朱會亮

摘 要 隨著無線網(wǎng)絡(luò)在校園當(dāng)中的廣泛發(fā)展，在給我們帶來便捷的同時也給我們的校園網(wǎng)絡(luò)安全防護(hù)帶來了全新的挑戰(zhàn)。本文針對校園無線網(wǎng)絡(luò)的安全防護(hù)問題，從網(wǎng)絡(luò)的物理層到應(yīng)用層全面的分析無線網(wǎng)絡(luò)安全防護(hù)問題，并根據(jù)相應(yīng)的問題提出了防護(hù)策略，對無線網(wǎng)絡(luò)在校園的應(yīng)用具有一定得借鑒意義。

關(guān)鍵詞 無線網(wǎng)絡(luò) 防范策略 網(wǎng)絡(luò)安全

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A

0 引言

隨著互聯(lián)網(wǎng)技術(shù)的廣泛普及和應(yīng)用，各大高校都在著手建設(shè)基于數(shù)據(jù)網(wǎng)絡(luò)的環(huán)境，但有線網(wǎng)絡(luò)在實施過程中工程量大，破壞性強(qiáng)，網(wǎng)中的各節(jié)點(diǎn)移動性不強(qiáng)。為了解決這些問題，部分高校開始在原有的有線網(wǎng)絡(luò)基礎(chǔ)上增建無線網(wǎng)絡(luò)來解決現(xiàn)有的有線網(wǎng)絡(luò)帶來的弊端和不足。但無線網(wǎng)絡(luò)在給我們帶來便捷的同時，其無線接入的安全性也面臨嚴(yán)峻的考驗。

對于無線校園網(wǎng)絡(luò)，由于它特有的使用空中載波信道作為傳輸載體，其物理層與數(shù)據(jù)鏈路層的工作原理和傳統(tǒng)的網(wǎng)絡(luò)不同，使用的安全策略也和傳統(tǒng)有線網(wǎng)絡(luò)有很大差別。那么作為無線網(wǎng)絡(luò)的管理者怎樣從眾人當(dāng)中分辨出合法用戶，同時又能將非法入侵者隔離出無線網(wǎng)絡(luò)之外，這往往成為無線網(wǎng)絡(luò)建設(shè)管理者維護(hù)好網(wǎng)絡(luò)的重點(diǎn)。而對于現(xiàn)如今的校園無線網(wǎng)絡(luò)，也必須要進(jìn)行多層次化的安全防護(hù)。

1 物理層防護(hù)

在無線網(wǎng)絡(luò)物理層容易出現(xiàn)無線信號廣播問題，即無線信號的廣播使得非法或惡意用戶更加容易接入網(wǎng)絡(luò)；無線覆蓋漏洞：無線信號有可能會由于某個AP出現(xiàn)問題而引起無線覆蓋空白區(qū)。無線信號干擾：在無線環(huán)境中在某些情況下會出現(xiàn)信號干擾問題，比如為了要求高容量臨時增加了AP的數(shù)量，其他非無線設(shè)備的同頻或雜散干擾。資源侵占：非認(rèn)證用戶通過接入AP互傳數(shù)據(jù)惡意侵占無線資源，造成合法用戶無法得到合理的無線資源保證。

對于以上問題的防護(hù)，可采取通過信號的指向性部署，如在室內(nèi)部署采用輕量級AP時，在面板側(cè)配置板狀定向天線系列實施角度覆蓋，可以減少由于其全向覆蓋造成的信號泄漏。禁用廣播SSID將導(dǎo)致非法或惡意用戶無法獲取帶有SSID的信標(biāo)，這將保護(hù)那些隱藏在SSID后的用戶群組。無線控制器通過獲取該AP周邊其他AP反饋的無線環(huán)境狀況發(fā)現(xiàn)問題，并通知周邊AP擴(kuò)大覆蓋范圍來彌補(bǔ)信號漏洞。無線控制器可以通過AP及時發(fā)現(xiàn)這些干擾的存在并對其周邊AP進(jìn)行參數(shù)調(diào)整（功率、頻點(diǎn)），以避免干擾。

2 數(shù)據(jù)鏈路層安全

鏈路層當(dāng)中常見的潛在問題往往是管理幀參數(shù)沒有加密，在802.11標(biāo)準(zhǔn)中由于管理幀參數(shù)不加密或缺乏驗證機(jī)制很容易造成中間人攻擊的行為發(fā)生，一個入侵者通過篡改管理幀來達(dá)到用戶流量的分析及篡改。此外，室內(nèi)瘦AP點(diǎn)與無線控制器之間需要通過二層或三層網(wǎng)絡(luò)，所以無線控制器與AP的控制消息之間如果沒有數(shù)據(jù)加密和完整性驗證將會導(dǎo)致中間人攻擊行為。關(guān)鍵用戶（高權(quán)限管理人員）的無線客戶端有在于AP交互數(shù)據(jù)的過程中如果不進(jìn)行空中鏈路的保護(hù)無線數(shù)據(jù)將會被他人竊聽，造成嚴(yán)重的泄密。在鏈路層常見的無線側(cè)的網(wǎng)絡(luò)攻擊還有管理框架洪水、未認(rèn)證的入侵、認(rèn)證洪水、探測請求洪水、偽冒AP洪水、零探測響應(yīng)、EAP握手洪水等。上述攻擊都會造成AP無法正常工作以及無線資源的耗盡。如果選擇不合理的用戶接入方式也會導(dǎo)致嚴(yán)重的安全問題。

鏈路層的管理幀保護(hù)（MFP）是通過在AP管理幀上增加了基于無線網(wǎng)絡(luò)配置的校驗字段，通過該字段來標(biāo)識管理幀的合法性，任何對管理幀的篡改都會被系統(tǒng)識別出來。針對于無線側(cè)的網(wǎng)絡(luò)攻擊，無線控制器作為控制所有所屬AP的大腦，本身也是一個無線側(cè)的IDS系統(tǒng)，針對攻擊無線控制器通過網(wǎng)管可以及時發(fā)現(xiàn)并報告攻擊的產(chǎn)生，通過定位服務(wù)可以發(fā)現(xiàn)攻擊者的具體位置，并引導(dǎo)網(wǎng)管員或自動實施策略操作，對該非法用戶實施阻斷。在用戶接入安全方面，原則是權(quán)限越高的用戶接入方式要越加嚴(yán)格，對于公眾用戶可以采用Web認(rèn)證的方式，但這些用戶無法接觸到敏感數(shù)據(jù)資源。對于用戶接入的網(wǎng)絡(luò)，采用在同一個AP下針對同一或不同的SSID對應(yīng)不同的VLAN以及認(rèn)證模式，所以靈活的對應(yīng)關(guān)系可以確保徹底全面地執(zhí)行網(wǎng)絡(luò)接入安全策略。

3 網(wǎng)絡(luò)上層安全

在網(wǎng)絡(luò)上層常見的問題包括帶寬肆意侵占、蠕蟲病毒泛濫、針對應(yīng)用服務(wù)系統(tǒng)的攻擊、對網(wǎng)絡(luò)中其他主機(jī)的攻擊、對敏感資源的好奇等。

當(dāng)遇到蠕蟲病毒、惡意代碼防范，使用網(wǎng)絡(luò)狀態(tài)的檢測設(shè)備或手段，包括狀態(tài)樣式識別、協(xié)議解析、啟發(fā)式檢測和異常檢測，能夠阻止網(wǎng)絡(luò)上的非法惡意行為，例如黑客發(fā)動的攻擊，檢測器能夠?qū)崟r分析流量，使用戶能夠快速對安全問題作出反應(yīng)，根據(jù)實際問題對不正常的用戶執(zhí)行排除策略，確保有效的無線資源。在網(wǎng)絡(luò)上層還應(yīng)針對業(yè)務(wù)、應(yīng)用帶寬進(jìn)行管理，根據(jù)業(yè)務(wù)優(yōu)先分級，需要對高級別的業(yè)務(wù)進(jìn)行帶寬保障，同時多低級別的業(yè)務(wù)進(jìn)行帶寬限制。分析和了解網(wǎng)絡(luò)中的各種應(yīng)用流量，進(jìn)行帶寬保障和限制。

參考文獻(xiàn)

[1] 丁家鳳.無線網(wǎng)絡(luò)通信加密措施探討[J].信息技術(shù)，2011（2）：333-5.

[2] 趙建超，尹新富.校園無線網(wǎng)絡(luò)安全綜合防御[J].制造業(yè)自動化，2011（2）：293-1.

[3] 張麗娜.無線局域網(wǎng)面臨的安全問題及防范措施[J].大理學(xué)院學(xué)報，2010（4）：26-29.