校園無線網(wǎng)安全技術(shù)研究

肖 辰

?

校園無線網(wǎng)安全技術(shù)研究

肖 辰

天津商業(yè)大學(xué)，天津 300134

隨著校園網(wǎng)絡(luò)信息化建設(shè)的高速發(fā)展，特別是無線網(wǎng)絡(luò)技術(shù)與應(yīng)用在近十年中更是展現(xiàn)出旺盛的生命力，給校園教學(xué)和生活帶來了巨大的便捷。與此同時(shí)由于無線網(wǎng)絡(luò)具有傳輸介質(zhì)特殊性、網(wǎng)絡(luò)連接相對開放等特點(diǎn)使得在安全防范方面無線網(wǎng)絡(luò)比有線網(wǎng)絡(luò)面臨更大的困難與挑戰(zhàn)?；诖?，從技術(shù)與管理方面對無線網(wǎng)絡(luò)安全提出建設(shè)性的解決方案。

無線網(wǎng)絡(luò)；校園無線網(wǎng)；技術(shù)分析

引言

無線局域網(wǎng)絡(luò)是利用射頻（RF）技術(shù),取代傳統(tǒng)有線組網(wǎng)介質(zhì)（雙絞線、光纖）等，使得網(wǎng)絡(luò)節(jié)點(diǎn)的通信過程在空中得以完成。無線網(wǎng)絡(luò)具有網(wǎng)絡(luò)環(huán)境搭建成本低廉、節(jié)點(diǎn)接入與刪除方便、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)自由等特點(diǎn),在近年來廣泛應(yīng)用于各種環(huán)境和場所。高校作為人員密集，網(wǎng)絡(luò)需求量極高的教育場所自然也對無線網(wǎng)絡(luò)有很大的需求，很多高校都在大力發(fā)展建設(shè)自己的無線網(wǎng)絡(luò)，甚至以無線網(wǎng)絡(luò)發(fā)展?fàn)顩r作為衡量學(xué)校信息化水平的重要依據(jù)。然而隨著無線網(wǎng)絡(luò)應(yīng)用的普及,無線網(wǎng)絡(luò)所面臨的諸多安全隱患卻成為網(wǎng)絡(luò)建設(shè)發(fā)展過程中無法忽視的障礙，由此引發(fā)的諸多事件造成了很大的損失。無線網(wǎng)絡(luò)由于其開放性的特點(diǎn),使得網(wǎng)絡(luò)遭受注入攻擊、消息竊取、數(shù)據(jù)篡改等攻擊的概率遠(yuǎn)遠(yuǎn)高于有線網(wǎng)絡(luò)環(huán)境，防范難度較高。同時(shí)由于高校內(nèi)包含大量的重要數(shù)據(jù)信息，一旦發(fā)生安全問題都有可能帶來重大損失。為了保證校園無線網(wǎng)絡(luò)的安全,要了解學(xué)習(xí)校園無線網(wǎng)絡(luò)面臨的各種安全隱患,做好防護(hù)措施，讓無線網(wǎng)絡(luò)更好地為在校師生服務(wù)[1]。

1校園無線網(wǎng)絡(luò)面臨的主要安全隱患

校園無線網(wǎng)絡(luò)在使用過程中面臨內(nèi)部和外部雙重多方面的安全隱患，以下列舉一些主要安全隱患：

1.1非法接入

通常情況下,對于已經(jīng)搭建了無線網(wǎng)絡(luò)環(huán)境的地方只要可以搜索到無線信號就都具備可以接入到網(wǎng)絡(luò)中的條件，雖然網(wǎng)絡(luò)管理者可以通過身份確認(rèn)（密碼認(rèn)證）的方式來限制網(wǎng)絡(luò)使用者的身份，但難以阻止一些非法用戶利用各種工具來“蹭網(wǎng)”,而設(shè)定的密碼被泄露的風(fēng)險(xiǎn)也會隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，用戶的增多而逐步加大。

1.2數(shù)據(jù)泄密

由于無線網(wǎng)絡(luò)采用無線通信的方式，因此數(shù)據(jù)包在節(jié)點(diǎn)之間的傳遞過程中被網(wǎng)絡(luò)黑客截獲的可能性很高。入侵者通常借助各種監(jiān)聽工具和分析工具來對無線網(wǎng)絡(luò)信道上傳遞的各種信息進(jìn)行監(jiān)聽和分析。對于加密過的數(shù)據(jù),利用密碼破解工具入侵者依然可以進(jìn)行破解,給網(wǎng)絡(luò)帶來極高的安全隱患。高校作為科研工作的主要機(jī)構(gòu)，平時(shí)涉及到很多重要的研究數(shù)據(jù)，有些甚至是機(jī)密性的內(nèi)容，在無線網(wǎng)絡(luò)環(huán)境中進(jìn)行數(shù)據(jù)傳遞和交換的時(shí)候如果造成泄密后果不堪設(shè)想[2]。

1.3 ARP攻擊

ARP攻擊包括MAC地址欺騙和IP地址欺騙，網(wǎng)絡(luò)攻擊者通過偽造MAC和IP地址在網(wǎng)絡(luò)中產(chǎn)生大量的通信數(shù)據(jù)，這些數(shù)據(jù)持續(xù)不斷的占用網(wǎng)絡(luò)信道資源，導(dǎo)致其他網(wǎng)絡(luò)節(jié)點(diǎn)需要發(fā)送的數(shù)據(jù)長時(shí)間無法獲得網(wǎng)絡(luò)信道的使用權(quán)，最終導(dǎo)致網(wǎng)絡(luò)發(fā)生阻塞的情況。入侵者不斷地發(fā)出偽造的ARP響應(yīng)包更改目標(biāo)主機(jī)ARP緩存中的P-MAC條目，造成網(wǎng)絡(luò)堵塞。

1.4管理性安全隱患

管理性安全隱患主要來自于對于校園網(wǎng)絡(luò)管理者技術(shù)水平和管理制度方面，由于網(wǎng)絡(luò)管理者水平、安全意識參差不齊，在網(wǎng)絡(luò)安全方面存在較大的漏洞。例如目前國內(nèi)只有少數(shù)高校配備使用了更高安全級別級的802.1x認(rèn)證協(xié)議等。

2校園網(wǎng)絡(luò)安全對策

2.1認(rèn)證訪問控制

經(jīng)過分析，使用校園無線網(wǎng)絡(luò)的用戶主要由校內(nèi)固定用戶和流動(dòng)用戶兩類人群構(gòu)成。作為網(wǎng)絡(luò)使用率最高的用戶無疑是在校的師生，由于教學(xué)和科研的需要，這類用戶希望在校區(qū)內(nèi)的任意區(qū)域能夠隨時(shí)便捷的接入網(wǎng)絡(luò)環(huán)境，瀏覽和下載課程相關(guān)資料。這些資料往往對外具有私密性，因此從傳遞方式上來說要求較高，需要對網(wǎng)絡(luò)使用者的身份嚴(yán)格限定，防止非法用戶加入進(jìn)來竊取數(shù)據(jù)信息，建議采用802.1x認(rèn)證方式對用戶身份進(jìn)行認(rèn)證。802.1x認(rèn)證方式的特點(diǎn)是整個(gè)認(rèn)證過程由加密隧道保護(hù)，從而最大限度的避免認(rèn)證信息泄露。這是一種安全性非常高的訪問控制策略。流動(dòng)用戶主要是來校參加學(xué)術(shù)交流等活動(dòng)的非常駐用戶，這類用戶使用網(wǎng)絡(luò)的時(shí)間較短，傳輸數(shù)據(jù)私密性相對較低。與固定用戶相比，流動(dòng)用戶在網(wǎng)絡(luò)使用中更加偏重于網(wǎng)絡(luò)使用的便捷性而非安全性。對于流動(dòng)型用戶，為了方便用戶對網(wǎng)絡(luò)的使用，建議采用Portal認(rèn)證的方式接入無線網(wǎng)絡(luò)即可。通過這樣的認(rèn)證方式，對不同類型的用戶采用不同的認(rèn)證訪問策略，可在安全性和便捷性上達(dá)到良好的平衡。

2.2 MAC地址過濾技術(shù)

MAC過濾技術(shù)是指在經(jīng)路由器上面進(jìn)行專門設(shè)置后，對訪問網(wǎng)絡(luò)的機(jī)器進(jìn)行綁定，只允許綁定MAC地址的物理機(jī)器訪問網(wǎng)絡(luò)，而拒絕其他的機(jī)器對網(wǎng)絡(luò)的訪問。這樣做的好處可以極大的提高網(wǎng)絡(luò)使用者的身份認(rèn)證，避免非法用戶的加入，提高校園網(wǎng)的安全性水平。

2.3虛擬專用網(wǎng)技術(shù)

虛擬專用網(wǎng)（VPN）是指在公用網(wǎng)絡(luò)上建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。VPN主要采用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)技術(shù)等對網(wǎng)絡(luò)安全性進(jìn)行保證，從而大大提高了校園無線網(wǎng)絡(luò)整體安全性能[3]。

2.4增強(qiáng)網(wǎng)絡(luò)安全意識和管理制度建設(shè)

俗話說，“三分技術(shù)，七分管理”。網(wǎng)絡(luò)管理人員的網(wǎng)絡(luò)安全意識和管理制度的與否完善是比任何技術(shù)都更加管用的。要大力培養(yǎng)網(wǎng)管人員的業(yè)務(wù)素質(zhì)和責(zé)任意識，建立健全安全管理制度，落實(shí)責(zé)任，這樣是對技術(shù)策略最強(qiáng)有力的補(bǔ)充和完善[4]。

[1]方旭明.下一代無線因特網(wǎng)技術(shù)：無線Mesh網(wǎng)絡(luò)[M].北京：人民郵電出版社，2006：114.

[2]程海英.校園無線局域網(wǎng)的安全策略探討[J].軟件導(dǎo)刊，2010（3）：128-129.

[3]陳麗娟.無線Mesh網(wǎng)絡(luò)技術(shù)在校園無線網(wǎng)絡(luò)建設(shè)中的應(yīng)用[J].通信技術(shù)，2012(8):463

[4]鄭東興.淺談無線網(wǎng)絡(luò)安全防范措施分析及其在校園網(wǎng)絡(luò)中的應(yīng)用研究[J].職業(yè)技術(shù)，2012（1）:63.

Research on Security Technology of Campus Wireless Network

Xiao chen

Tianjin Commercial University, Tianjin 300134

With the rapid development of campus network information construction, especially wireless network technology and application in the past ten years is to show strong vitality, to the campus teaching and life has brought great convenience. At the same time, because wireless network has special characteristics of transmission medium and relatively open network connection, wireless network is facing more difficulties and challenges in security aspect than wired network. This paper from the technical and management aspects of the wireless network security and constructive solutions.

wireless network; campus wireless network; technical analysis

TN915.08

A

1009-6434（2016）10-0052-02

項(xiàng)目名稱：校園無線網(wǎng)優(yōu)化及安全方案研究（項(xiàng)目編號：150120）。項(xiàng)目級別：青年基金。