唐保存 (雞西大學(xué)電氣與信息工程學(xué)院，黑龍江 雞西 158100)

校園無線網(wǎng)安全現(xiàn)狀與解決方案淺析

唐保存 (雞西大學(xué)電氣與信息工程學(xué)院，黑龍江 雞西 158100)

隨著筆記本的普及和對(duì)互聯(lián)網(wǎng)的需求，教師與學(xué)生都迫切的希望能夠在公共場所進(jìn)行網(wǎng)上教學(xué)活動(dòng)，有線網(wǎng)絡(luò)無法滿足用戶對(duì)移動(dòng)網(wǎng)絡(luò)的需求，無線網(wǎng)絡(luò)已經(jīng)逐漸成為校園網(wǎng)的一個(gè)組成部分。對(duì)校園無線網(wǎng)絡(luò)的安全性進(jìn)行分析，并給出適合校園的無線網(wǎng)絡(luò)解決方案。

無線網(wǎng)絡(luò)；認(rèn)證；解決方案

無線技術(shù)標(biāo)準(zhǔn)有多種，不管采用哪種無線技術(shù)標(biāo)準(zhǔn)，未來無線網(wǎng)絡(luò)的傳輸速度與穩(wěn)定性都將會(huì)不斷升高，甚至還有可能超過有線網(wǎng)絡(luò)。因此，無線網(wǎng)絡(luò)將在不同的消費(fèi)群體有很大的發(fā)展空間。在過去的很多年，網(wǎng)絡(luò)的傳輸介質(zhì)主要使光纜和同軸電纜，在有線網(wǎng)絡(luò)的鋪設(shè)、施工和綜合布線的過程中工作量很大，同時(shí)具有破壞性，網(wǎng)絡(luò)中各個(gè)節(jié)點(diǎn)的移動(dòng)性不靈活[1]，這就為無線網(wǎng)絡(luò)的發(fā)展提供了一定的空間。但是，目前很多接入者沒有采取適當(dāng)?shù)陌踩胧词挂恍┏跫?jí)黑客都有可能利用容易得到的廉價(jià)設(shè)備對(duì)無線網(wǎng)絡(luò)進(jìn)行攻擊。為此，筆者對(duì)校園無線網(wǎng)絡(luò)的安全性進(jìn)行了分析，并給出適合校園的無線網(wǎng)絡(luò)解決方案。

1 校園內(nèi)無線網(wǎng)絡(luò)的安全現(xiàn)狀

隨著校園內(nèi)無線網(wǎng)絡(luò)的陸續(xù)建成，在教室、會(huì)議室、辦公室等場所，都有很多教師和學(xué)生利用筆記本電腦通過無線網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)。但是，使用無線網(wǎng)絡(luò)的時(shí)候，網(wǎng)絡(luò)的安全性也面臨著嚴(yán)峻的考驗(yàn)。非法接入和帶寬盜用等等安全隱患都一直存在無線網(wǎng)絡(luò)中。對(duì)于安全問題，大部分研究者都把目光放在802.11i標(biāo)準(zhǔn)、硬件生產(chǎn)者、行業(yè)組織、WEP存在漏洞等上面了。然而筆者認(rèn)為，研究無線網(wǎng)絡(luò)的安全性問題應(yīng)該從2個(gè)方面出發(fā)的，第1個(gè)是硬件生產(chǎn)者和行業(yè)組織應(yīng)該致力于新技術(shù)、新標(biāo)準(zhǔn)的推出與統(tǒng)一，第2個(gè)是用戶使用網(wǎng)絡(luò)的安全意識(shí)。

無線網(wǎng)絡(luò)的安全性與網(wǎng)絡(luò)部署者是有直接關(guān)系的。如果是電信或者是網(wǎng)通部署的無線網(wǎng)絡(luò)，那么無線網(wǎng)絡(luò)的安全性是比較完善，網(wǎng)絡(luò)中的用戶將被進(jìn)行強(qiáng)制身份認(rèn)證。相比之下，很多家庭、校園和企事業(yè)單位等部門的無線網(wǎng)絡(luò)已經(jīng)成為了安全事故的頻發(fā)重災(zāi)區(qū)，這些無線網(wǎng)絡(luò)，大多數(shù)都是由集成商或者是由用戶自己單獨(dú)完成網(wǎng)絡(luò)鋪設(shè)的，而鋪設(shè)者的安全意識(shí)、鋪設(shè)技術(shù)水平都很有限，造成這些部門無線網(wǎng)絡(luò)的防護(hù)措施不當(dāng)、安全級(jí)別很低，形成了隱患，為非法用戶入侵者提供了一定的可乘之機(jī)。

此外，校園網(wǎng)絡(luò)中有不少無線訪問點(diǎn)根本就沒有考慮到訪問的安全性，針對(duì)很基本的安全問題(如基于MAC地址的認(rèn)證、共享密鑰的認(rèn)證)都沒有進(jìn)行設(shè)置。如果拿著筆記本電腦在校園內(nèi)走動(dòng)，就有很多的無線訪問點(diǎn)會(huì)被搜索到，被搜索到的訪問點(diǎn)幾乎都沒有進(jìn)行安全設(shè)置，安全防范措施幾乎都忽略了，可以相當(dāng)容易的訪問?？上攵?，要是讓不明身份的非法用戶進(jìn)入無線網(wǎng)絡(luò)，就會(huì)有可能對(duì)校園網(wǎng)絡(luò)造成一定的安全威脅。

2 校園內(nèi)無線網(wǎng)絡(luò)安全解決方案

考慮到在校園中用戶的特殊性，為了更好的保障校園中無線網(wǎng)絡(luò)的安全，可以采用不同的認(rèn)證方法，即對(duì)不同類型的用戶給予相應(yīng)的認(rèn)證?？梢园研@網(wǎng)絡(luò)中的用戶主要分成為2個(gè)類別(即校內(nèi)用戶和臨時(shí)用戶)。

1)校內(nèi)用戶 老師和學(xué)生構(gòu)成了校內(nèi)用戶，由于老師工作和學(xué)生的學(xué)習(xí)需要，他們要求對(duì)無線網(wǎng)絡(luò)能隨時(shí)的接入，來訪問校園中的網(wǎng)絡(luò)資源和訪問互聯(lián)網(wǎng)，這個(gè)類型用戶的數(shù)據(jù)安全性要求比較高，如教師的科研成果 、研究資料及論文等，采用符合WPA安全架構(gòu)的802.1x標(biāo)準(zhǔn)認(rèn)證的接入方式[2]，認(rèn)證通過的用戶將獲得一個(gè)用戶唯一的主密鑰，通過該主密鑰客戶端和負(fù)責(zé)接入的AP將根據(jù)TKIP方法動(dòng)態(tài)生成數(shù)據(jù)包唯一的加密密鑰，通信雙方以此進(jìn)行通信加密。在校園有線網(wǎng)L3分布層交換機(jī)上配置VLAN的子接口，利用該子接口作為這個(gè)SSID所代表的VLAN的網(wǎng)關(guān)，對(duì)其進(jìn)行路由轉(zhuǎn)發(fā)。從而使通過認(rèn)證的校園內(nèi)部用戶能夠如同用有線接入一樣訪問整個(gè)校園網(wǎng)絡(luò)，但是由于對(duì)無線通信進(jìn)行了動(dòng)態(tài)加密，保證了校園的敏感數(shù)據(jù)在空中傳輸?shù)陌踩?，有效地解決了校園無線應(yīng)用的首要問題。

2)臨時(shí)用戶 臨時(shí)用戶主要是由來學(xué)校進(jìn)行培訓(xùn)、進(jìn)行學(xué)術(shù)交流或者是參觀的用戶構(gòu)成的，臨時(shí)用戶對(duì)網(wǎng)絡(luò)的安全需求并不是很高，他們對(duì)網(wǎng)絡(luò)的需求主要是用來快速地接入互聯(lián)網(wǎng)，瀏覽相應(yīng)的網(wǎng)站和發(fā)收電子郵件等。對(duì)于用WEB方式認(rèn)證的校外來訪用戶，當(dāng)利用基于英特爾公司迅馳移動(dòng)技術(shù)的筆記本電腦連接上無線接入點(diǎn)后，可以通過AC設(shè)備的DHCP服務(wù)或企業(yè)的專用DHCP服務(wù)器獲得IP地址、網(wǎng)關(guān)和DNS信息[3]，無須安裝客戶端軟件，直接利用瀏覽器就可以通過充當(dāng)WNC設(shè)備進(jìn)行WEB方式認(rèn)證，認(rèn)證通過后就可以接入到Internet。為保證整個(gè)園區(qū)網(wǎng)絡(luò)的安全性，對(duì)于該SSID接入的用戶必須以WNC作為其網(wǎng)關(guān)設(shè)備，所以L3分布層交換機(jī)無須對(duì)該SSID所代表的VLAN進(jìn)行路由轉(zhuǎn)發(fā)。如果這些用戶需要訪問校園內(nèi)部網(wǎng)絡(luò)，可以通過在這一WNC設(shè)備上啟用用戶級(jí)的策略路由來實(shí)現(xiàn)。這樣在保證一定安全性的基礎(chǔ)上方便了來訪用戶或漫游用戶的接入，提高了無線網(wǎng)絡(luò)的易用性和靈活性。

[1]趙琴. 淺談無線網(wǎng)絡(luò)的安全性研究[J]. 機(jī)械管理開發(fā),2008,12(1):32-33.

[2]楊峰,張浩軍. 無線局域網(wǎng)安全協(xié)議的研究和實(shí)現(xiàn)[J]. 計(jì)算機(jī)應(yīng)用,2007,25(1):11-13.

[3]黃勁榮. 無線局域網(wǎng)在校園網(wǎng)的應(yīng)用[J]. 教育信息化,2009,15(1):44-45.

[編輯] 洪云飛

10.3969/j.issn.1673-1409.2012.01.037

TN925.93

A

1673-1409(2012)01-N116-02