摘要：隨著信息技術(shù)飛速發(fā)展，教師和學生對校園網(wǎng)的依賴性非常高，“隨時隨地獲取信息”已成為廣大師生的新需求。但是，傳統(tǒng)的有線校園網(wǎng)存在著眾多“網(wǎng)絡盲點”，所以，從應用需求方面考慮，無線網(wǎng)絡比較適合學校的一些不易網(wǎng)絡布線的場所應用，但是無線網(wǎng)絡在數(shù)據(jù)傳輸時采用的是信道共享通信方式，所以很容易受到各種網(wǎng)絡威脅的影響，那么如何做到無線校園網(wǎng)的安全將是本文主要闡述的內(nèi)容。

關(guān)鍵詞：無線網(wǎng)絡；安全；校園

中圖分類號：TP393 文獻標識碼：A 文章編號：1674-7712 （2012） 18-0036-01

無線網(wǎng)絡適合學校的一些不易網(wǎng)絡布線的場所應用，因此大部分高校都架設了自己的無線校園網(wǎng)，但是由于無線網(wǎng)絡在數(shù)據(jù)傳輸時采用的是信道共享通信方式，較易受到各種網(wǎng)絡威脅的影響，如未經(jīng)授權(quán)的AP設備、WEP加密中使用了弱向量加密數(shù)據(jù)、拒絕服務型攻擊等。

非法的AP設備對于企業(yè)網(wǎng)絡的安全來說是一個嚴重的威脅。用戶私自架設未經(jīng)授權(quán)的基站，用戶也許沒有足夠的能力和意愿，正確的運用安全性的功能。即使這些設備已經(jīng)采取適當防護，未經(jīng)授權(quán)的設備也有可能干擾現(xiàn)有網(wǎng)絡的運作。

一、非法設備的檢測與抑制

（一）非法設備的檢測

要避免非法設備的安全威脅，首先要確定它們是不是存在。確定未經(jīng)授權(quán)設備的存在后，可以使用具有檢測程序的特殊設備，而這種檢測程序已經(jīng)被整合進無線局域網(wǎng)設備系統(tǒng)。檢測設備可以定期的搜尋未經(jīng)授權(quán)的設備，對非法設備的掃描，可以被動的聆聽數(shù)據(jù)，或者主動使用802.11ProbeRequest幀，讓未經(jīng)授權(quán)的網(wǎng)絡自動現(xiàn)形。為了達到效果，檢測程序須涵蓋所有可用的802.11信道。無線局域網(wǎng)絡須具備這種檢測能力，可以使用獨立的檢測設備，也可以使用同時提供接入服務和具有檢測功能的設備。網(wǎng)管人員通常在提供給用戶的服務品質(zhì)、檢測信息品質(zhì)和成本之間做出取舍。獨立的檢測設備可以提供較好的檢測結(jié)果，但成本會提高。以原本提供用戶服務的設備來檢測未經(jīng)授權(quán)的設備會降低成本，但可能會中斷或降低服務的質(zhì)量。

監(jiān)控AP通過掃描周圍的無線網(wǎng)絡環(huán)境來檢測。掃描過程可以分為主動掃描和被動掃描，掃描過程在所有信道間進行。

在掃描期間，監(jiān)控AP接收其它設備發(fā)送的802.11幀，掃描結(jié)果會周期性的發(fā)送到AC。AC接收到掃描報告后，根據(jù)預先定義的規(guī)則，將設備判定為合法設備或非法設備。若開啟了反制措施，將根據(jù)非法設備產(chǎn)生AttackList，將該攻擊列表發(fā)送到相應的監(jiān)控AP。監(jiān)控AP通過使用非法設備的地址發(fā)送假的解除認證報文進行反制。如果該非法設備是一個接入點，那么將通過使用該接入點的BSSID來發(fā)送假的廣播型解除認證報文，使得通過該BSSID接入的Station下線；如果該非法設備是一個Station，那么將使用該Station的地址發(fā)送單播解除認證報文，使得該Station同其關(guān)聯(lián)的接入點斷開。

（二）非法設備判定的規(guī)則

非法設備根據(jù)類型主要有非法AP、非法Client、非法WirelessBridge、Ad-hocmode，大致可以歸為兩大類，一類是接入點，一類是無線終端。

（三）非法設備抑制措施

對非法設備的抑制是使用一些協(xié)議上的技巧，來阻止或打斷私設基站的連接。一般而言，這些做法可以阻止其他工作站連接到私設基站，或者是設法中斷現(xiàn)有的連接。

要中斷連接程序，可以使用設備送出偽造的Beacon或ProbeResponse幀，由于Beacon或ProbeResponse幀不會經(jīng)過驗證，因此基站可以輕易冒充非法設備。偽造的幀所包含的信息，可能和非法設備所傳送的幀彼此沖突，令工作站不知所從。

二、802.11攻擊檢測

802.11攻擊檢測是為了及時發(fā)現(xiàn)無線網(wǎng)絡中的惡意或者無意的攻擊，通過添加攻擊者至黑名單或記錄信息、發(fā)送日志的方式通知網(wǎng)絡管理者。目前攻擊檢測包括802.11報文泛洪攻擊檢測、APSpoof檢測等。

（一）泛洪攻擊（FloodAttack）

WLAN設備在短時間內(nèi)接收大量同一源MAC地址的同種類型的管理報文或空數(shù)據(jù)幀報文時，設備會被泛洪攻擊報文淹沒而無法處理真正的無線終端的報文，此時，系統(tǒng)會認為發(fā)生了泛洪攻擊。設備檢測通過持續(xù)監(jiān)控每臺設備的流量的大小來預防這種泛洪攻擊。當流量超出可容忍的上限時，該設備將被認為是在網(wǎng)絡內(nèi)泛洪，從而將被鎖定。如果設備同時開啟了動態(tài)黑名單，被檢查到的泛洪設備將被加入動態(tài)黑名單，并被強制下線。在動態(tài)黑名單老化之前，設備不再處理此源地址發(fā)送的報文。

（二）欺騙攻擊（SpoofAttack）

欺騙攻擊也稱為中間人攻擊，這種攻擊是以其它設備的名義發(fā)送欺騙攻擊報文。設備通過檢測上述兩種報文中的BSSID和源MAC地址是否合法來判斷是否發(fā)生了SpoofAttack。如果接入點是工作在監(jiān)控模式，則檢查報文的BSSID是不是為當前接入點的射頻地址，如果是，那么該報文就是一個Spoof報文，否則，將不被認為發(fā)生了Spoof攻擊。如果接入點工作在普通模式，則先判斷報文是不是為廣播解除認證報文，如果是，則進一步的判斷報文的源MAC地址是不是為一個合法接入的Station，如果是合法的Station，則不認為發(fā)生了Spoof攻擊，否則，判斷該報文的BSSID是不是為當前網(wǎng)絡中的一個合法BSSID，如果是當前網(wǎng)絡的BSSID，則認為發(fā)生了Spoof攻擊。WIDS對于檢測到的Spoof型攻擊，將記錄日志，并上報TRAP信息并通知網(wǎng)管，通過其它管理手段解決。

三、幀過濾

幀過濾是802.11MAC和WIDS的一個子特性，包括白名單列表、靜態(tài)黑名單列表和動態(tài)黑名單列表。過濾行為實體維持了接入終端的MAC地址，只有在輸入的MAC地址匹配相應規(guī)則的情況下才被執(zhí)行。

當無線接入點接收到一個幀時，不管該幀是否存在于幀過濾列表中，其輸入MAC地址都將被檢查。如果輸入的MAC地址不在白名單列表內(nèi)，該幀會被丟棄。如果沒有設置白名單列表，將搜索靜態(tài)和動態(tài)黑名單列表。如果輸入的MAC的地址不能匹配任何的列表，則該幀將被保留做進一步的處理。當幀過濾列表中不存在任何表項時，所有的幀都將被允許通過。

通過以上幾個配置方案，針對無線校園網(wǎng)的安全設置，防止了非法設備的非法接入，阻止了泛洪攻擊和欺騙攻擊，通過MAC地址過濾，阻止非法用戶和非法用戶訪問網(wǎng)絡，保障了無線網(wǎng)絡的安全，從而保障了校園網(wǎng)絡的正常運行。