qū)內(nèi)的數(shù)據(jù)包，對(duì)數(shù)據(jù)包進(jìn)行監(jiān)聽和偵測(cè)，從而判斷出無線網(wǎng)絡(luò)中的主機(jī)傳輸速度、該AP下的局域網(wǎng)內(nèi)發(fā)射無線信號(hào)的主機(jī)數(shù)量，收集到足夠WEP弱密鑰加密包后，即可暴力破解WEP密鑰。

2.2 拒絕服務(wù)

拒絕服務(wù)是攻擊無線網(wǎng)絡(luò)時(shí)常用的手段，其中一種方式是入侵者泛濫攻擊AP，隨機(jī)偽造出客戶端MAC地址，產(chǎn)生大量虛假的客戶端對(duì)AP進(jìn)行連接。由于入侵者的持續(xù)攻擊，會(huì)使AP產(chǎn)生錯(cuò)誤判斷，拒絕服務(wù)。另一種攻擊方式則是使資源耗盡，攻擊某一節(jié)點(diǎn)使其不斷轉(zhuǎn)發(fā)數(shù)據(jù)包，最終耗盡資源使其無法工作。入侵者可以通過病毒從網(wǎng)絡(luò)傳輸協(xié)議上或無線物理鏈路上破壞無線鏈路的信令數(shù)據(jù)、控制數(shù)據(jù)及用戶數(shù)據(jù)的正確傳輸，實(shí)現(xiàn)DOS攻擊，網(wǎng)絡(luò)用戶的數(shù)據(jù)在某種程度上會(huì)失去對(duì)無線鏈路的控制，造成數(shù)據(jù)丟失，這種入侵行為，嚴(yán)重者會(huì)導(dǎo)致校園網(wǎng)絡(luò)癱瘓。

2.3 數(shù)據(jù)安全隱患

非法用戶可以通過破解密鑰，接入校園網(wǎng)，占用網(wǎng)絡(luò)帶寬，甚至?xí)粜@服務(wù)器、惡意篡改、盜用師生的數(shù)據(jù)，侵害師生的隱私，帶來個(gè)人信息或經(jīng)濟(jì)損失，散播謠言以及做出違法的行為，也可能會(huì)借助自己掌握的技術(shù)肆意傳播網(wǎng)絡(luò)病毒，讓校園網(wǎng)終端用戶大面積中毒，造成嚴(yán)重的后果。

2.4 APP攻擊

手機(jī)軟件開發(fā)的技術(shù)日趨成熟，互聯(lián)網(wǎng)上已經(jīng)有了能控制網(wǎng)絡(luò)設(shè)備的APP。好奇心驅(qū)使下，學(xué)生可以通過下載APP控制校園的無線網(wǎng)絡(luò)設(shè)備，持續(xù)向校園網(wǎng)發(fā)送垃圾文件，導(dǎo)致校園網(wǎng)絡(luò)擁塞，造成APP攻擊。

3 校園無線網(wǎng)絡(luò)安全防御技術(shù)

3.1 健全管理機(jī)制，提高網(wǎng)絡(luò)安全意識(shí)

中職學(xué)校網(wǎng)絡(luò)管理人員不僅要構(gòu)建網(wǎng)絡(luò)安全防范機(jī)制，同時(shí)構(gòu)建無線網(wǎng)絡(luò)安全應(yīng)對(duì)機(jī)制，保證校園無線網(wǎng)絡(luò)的安全性，管理人員實(shí)時(shí)檢測(cè)無線網(wǎng)絡(luò)信號(hào)、信息傳輸?shù)葼顩r，及時(shí)處理無線網(wǎng)絡(luò)安全問題；并且要定期開展培訓(xùn)來提高師生的信息技術(shù)知識(shí)，加強(qiáng)關(guān)于信息安全方面的法律法規(guī)教育，樹立網(wǎng)絡(luò)安全防范的意識(shí)。

3.2 提升接入AP的安全技術(shù)

從安全角度出發(fā)，校園網(wǎng)絡(luò)應(yīng)盡量購(gòu)買較高級(jí)別的企業(yè)級(jí)AP，這種AP的安全系數(shù)較高，可以設(shè)置用戶接入和訪問的安全策略。另外，可以通過AP檢測(cè)技術(shù)，及時(shí)有效發(fā)現(xiàn)未授權(quán)使用的AP，從而主動(dòng)添加和移除這種AP，防止私自拉線接入AP。

3.3 使用用戶準(zhǔn)入認(rèn)證機(jī)制

為防止未授權(quán)用戶占用網(wǎng)絡(luò)資源，有效保護(hù)校園無線網(wǎng)絡(luò)安全，可以使用用戶認(rèn)證方式。其中一種方式是Web認(rèn)證，Web認(rèn)證給使用者分配地址，使用者訪問某些網(wǎng)站時(shí)，頁(yè)面會(huì)顯示出相關(guān)認(rèn)證系統(tǒng)，需要用戶輸入用戶名與口令，然后才可以進(jìn)入訪問?？梢越Y(jié)合基于802.1X協(xié)議和Radius協(xié)議的身份驗(yàn)證體系的應(yīng)用安全域技術(shù)，對(duì)于入網(wǎng)用戶進(jìn)行身份驗(yàn)證，該應(yīng)用安全域采用與網(wǎng)絡(luò)交換機(jī)聯(lián)動(dòng)，通過綁定入網(wǎng)用戶的用戶名和密碼、IP地址、MAC地址、交換機(jī)IP和端口等信息來進(jìn)行身份驗(yàn)證，多種信息驗(yàn)證通過后才可接入網(wǎng)絡(luò)，該技術(shù)還可以根據(jù)不同的用戶身份分配不同的訪問權(quán)限，校內(nèi)合法用戶可以訪問校內(nèi)的資源，校外用戶在獲取臨時(shí)權(quán)限接入網(wǎng)絡(luò)后，只能訪問自己權(quán)限之內(nèi)的服務(wù)器和網(wǎng)絡(luò)區(qū)域等。同時(shí)，在三層交換機(jī)下添加一臺(tái)行為網(wǎng)關(guān)，用于對(duì)上網(wǎng)人員進(jìn)行實(shí)名認(rèn)證并記錄上網(wǎng)行為日志。

3.4 使用專業(yè)入侵檢測(cè)技術(shù)

為防止非法用戶入侵，應(yīng)該使用專業(yè)的無線網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，能使網(wǎng)絡(luò)管理人員實(shí)時(shí)監(jiān)控、采集網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)，及時(shí)跟蹤、監(jiān)控一些可疑的數(shù)據(jù)包，通過分析捕獲的數(shù)據(jù)包，可查出IP的來源。入侵檢測(cè)不只能防護(hù)自身網(wǎng)絡(luò)安全，還能查出攻擊的根源，將入侵者抓獲。防止被非法用戶竊取、篡改用戶信息，保證重要信息的安全性。

4 結(jié)束語(yǔ)

無線網(wǎng)絡(luò)的發(fā)展和普及，給中職學(xué)校的教師教學(xué)、科研、學(xué)生的課程學(xué)習(xí)帶來了極大方便。在建設(shè)無線網(wǎng)絡(luò)的過程中，必須更好地重視無線網(wǎng)絡(luò)的安全性，采取各種有效措施提升安全策略，才能構(gòu)建一個(gè)方便、快捷、穩(wěn)定的校園網(wǎng)絡(luò)環(huán)境，保證校園無線網(wǎng)的安全，更好地服務(wù)全校師生。

參考文獻(xiàn)：

[1] 鄧體俊.論校園無線局域網(wǎng)通信安全策略[J].電腦知識(shí)與技術(shù)，2015（01）.

[2] 張旭.高校無線校園網(wǎng)安全研究[J].中國(guó)科技信息，2016（02）.

[3] 李玉強(qiáng).校園無線網(wǎng)絡(luò)建設(shè)及安全管理探究[J].中國(guó)信息技術(shù)教育，2014（10）.

作者簡(jiǎn)介：徐樂真，講師，網(wǎng)絡(luò)工程師，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)。