高校校園無線網絡的安全問題研究

中南財經政法大學信息與安全工程學院 徐 燦

建設無線網絡已經成為校園彌補有線網絡不足的重要措施，高校校園中的無線網絡建設，使校園內師生的生活方式和學習方式發(fā)生了很大的變化。與有線網絡相比，無線網絡更容易被攻擊和入侵，因此，高校校園無線網絡的安全問題必須得到重視。本文剖析了校園無線網絡的優(yōu)勢及其存在的安全隱患，并探討了校園無線網絡的安全防范策略。

1.引言

隨著經濟和技術的發(fā)展，智能手機、筆記本電腦等各種移動終端已在高校校園內普及，建設無線網絡已經成為校園彌補有線網絡不足的重要措施，無線網絡使人們不受網線的束縛，隨時隨地可以上網訪問相關信息。在校園網中開展無線網絡建設，可以推進高校信息化發(fā)展，有利于多種教學方式的實現(xiàn)，給師生的工作和學習帶來極大的便利[1]。不同于有線網絡的接入方式，在無線網絡中只要終端設備在無線信號覆蓋范圍內便可接入網絡，非常方便。與有線網絡相比，無線網絡更容易被攻擊和入侵，因此，高校校園無線網絡的安全問題必須得到重視。

2.校園無線網絡的優(yōu)勢

無線網絡不依賴網線，只要在無線網絡的覆蓋范圍之內，都可以連接網絡上網，真正實現(xiàn)了移動辦公，而且組網非常靈活；無線網絡的安裝很簡單，布線少，一般只需安裝一個或者幾個無線接入點設備，就可覆蓋整個建筑物或某一區(qū)域；發(fā)生故障時不需要查找故障線路，只需檢查信號發(fā)送端和接收端是否正常就可以；無線傳輸標準802.11b的傳輸速度可以達到11Mbps的數據速率，而標準802.11g的傳輸速度則可以達到54Mbps的數據速率，這些傳輸速度完全可以滿足高校校園網用戶對網速的要求；相對于有線網絡，無線網絡的建設費用要高些，但一旦建設好后，無線網絡的維護比較方便，而且維護成本比有線網絡低50%左右。

3.校園無線網絡的安全隱患

3.1 信息泄露

無線網絡的開放訪問特點讓很多上網設備都能無障礙地連上無線網絡，而且其中的網絡通信數據是以明文形式出現(xiàn)的，正因如此，攻擊者只要在無線網絡覆蓋范圍之內，就可以竊聽、篡改或轉發(fā)相關數據，導致校園網絡信息泄露，這是目前無線網絡面臨的最大的安全問題。

3.2 重放攻擊

網絡上傳輸的數據如果是加密過的，則竊聽者無法知道數據的準確意義。但如果他知道這些數據的作用，就可以在不知道數據內容的情況下通過再次發(fā)送這些數據達到愚弄接收端的目的。重放攻擊的基本原理就是把以前竊聽到的數據原封不動地重新發(fā)送給接收方。在高校無線網絡中，有些信息進行簡單加密后進行傳輸，這時攻擊者雖然無法竊聽到準確的信息，但他們卻可以首先截取加密后的數據然后將其重放，然后進行有效的攻擊。這種攻擊能夠對授權的客戶端和AP進行雙重欺騙，達到竊取和篡改信息的目的。

3.3 加密技術存在漏洞

當前互聯(lián)網上存在一些非法的軟件和程序，它們能夠捕捉到AP信號覆蓋區(qū)域的數據包，當它們收集了足夠多的WEP數據包之后就對WEP密鑰進行分析與恢復，有的甚至可以在兩小時內攻破WEP密鑰，從而從黑客演變?yōu)楹戏ǖ?AP 網絡使用用戶[2]。

3.4 MAC地址欺騙

MAC地址是固化在網卡上的物理地址，通常有48位長。以太網交換機根據某條數據包中的MAC源地址和MAC目的地址實現(xiàn)包的交換和傳遞。MAC地址欺騙的原理：正常情況下，二層交換機的地址表即CAM表存放了所有設備的MAC地址、交換機端口等信息，攻擊者將自己的MAC地址偽裝成某合法主機的MAC地址，欺騙交換機更新CAM表，導致所有發(fā)送給該合法主機的流量都被發(fā)送給攻擊者。

3.5 拒絕服務

拒絕服務即Denial of Service，簡稱DoS，其攻擊的目的是使主機或網絡無法提供正常的服務。攻擊者進行拒絕服務攻擊會使服務器實現(xiàn)兩種效果：一是迫使服務器的緩沖區(qū)滿，不接收新的請求；二是使用IP欺騙，迫使服務器連接非法用戶，影響合法用戶的連接。拒絕服務一般有兩種攻擊方式：一種是攻擊者對AP不斷地發(fā)送信息，導致AP拒絕服務；另一種是攻擊者對某個節(jié)點進行攻擊，讓它不停地提供服務或者轉發(fā)數據包，使其能源消耗而無法繼續(xù)工作，該種攻擊方式又可稱為能源消耗攻擊[3]。

4.校園無線網絡的安全防范策略

4.1 上網者身份認證

高校應當對學生和教師這兩大校園網用戶主體進行統(tǒng)一學號和工號的編排，師生上網時可以輸入自己的工號或學號，以對用戶身份和網絡使用權限進行驗證，只有通過驗證才能實現(xiàn)無線上網。

4.2 啟用加密功能

無線路由器里帶有WEP、WPA和WPA2三種加密方式。不建議選用WEP，因為WEP加密相對于其他兩種加密方式來說最古老，也最不安全。由于WPA2使用更安全的加密技術AES，因此比WPA更難被破解、更安全；并且WPA2加密密鑰在數據包廣播過程中會不斷發(fā)生變化，安全性更好，所以優(yōu)先啟用WPA2加密功能。

4.3 禁止SSID廣播

SSID是用來區(qū)分不同的無線網絡。AP和無線路由器默認情況下會向所有的無線客戶端廣播自己的SSID號，從而方便用戶接入相應的無線網絡。廣播SSID的功能在方便正常用戶的同時也給非法用戶接入網絡創(chuàng)造了條件，因此應當取消AP和無線路由器的“允許SSID廣播”功能，使得攻擊者攻擊時搜索不到SSID號，無法入侵網絡，從而增加校園無線網絡的安全性。

4.4 開啟MAC地址過濾

無線路由器上的MAC地址過濾功能，主要是用來控制無線局域網中的計算機對互聯(lián)網的訪問權限，就是允許或禁止指定的終端（以MAC地址來標識）連接無線信號，可以有效防止網絡被蹭。勾選“開啟MAC地址過濾”后，如果要設置白名單，則過濾規(guī)則選擇允許后，再根據需要添加允許訪問無線網絡的MAC地址條目；如果要設置黑名單，則過濾規(guī)則選擇禁止后，再根據需要添加禁止訪問無線網絡的MAC地址條目。對于指定的無線網絡，通過開啟無線路由器的MAC地址過濾功能，可以允許白名單里的MAC地址訪問而拒絕黑名單里的MAC地址訪問，從而有效控制無線網絡內用戶的上網權限。無線MAC過濾可以讓無線網絡獲得較高的安全性。

4.5 關閉路由器的DHCP功能

DHCP是動態(tài)分配IP地址，工作模式是客戶端/服務器端模式，無線路由器是服務器端，連接路由器的電腦、手機等是客戶端。服務器端即無線路由器開啟DHCP功能以后，如果客戶端設置自動獲取IP地址，那么無線路由器就對連接它的電腦、手機等自動分配IP地址；如果客戶端已手動配置好IP地址，那么DHCP就不會再給它分配IP地址了。如果關閉無線路由器的DHCP功能，那么企圖自動獲取IP地址的惡意用戶就無法得到IP地址，因為它獲取IP地址的請求沒有服務器來響應了。

4.6 防范拒絕服務攻擊

拒絕服務即DoS通過大量的虛擬信息流攻擊目標主機以耗盡其資源，使合法的用戶得不到提交的服務響應。為了防范DoS攻擊，可以在無線路由器管理界面“安全設置”的“高級安全選項”中啟用DoS攻擊防范功能。無線路由器判定是DoS攻擊的原理：設定一個時間間隔，設定一個閾值，如果在設定的時間間隔內，某種數據包超過了預設的閾值，無線路由器將認為DoS攻擊已經發(fā)生，從而停止接收該類型的數據包。

4.7 應用入侵檢測技術

將無線入侵檢測技術應用于校園無線網絡安全防范工作中，能方便網絡管理人員實時監(jiān)控無線網絡中的用戶行為。無線網絡管理人員要時刻監(jiān)測無線網絡，要對異常情況進行監(jiān)控和分析，判斷入侵的類型，對于那些非法的網絡行為和異常的流量要進行監(jiān)視和報警[4]。

入侵檢測系統(tǒng)可以對網絡傳輸進行即時監(jiān)視，它通過監(jiān)測網絡中的若干關鍵點，通過監(jiān)測到的信息分析網絡中是否存在被攻擊的情形，一旦發(fā)現(xiàn)可疑傳輸時就會發(fā)出警報提示或者采取積極主動的處理措施。入侵檢測是一種主動防御技術，能提供對網絡的實時防護，并能對即將發(fā)生的攻擊進行攔截或響應。

4.8 使用VPN技術

VPN（Virtual Private Networking），即虛擬專用網絡，也可應用于無線網絡，主要采用三種對稱加密算法：數據加密標準（DES）、3級DES（3DES）以及高級數據加密標準（AES），通過使用這些加密算法可以保障數據在傳輸過程中的安全。為了保證數據安全，在VPN服務器和客戶端之間的傳輸的數據都進行了加密處理，這樣，數據就好像是在一條專用的數據鏈路上進行傳輸，數據傳輸非常安全可靠，如同專門架設了一個專用網絡一樣，所以稱為虛擬專用網，但實際上VPN使用的還是互聯(lián)網上的公用鏈路。

4.9 提高安全意識

完善無線網絡安全的管理制度，培訓網絡安全知識，使網絡管理員和用戶提高安全意識。用戶配置無線設備時，盡量使用高安全等級，不要采用系統(tǒng)的默認設置；客戶端要安裝殺毒軟件和防火墻，以提高客戶端訪問的安全性。提升人員的安全意識和網絡管理技術水平是校園無線網絡安全防范工作的重中之重。

5.結語

網絡的安全性與使用便利性是一對矛盾，越方便的網絡使用起來越來越不安全。人們在享受無線網絡提供的服務的同時，必然會面臨無線網絡所帶來的安全威脅。盡管無線網絡存在眾多的安全隱患，但是并不能阻礙無線網絡的迅速發(fā)展，校園無線網絡是校園網絡不可缺少的組成部分，保障校園無線網絡的安全對于高校而言是尤為重要的，高校應當切實做好無線網絡的安全管理工作，并積極采取相關措施及時排除校園無線網絡中存在的安全隱患，以確保校園無線網絡的安全，進而促進高校校園的現(xiàn)代化網絡建設。