【摘要】 WLAN已經(jīng)成為眾多高校一個重要的組成部分，但是隨之而來的安全問題也影響著高校WLAN安全穩(wěn)定運行，本文分析了高校WLAN面臨的安全隱患，并提出了相應(yīng)的安全策略來保障WLAN的安全性、穩(wěn)定性和可用性。

【關(guān)鍵詞】 高校WLAN 安全 應(yīng)對策略

一、引言

隨著WLAN的不斷推廣和普及，高校師生可以使用帶有無線網(wǎng)卡的終端方便的接入到網(wǎng)絡(luò)。但安全問題也隨之而來，無線網(wǎng)絡(luò)使用電磁波作為傳輸介質(zhì)，容易被竊聽或干擾。使用相應(yīng)的工具，可以方便的抓取網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包并破解。另外，由于使用群體知識層次較高、對WLAN的攻擊性較強，因此制定行之有效的安全策略，保障高校WLAN通信的安全，已經(jīng)成為高校網(wǎng)絡(luò)管理者必須認真面對的問題。

二、高校WLAN存在的安全問題

高校WLAN存在的安全威脅主要分為兩種：一是針對網(wǎng)絡(luò)接入、訪問控制、數(shù)據(jù)保密性和完整性的攻擊。二是針對WLAN的設(shè)計、部署以及運行而進行的攻擊，主要表現(xiàn)如下：（1）加密機制的弱點。WEP加密算法因為本身的缺陷，非常容易遭到破解，雖然絕大多數(shù)設(shè)備已經(jīng)不再使用該加密方式，但早期的某些終端仍然在使用，這就給整個網(wǎng)絡(luò)帶來巨大的威脅。2008年國外已經(jīng)破解了WPA加密算法，隨后蹭網(wǎng)卡的大量出現(xiàn)，帶來SpoonWPA廣泛使用。44GB WPA Hash Table的出現(xiàn)和GPU時代的來臨，配合EWSA攻擊利器，使得個人破解WPA成為可能，也給高校的WLAN帶來了更多的威脅?；?02.1X的認證協(xié)議是目前主流的無線網(wǎng)絡(luò)認證協(xié)議，但802.1X協(xié)議也存在漏洞，容易受到重放、拒絕服務(wù)等攻擊。針對802.1X的攻擊也日益增多，針對EAP擴展MD5、LEAP、TLS等協(xié)議的攻擊模型也日漸成熟。（2）攻擊手段的多樣化。主動攻擊，攻擊者通過多種攻擊手段，針對WLAN發(fā)動攻擊，如攻擊者通過非法的無線電干擾，致使AP無法正常工作。還可以通過重放、修改報文等手段達到欺騙的目的。攻擊者還可通過拒絕服務(wù)攻擊使網(wǎng)絡(luò)癱瘓，無法為合法用戶提供正常的服務(wù)。被動攻擊，主要是收集相關(guān)信息，高校的WLAN具有開放性，攻擊值可以通過收集大量的用戶數(shù)據(jù)包來分析個人信息，被動攻擊具有較強的隱蔽性，很難被檢測到，防范難度也就變得更大。（3）網(wǎng)絡(luò)設(shè)備自身的漏洞。網(wǎng)絡(luò)設(shè)備的漏洞也日益增多，如IOS本身存在漏洞、安全規(guī)則和網(wǎng)絡(luò)協(xié)議漏洞等，針對網(wǎng)絡(luò)設(shè)備漏洞的攻擊也日益增多，而大多數(shù)WLAN設(shè)備廠商沒有良好的安全響應(yīng)機制，不能及時發(fā)布安全補丁或者安全通告，這就使得WLAN網(wǎng)絡(luò)安全受到越來越多的威脅。

三、高校WLAN安全應(yīng)對策略

高校的WLAN的安全需要采取多項措施來保證網(wǎng)絡(luò)的安全，這些措施主要包含身份認證、數(shù)據(jù)加密、訪問控制、入侵檢測等技術(shù)手段。

（1）身份認證和訪問控制。通過身份認證措施，禁止未授權(quán)用戶接入網(wǎng)絡(luò)。流行的寬帶接入的認證方式主要有：PPPoE、Web/Portal和802.1X等認證方式，建議高校WLAN采用802.1X認證，該認證方式可以很好的支持組播業(yè)務(wù)，可以將用戶映射到不同認證登記的VLAN，數(shù)據(jù)包無需進行多層協(xié)議的封裝，認證過程和業(yè)務(wù)分離。另外，不同的用戶具有不同的訪問權(quán)限，很多敏感資源進行保護。（2）數(shù)據(jù)加密。目前高校WLAN普遍采用瘦AP模式，認證過程可以采用802.11i認證方式，采用的加密算法是AES-CCMP，該算法是目前最安全的無線安全協(xié)議，采用專用認證服務(wù)器，提供了加密、認證、數(shù)據(jù)完整性檢測和重放保護等安全機制。另外，在關(guān)鍵區(qū)域，可采用VPN等加密措施，對客戶端和AP間的通信過程進行保護，即使攻擊者截獲到通信數(shù)據(jù)，也無法了解通數(shù)據(jù)包詳細內(nèi)容。（3）網(wǎng)絡(luò)可用性。不管是由于拒絕服務(wù)攻擊還是由于設(shè)備故障，WLAN建設(shè)中關(guān)鍵部分需要保證客戶端正常訪問網(wǎng)絡(luò)，在高校WLAN的食堂、圖書館的等數(shù)據(jù)流量大的區(qū)域，當(dāng)一個新的客戶端需要接入網(wǎng)絡(luò)，從而提供更好的QoS，保證網(wǎng)絡(luò)的可用性。高校的WLAN需要正常、合理的分配無線信道，適當(dāng)?shù)恼{(diào)整AP功率。非法入侵者可能利用射頻掃描工具探查合法無線設(shè)備的工作參數(shù)、用戶數(shù)據(jù)等敏感信息，非法的無線設(shè)備也可能侵占合法的無線信道，從而對合法設(shè)備的信道利用產(chǎn)生干擾。因此，必須具備無線射頻監(jiān)控能力，能針對非法用戶的掃頻行為和嘗試連接進行快速發(fā)現(xiàn)、警告、定位并可以將其剔除，從而保障WLAN的安全穩(wěn)定運行。

四、總結(jié)

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和攻擊技術(shù)的不斷改善，針對高校WLAN的安全威脅無處不在，要保障高校WLAN安全穩(wěn)定運行，需要從多方位、多角度、多層次進行綜合考慮，采取靈活多樣的安全措施，建立多元化的保護機制來保障WLAN的安全穩(wěn)定可用。