無線校園網(wǎng)面臨的安全問題及防范技術(shù)

鄭文光

摘要：無線網(wǎng)絡(luò)作為有線網(wǎng)絡(luò)的擴充，方便了用戶隨時隨地的無線網(wǎng)絡(luò)接入，得到了學校的青睞，在校園網(wǎng)中得到了廣泛的應(yīng)用。但是，隨之而來的校園無線網(wǎng)絡(luò)安全問題也開始受到了人們越來越多的關(guān)注。該文主要從校園無線網(wǎng)絡(luò)面臨的安全問題入手，討論對應(yīng)的防范措施，希望能給大家一些啟發(fā)。

關(guān)鍵詞：無線校園網(wǎng);網(wǎng)絡(luò)安全;安全防范

中圖分類號：TN925.93 文獻標識碼：A

文章編號：1009-3044（2020）11-0026-02

1概述

無線網(wǎng)絡(luò)作為有線網(wǎng)絡(luò)的擴充，具有安裝便捷、使用靈活、經(jīng)濟節(jié)約、易于擴展等有線網(wǎng)絡(luò)無法比擬的優(yōu)點，可以突破有線網(wǎng)絡(luò)節(jié)點限制，大大地增加了校園網(wǎng)絡(luò)信息點，方便在校師生獲取信息，進一步提升學校的信息化水平。

無線校園網(wǎng)，就是通過無線局域網(wǎng)（Wireless Local Area Network，簡稱WLAN）技術(shù)，在校園中建立的無線通信網(wǎng)絡(luò)，使校園的每個角落都處在網(wǎng)絡(luò)中，形成真正意義上的校園網(wǎng)。無線網(wǎng)絡(luò)采用共享介質(zhì)一無線電波作傳輸介質(zhì)，因而無線網(wǎng)絡(luò)相比有線網(wǎng)絡(luò)而言，面臨更多的安全風險和隱患。

2無線校園網(wǎng)面臨的安全問題

2.1邊界安全威脅

802.11網(wǎng)絡(luò)很容易受到各種網(wǎng)絡(luò)威脅的影響，如未經(jīng)授權(quán)的AP用戶、中間人攻擊、Ad-hoc網(wǎng)絡(luò)、拒絕服務(wù)型攻擊等。非法攻擊者可以采用暴力PSK密碼破解、泛洪攻擊、Spoof攻擊、WeakⅣ攻擊、ARP攻擊等多種攻擊手段攻擊校園無線網(wǎng)絡(luò)。同時非法設(shè)備對于無線網(wǎng)絡(luò)也是一個嚴重的安全威脅，比如非法AP帶來的信號干擾問題，無線信號傳輸時很容易受到同頻或鄰頻干擾，從而影響數(shù)據(jù)的正常傳輸。釣魚AP的接入很容易竊取到合法用戶的數(shù)據(jù)，使得用戶的資料暴露在攻擊者面前。

2.2接入安全威脅

WLAN終端通過無線接入AP，如果不對用戶接入作控制和授權(quán)管理，可能會造成非法的用戶接入校園網(wǎng)絡(luò)，同時，如果通過無線傳輸?shù)男畔⑽醇用芑蚣用芩惴ú话踩?，這樣的數(shù)據(jù)就很容易被破解，從而造成信息泄露，給個人或?qū)W校造成損失。

2.3業(yè)務(wù)安全威脅

非法用戶在無線校園網(wǎng)覆蓋的任何位置，都可以輕松的截獲用戶的數(shù)據(jù)，一旦用戶數(shù)據(jù)被捕獲，就可能會被竊取或篡改。

3無線網(wǎng)絡(luò)安全問題的針對性防范措施

沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。安全是發(fā)展的保障，網(wǎng)絡(luò)信息安全的重要性不言而喻。網(wǎng)絡(luò)信息安全的木桶原則指出我們需要對信息均衡、全面地進行保護。針對上述WLAN面臨的安全問題，可以采用以下的防范技術(shù)。

3.1邊界防御安全

為了提高邊界防御安全，在AC上配置無線入侵檢測系統(tǒng)WIDS和無線干擾防御系統(tǒng)WIPS。無線入侵檢測系統(tǒng)WIDS（Wireless Intrusion Detection System）可以檢測非法的用戶或AP;無線干擾防御系統(tǒng)WIPS（Wireless Intrusion Prevention System）可以保護企業(yè)網(wǎng)絡(luò)和用戶不被無線網(wǎng)絡(luò)上未經(jīng)授權(quán)的設(shè)備訪問。當AP工作在監(jiān)控模式或在正常模式下射頻開啟了空口掃描相關(guān)功能，該AP就可以掃描信道，監(jiān)測周邊設(shè)備信息并上報給AC進行設(shè)備的合法性判斷，一旦判定為非法AP、非法STA、非法網(wǎng)橋、非法Ad-hoc和干擾RU。就可以對非法設(shè)備進行反制，以阻止非法設(shè)備的接人。AP以對應(yīng)的非法身份發(fā)送單播解除認證Deauthentication幀阻止STA與非法AP、Ad-hoc的連接，阻止非法STA與AP的連接。

對于中小型WLAN網(wǎng)絡(luò)，為了及時發(fā)現(xiàn)WLAN網(wǎng)絡(luò)中受到的攻擊，可以啟動非法攻擊檢測功能，對泛洪攻擊、弱向量和欺騙攻擊等進行檢測，及時發(fā)現(xiàn)網(wǎng)絡(luò)的不安全因素，通過配置WIDS動態(tài)黑名單，可以自動將攻擊設(shè)備加入動態(tài)黑名單，設(shè)備會丟棄攻擊設(shè)備發(fā)送的所有報文，從而保障網(wǎng)絡(luò)的安全。通過配置STA地址嚴格DHCP獲取功能、動態(tài)ARP檢測功能、AP的IPSC功能、泛洪攻擊檢測功能以及去使能用戶側(cè)AP的DHCP信任功能，提高VAP的安全性，從而提升WLAN網(wǎng)絡(luò)安全。

3.2用戶接入安全

用戶接入無線網(wǎng)絡(luò)的合法性和安全性，包括：鏈路認證，用戶接入認證和數(shù)據(jù)加密。為了提高網(wǎng)絡(luò)使用的安全性，用戶在使用校園網(wǎng)絡(luò)時要求身份驗證。通過有線和無線認證統(tǒng)一，校園網(wǎng)用戶使用相同的賬號登錄有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)，為了防止未經(jīng)授權(quán)的訪問，可采用PORTAL認證方式。Portal認證通常也稱為Web認證，一般將Portal認證網(wǎng)站稱為門戶網(wǎng)站。用戶上網(wǎng)時，必須在門戶網(wǎng)站進行認證，只有認證通過后才可以使用網(wǎng)絡(luò)資源。PORTAL支持多協(xié)議、多渠道訪問，安全性高，同時不需要特定客戶端軟件，在配置設(shè)備時，為方便師生使用無線網(wǎng)絡(luò)，可以開啟無感知認證，實現(xiàn)“一次認證，多次登錄”。

為了防止用戶數(shù)據(jù)被破解，采用安全可靠的WPA2加密方式保護用戶的數(shù)據(jù)安全。WPA是繼承了WEP基本原理而又解決了WEP缺點的一種新技術(shù)。由于加強了生成加密密鑰的算法，因此即便收集到分組信息并對其進行解析，也幾乎無法計算出通用密鑰。WPA還追加了防止數(shù)據(jù)中途被篡改的功能和認證功能。

3.3業(yè)務(wù)安全

為了提高數(shù)據(jù)在傳輸過程中的安全性，避免合法用戶的業(yè)務(wù)數(shù)據(jù)在傳輸過程中被非法捕獲，為教職員工、學生和訪客提供不同的SSID，用戶根據(jù)自己的賬號連接對應(yīng)的無線網(wǎng)絡(luò)。在這過程中，對用戶進行隔離，利用VLAN技術(shù)限制用戶訪問的資源，通過這種方法可以很好地限制用戶根據(jù)授權(quán)訪問。

虛擬局域網(wǎng)（VLAN）是一組邏輯上的設(shè)備和用戶，這些設(shè)備和用戶并不受物理位置的限制，可以根據(jù)功能、部門及應(yīng)用等因素將它們組織起來。VLAN（虛擬局域網(wǎng)）技術(shù)在不改變物理架構(gòu)的前提下，可以基于端口劃分、IP地址劃分、MAC地址劃分、網(wǎng)絡(luò)協(xié)議劃分和按策略劃分虛擬局域網(wǎng)或業(yè)務(wù)數(shù)據(jù)，達到二層隔離三層互通或二三層都隔離。通過用戶隔離和安全策略應(yīng)用，可以很好地限制用戶的訪問。

4結(jié)束語

無線局域網(wǎng)得到越來越廣泛的使用。但是由于無線局域網(wǎng)信道開放的特點，使得攻擊者能夠很容易的進行竊聽和數(shù)據(jù)篡改。面臨的主要威脅有邊界安全威脅、接入安全威脅和業(yè)務(wù)安全威脅。在制定嚴格的安全制度和保證物理安全的基礎(chǔ)上，通過綜合運用無線入侵檢測系統(tǒng)WIDS和無線干擾防御系統(tǒng)WIPS，實施可靠的安全策略和用戶隔離可以很好地提高無線校園網(wǎng)的安全性。