校園網(wǎng)無線安全性研究

馬迅+鄭曉靜+馬哲

摘要：該文根據(jù)學(xué)校無線校園網(wǎng)的實際情況，從拓撲結(jié)構(gòu)、無線網(wǎng)絡(luò)特點等幾個方面分析了無線校園網(wǎng)的安全性，并通過測試，具體分析無線校園網(wǎng)的安全性以及可能存在的問題。

關(guān)鍵詞：無線校園網(wǎng)；FIT AP；認證

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）34-0039-02

Abstract： This article according to the actual situation of the campus wireless network， from topology structure， wireless network characteristics and other aspects analyses the security of the wireless network， through the test ，detailedly analysis the security of the wireless network and the problems.

Key words：campus wireless network； FIT AP； authenticate

我校無線校園網(wǎng)于2014年建成并投入使用，無線校園網(wǎng)覆蓋了全校所有校區(qū)的公共區(qū)域、圖書館以及學(xué)生宿舍，為廣大師生提供了便利的學(xué)習(xí)和工作環(huán)境，受到一致好評。作為校園網(wǎng)絡(luò)的一部分，很好地補充了有線校園網(wǎng)。但是，無線校園網(wǎng)是否安全可靠？長期使用是否會出現(xiàn)安全問題？作者隨后針對校園網(wǎng)的安全性進行了測試和研究。

在網(wǎng)絡(luò)拓撲上，無線校園網(wǎng)并沒有依附原來的校園網(wǎng)結(jié)構(gòu)，而是采用單獨組網(wǎng)。核心層的設(shè)備均采用模塊化設(shè)計，支持冗余配置。同時，核心層采用雙核心組網(wǎng)，并利用虛擬化保證可靠性。在網(wǎng)絡(luò)出口處，部署了企業(yè)級硬件防火墻，很好地保證了內(nèi)網(wǎng)的安全。在AP選型上，宿舍區(qū)AP設(shè)計使用X分型AP部署，可以實現(xiàn)宿舍區(qū)無線信號的無死角覆蓋，同時避免了采用傳統(tǒng)放裝部署時存在的同頻干擾、房間內(nèi)有死角等問題。無線AP組網(wǎng)設(shè)計使用FIT AP組網(wǎng)模式，無線控制器采用N+1備份方式，這些都進一步保證了無線校園網(wǎng)的可靠性。

為保證無線校園網(wǎng)的安全性，進一步部署了安全審計系統(tǒng)。該系統(tǒng)通過實施抓取用戶的數(shù)據(jù)包和上網(wǎng)日志，對用戶的行為進行具體的分析。根據(jù)分析的結(jié)果，對有危害網(wǎng)絡(luò)安全行為的用戶，進行限制并制止，同時通過該系統(tǒng)，進一步優(yōu)化網(wǎng)絡(luò)環(huán)境，達到凈網(wǎng)和提高網(wǎng)絡(luò)質(zhì)量的效果。

偽基站是無線網(wǎng)絡(luò)安全中很突出的一個問題。不法分子通過偽裝一個基站（或者AP），讓用戶連接上來，在用戶上網(wǎng)的過程中，竊取用戶的重要信息。這種攻擊方式，大多出現(xiàn)在公共區(qū)域，讓用戶和管理員防不勝防。無線校園網(wǎng)在建設(shè)的初期就考慮了這個問題，最后采用的是FIT AP的組網(wǎng)模式。這種模式在組建網(wǎng)絡(luò)初期，就將每一個位置上AP的信息，如：版本號、mac地址等，注冊在了對應(yīng)的AC（access controller）中。而AC鎖在專門的機柜中，是不對外公開的，用戶搜索不到AC。AC配置有登陸和管理密碼，由專人負責(zé)并定期更換密碼。一定數(shù)目的AP綁定在對應(yīng)的AC上，AC負責(zé)控制AP的運行和數(shù)據(jù)的傳輸，AP只負責(zé)提供終端接入連接和傳輸數(shù)據(jù)的作用。而且為了安全考慮，AP的注冊工作全部人工手動完成。這樣即使外來攻擊者偽造了一個AP，因為偽造的AP信息并沒有在AC中注冊，所以偽造的AP不能與AC進行通信，也就無法完成經(jīng)過AP、AC的用戶身份登陸認證，從而無法上網(wǎng)。用戶只需通過無法完成身份認證就可以將偽基站識別出來，讓其無所遁形。

由于無線網(wǎng)絡(luò)是通過電磁波在空氣中傳送數(shù)據(jù)，所以無線接入是區(qū)域接入，一定范圍的設(shè)備都可以接入進來，無法像有線網(wǎng)絡(luò)那樣嚴格的控制接入方。所以數(shù)據(jù)安全就成為無線網(wǎng)絡(luò)的一個突出問題，主要表現(xiàn)形式有：回話攔截、監(jiān)聽和非法入侵。我校無線校園網(wǎng)采取認證計費上網(wǎng)的方式，通過對三種認證方式的比較，最后選用的是portal無感知認證的方式具體認證流程如下：

步驟1、用戶連接WLAN網(wǎng)絡(luò)SSID，并通過DHCP服務(wù)器獲取IP地址信息。

步驟2、AC將監(jiān)控用戶的上網(wǎng)流量。

步驟3、當AC監(jiān)控的用戶流量達到閾值時，（例如流量閥值可設(shè)置為5分鐘累積流量10KB），AC將向MAC綁定服務(wù)器發(fā)起MAC查詢請求。

步驟4、MAC綁定服務(wù)器向AC返回查詢結(jié)果：此終端MAC信息未綁定。（由于此終端用戶是首次連接WLAN網(wǎng)絡(luò)，所以MAC綁定服務(wù)器中無此終端的MAC地址信息）

步驟5、AC將按照正常Portal流程向終端重定向Portal認證頁面。

步驟6、用戶終端輸入用戶名、密碼信息發(fā)起Portal認證。

步驟7、AC與Portal服務(wù)器、AAA服務(wù)器之間完成Portal認證。

步驟8、AC向MAC綁定服務(wù)器發(fā)起MAC綁定請求，MAC綁定服務(wù)器完成此用戶終端MAC地址信息的與Portal賬號的綁定。

步驟9、用戶認證成功，正常上網(wǎng)。

Portal用戶再次接入時，后臺自動認證，用戶零配置，好像沒有感覺到再次認證過程一樣，所以叫無感知認證。整個認證過程通過WAPI（WLAN authentication and privacy infrastructure）安全機制來保證，而我校的無線設(shè)備可實現(xiàn)WAPI快速漫游機制——即用戶在上網(wǎng)狀態(tài)下，從一個AP短時間內(nèi)移動到另一個AP，用戶網(wǎng)絡(luò)不會斷開。通過這些機制，既保護了用戶的信息安全，也得到了很好的用戶體驗。

無線校園網(wǎng)是由一段段的局域網(wǎng)構(gòu)成。所以針對局域網(wǎng)的一些攻擊，對于無線網(wǎng)仍然有效。比如ARP攻擊和斷網(wǎng)攻擊。作者使用兩臺筆記本電腦，在一個AP內(nèi)的局域網(wǎng)環(huán)境進行了測試。因為AP給接入用戶的IP使用的是DHCP的方式，所以，所以這兩種攻擊方式，都是實時的。但是這兩種攻擊方式，確實有效。被攻擊的電腦出現(xiàn)了網(wǎng)速緩慢甚至斷網(wǎng)的情況，同時，也出現(xiàn)了終端連接不上AP的情況。但是，通過fit ap的管理方式，可以在AC上加入相應(yīng)的控制，AC可以實施監(jiān)控其下的AP狀態(tài)，若發(fā)現(xiàn)有異常，可以通知AP DOWN掉相應(yīng)異常的終端。但是，這樣會影響正常終端的使用。接著，作者對不同的AP進行了局域網(wǎng)安全測試。之前那個AP假設(shè)名為AP1，另找一個與之相鄰的AP，假設(shè)名為AP2.再用一臺筆記本電腦連接AP2，實施觀察AP2的網(wǎng)絡(luò)情況。通過觀察和測試，AP2并未受到有病毒攻擊的AP1的影響。通過多次測試，得到一樣的結(jié)果。由此可見，AP可以有效隔離內(nèi)部的網(wǎng)絡(luò)攻擊，使攻擊不能波及下一個網(wǎng)內(nèi)，即另外的AP內(nèi)。

我校無線校園網(wǎng)的AP是對外公開的，連接AP時無需認證。因為認證是在連接上AP后，通過portal完成的。那么這些對外公開的AP就會存在安全風(fēng)險。作者通過兩臺有無線網(wǎng)卡的筆記本電腦進行了測試。首先將筆記本電腦A連接到無線AP上，并將無線網(wǎng)卡設(shè)置成混雜模式，隨后開啟測試軟件進行抓包。然后用另一臺筆記本電腦B連接到同一個AP上，模擬用戶的上網(wǎng)行為。先完成上網(wǎng)需要的身份認證，然后進行各種上網(wǎng)行為。測試中分別登錄QQ、微信、多個論壇，進行收發(fā)數(shù)據(jù)、下載文件等多個操作。為保證測試結(jié)果的可靠，作者分多次、通過不同的AP、使用幾種不同的常用抓包軟件分別進行了測試。通過測試發(fā)現(xiàn)，用戶進行校園網(wǎng)登錄認證時的信息是經(jīng)過加密的，無法直接得到。為了驗證加密的安全性，作者接著對該信息進行了密碼暴力破解，最終失敗。由此可見，portal的認證過程是安全可靠的，用戶信息能夠得到很好的保護。不過，在測試中發(fā)現(xiàn)，用戶在進行上網(wǎng)行為時，賬號和信息的安全取決于用戶所訪問的相應(yīng)的網(wǎng)站，個別網(wǎng)站的安全設(shè)置過于簡單，有些甚至簡單的通過對抓取的數(shù)據(jù)包進行分析，就可以得到。另外一些網(wǎng)站，雖然也對數(shù)據(jù)包進行了加密，但是通過對密碼的破解，就能夠得到。在訪問這些網(wǎng)站的時候，用戶的個人信息沒有安全保障。但是這些問題是由于這些網(wǎng)站或網(wǎng)頁的設(shè)置過于簡單安全保障過低所導(dǎo)致的，并不是因為無線校園網(wǎng)的安全問題造成的。

綜上所述，我校無線校園網(wǎng)的網(wǎng)絡(luò)架構(gòu)是穩(wěn)定的，網(wǎng)絡(luò)環(huán)境是安全可靠的，在測試中出現(xiàn)的安全隱患，也是由網(wǎng)絡(luò)或無線網(wǎng)絡(luò)機制本身的原因?qū)е碌??？梢詾閺V大師生的工作、學(xué)習(xí)、生活，提供優(yōu)良、放心的網(wǎng)絡(luò)環(huán)境。

參考文獻：

[1] 鄭瑞平.基于QinQ_Portal認證技術(shù)在校園無線網(wǎng)中的應(yīng)用[J].中國醫(yī)學(xué)教育技術(shù)，2014（8）.

[2] 苗卓，郝興浩，矯樂.無線傳感器網(wǎng)絡(luò)安全路由協(xié)議研究綜述[J].信息技術(shù)，2016（25）.

[3] 肖辰.無線傳感器網(wǎng)絡(luò)安全路由協(xié)議研究綜述[J].信息與電腦，2016（9）.

[4] 一種基于網(wǎng)絡(luò)安全的WIFI系統(tǒng)身份認證設(shè)計[J].電子設(shè)計工程，2016（7）.

[5] 申健，周倩芳.校園無線局域網(wǎng)安全現(xiàn)狀分析[J].網(wǎng)絡(luò)與信息工程，2016（15）.

[6] 葉子銘.論校園無線網(wǎng)絡(luò)安全存在的問題和對策[J]. 無線互聯(lián)科技， 2015（4）：12-13.