摘 要： 無線網(wǎng)絡(luò)已成為校園網(wǎng)的重要組成部分。剖析了校園無線網(wǎng)絡(luò)存在的問題，給出了無線網(wǎng)絡(luò)安全防護(hù)對(duì)策、安全認(rèn)證方式和基礎(chǔ)技巧。

關(guān)鍵詞： 無線網(wǎng)絡(luò)； 安全認(rèn)證； 校園網(wǎng)； Web認(rèn)證

中圖分類號(hào)：TP393.1 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1006-8228（2013）10-29-02

0 引言

現(xiàn)代筆記本電腦和無線網(wǎng)卡產(chǎn)品價(jià)格逐步降低，使越來越多的人能夠使用。但無線信道的開放性增加了非法用戶和病毒入侵的幾率，其憑借無線網(wǎng)絡(luò)接入校園網(wǎng)，對(duì)校園網(wǎng)構(gòu)成威脅。本文分析了校園無線網(wǎng)絡(luò)存在的安全問題，從安全認(rèn)證方式和簡單易行的安全技巧，到建設(shè)安全的校園無線網(wǎng)絡(luò)，提出安全對(duì)策。為數(shù)字化校園應(yīng)用系統(tǒng)和實(shí)現(xiàn)管理、科研、教學(xué)的全面數(shù)字化的安全運(yùn)行提供思路。

1 校園無線網(wǎng)絡(luò)存在問題

⑴ 目前無線網(wǎng)絡(luò)提供常用的三種安全機(jī)制。一是基于MAC地址的認(rèn)證，實(shí)施MAC地址訪問控制，制作MAC地址列表，但隨著用戶增加而效率降低，且MAC地址很容易被竊取和偽造，因此安全性較低。二是共享密鑰認(rèn)證，該方法要求接入點(diǎn)和無線設(shè)備使用對(duì)等保密算法，即用戶使用正確密鑰即可獲得訪問權(quán)。但在認(rèn)證時(shí)，攻擊者可利用加密前后的詢問消息，通過數(shù)學(xué)運(yùn)算即可獲得共享密鑰生成的偽隨機(jī)密碼流，從而偽造合法的響應(yīng)消息通過了認(rèn)證。三是802.1x認(rèn)證。802.1x協(xié)議稱為基于端口的訪問控制協(xié)議，它是第二層協(xié)議，需要通過802.1x協(xié)議客戶端軟件發(fā)起請(qǐng)求，通過認(rèn)證后打開邏輯端口，然后發(fā)起DHCP請(qǐng)求活動(dòng)IP以及訪問網(wǎng)絡(luò)的權(quán)限。用戶在認(rèn)證通過情況下，端口被打開，因此該機(jī)制存在安全隱患，用戶可以私接交換機(jī)、更改IP、更改MAC地址，實(shí)現(xiàn)蹭網(wǎng)、盜用他人流量等行為。

⑵ 部分AP安全設(shè)置級(jí)別過低，或保持出廠的默認(rèn)設(shè)置，使AP在沒有加密或弱加密條件下工作，使得非法用戶有機(jī)可乘，私自接入到校園網(wǎng)絡(luò)攻擊校園網(wǎng)。

⑶ 無線網(wǎng)絡(luò)客戶端連接設(shè)置不正確。部分用戶接入校園網(wǎng)線網(wǎng)絡(luò)同時(shí)對(duì)外發(fā)布無線信號(hào)，如不對(duì)無線網(wǎng)覆蓋范圍和連接用戶數(shù)作限制，則非法用戶可以和校園無線客戶端建立一個(gè)直連網(wǎng)絡(luò)AdHoc，從而順利接入校園對(duì)校園網(wǎng)產(chǎn)生威脅。

2 無線網(wǎng)絡(luò)安全防護(hù)對(duì)策

2.1 做好硬件設(shè)備備份

無線網(wǎng)絡(luò)較有線網(wǎng)絡(luò)有其特殊性，對(duì)于無線網(wǎng)絡(luò)設(shè)備如無線控制器、無線AP等應(yīng)做好預(yù)留備份，出現(xiàn)問題及時(shí)更換。對(duì)于重要節(jié)點(diǎn)如圖書館、網(wǎng)絡(luò)中心等應(yīng)提供有線網(wǎng)絡(luò)備份，同時(shí)無線網(wǎng)絡(luò)的配置也應(yīng)有備份，以便恢復(fù)時(shí)快捷便利。

2.2 建立無線網(wǎng)絡(luò)監(jiān)控和記錄機(jī)制

由于無線網(wǎng)絡(luò)接入用戶具有很大的移動(dòng)性和變化性，因此做好用戶訪問行為記錄非常重要。在無線網(wǎng)絡(luò)中加入無線網(wǎng)絡(luò)控制器，對(duì)用戶進(jìn)行嚴(yán)格的權(quán)限分配，對(duì)無線接入點(diǎn)、交換機(jī)進(jìn)行實(shí)時(shí)監(jiān)控。包括對(duì)無線用戶的統(tǒng)一認(rèn)證、監(jiān)控和流量管理，記錄用戶名、訪問時(shí)間、IP地址、MAC地址等信息，記錄日志定時(shí)上傳至服務(wù)器。通過對(duì)日志分析，可以避免一些安全隱患、排除故障和追究相關(guān)人員責(zé)任。

在無線控制器上進(jìn)行相應(yīng)策略設(shè)置，對(duì)無線數(shù)據(jù)包進(jìn)行實(shí)時(shí)檢測(cè)，如發(fā)現(xiàn)有人入侵及時(shí)紀(jì)錄并做出自動(dòng)保護(hù)響應(yīng)。

2.3 無線網(wǎng)絡(luò)單獨(dú)規(guī)劃子網(wǎng)

為保證學(xué)校校本資源的安全，需將無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)分開，單獨(dú)規(guī)劃子網(wǎng)，將學(xué)校網(wǎng)絡(luò)結(jié)構(gòu)分為無線子網(wǎng)、有線子網(wǎng)、資源子網(wǎng)三部分，如圖1所示。

在核心交換機(jī)上設(shè)置訪問控制列表，嚴(yán)格控制各子網(wǎng)間訪問，防止無線網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)資源進(jìn)行非授權(quán)訪問。無線用戶首先通過認(rèn)證接入無線網(wǎng)絡(luò)，繼而獲得授權(quán)，根據(jù)授權(quán)限訪問網(wǎng)內(nèi)資源。訪問控制可以基于以下屬性：源IP地址、源MAC地址、目的IP地址、目的MAC地址、協(xié)議類型、用戶ID、用戶時(shí)長等[1]。

2.4 無線網(wǎng)絡(luò)病毒防護(hù)

在無線網(wǎng)絡(luò)上網(wǎng)須知中明確規(guī)定，無線用戶必須安裝最新的防病毒軟件，對(duì)無防病毒軟件的終端禁止入網(wǎng)。同時(shí)在無線控制器上設(shè)定策略，對(duì)無線終端用戶進(jìn)行準(zhǔn)入檢查，如未通過禁止訪問網(wǎng)絡(luò)。對(duì)校本資源或校園網(wǎng)站服務(wù)器的訪問權(quán)限設(shè)定嚴(yán)格的控制策略。無線網(wǎng)絡(luò)的管理者應(yīng)培養(yǎng)其前瞻性和主動(dòng)性，能夠提前做好防護(hù)措施。

3 安全認(rèn)證方式

無線網(wǎng)絡(luò)的建設(shè)目標(biāo)是與有線網(wǎng)及校本資源的有效融合，做到安全、便捷，在認(rèn)證上盡量做到統(tǒng)一?，F(xiàn)有的校園網(wǎng)無線終端包含不同類型，有計(jì)算機(jī)、智能手機(jī)、平板電腦，還有支持無線網(wǎng)的打印機(jī)和監(jiān)控設(shè)備等，這些終端對(duì)認(rèn)證方式的支持情況各不相同，必須考慮為所有終端提供適當(dāng)?shù)恼J(rèn)證方式。根據(jù)校園網(wǎng)用戶的安全需求，及校內(nèi)無線終端類型的統(tǒng)計(jì)，我們提供以下幾種認(rèn)證方式。

3.1 802.1x認(rèn)證

該認(rèn)證是根據(jù)用戶帳號(hào)和設(shè)備，對(duì)客戶端進(jìn)行鑒權(quán)，只適合于接入用戶設(shè)備與接入端口間點(diǎn)到點(diǎn)的連接方式。校園網(wǎng)中的端口多指用戶設(shè)備的MAC地址，需要MAC地址處于激活狀態(tài)，否則無法進(jìn)行認(rèn)證。在802.1x認(rèn)證體系中，必須具備客戶端、接入認(rèn)證交換機(jī)和認(rèn)證服務(wù)器三者，才能完成基于端口的訪問認(rèn)證和授權(quán)[2]。

802.1x可以作為WPA的認(rèn)證組件，支持AES/TKIP數(shù)據(jù)加密，為用戶數(shù)據(jù)提供加密服務(wù)。其突出優(yōu)點(diǎn)就是簡單易行、安全可靠、認(rèn)證效率高。同時(shí)避免了網(wǎng)絡(luò)認(rèn)證計(jì)費(fèi)瓶頸的單點(diǎn)故障。且在二層網(wǎng)絡(luò)上實(shí)現(xiàn)用戶認(rèn)證，降低了建網(wǎng)成本，目前基于802.1x的認(rèn)證技術(shù)在校園網(wǎng)絡(luò)應(yīng)用比較普遍。

3.2 Web認(rèn)證

Web認(rèn)證指通過Web protral為用戶提供界面認(rèn)證方式。該認(rèn)證方案需要首先給用戶分配一個(gè)地址，用戶打開Web瀏覽器試圖訪問某網(wǎng)站時(shí)，認(rèn)證系統(tǒng)會(huì)推出認(rèn)證界面，在鍵入正確用戶名稱和口令后，觸發(fā)客戶端重新發(fā)起地址分配請(qǐng)求，提供給用戶可以訪問外網(wǎng)的地址；用戶下線時(shí)通過客戶端發(fā)起離線請(qǐng)求。

Web認(rèn)證不需要特殊的客戶端軟件，可降低網(wǎng)絡(luò)維護(hù)工作量。但其承載在七層協(xié)議上，對(duì)設(shè)備要求較高，且用戶連接線差，離線檢測(cè)困難；用戶在訪問網(wǎng)絡(luò)前，不論是TELNET、FTP還是其它業(yè)務(wù)，必須使用瀏覽器進(jìn)行Web認(rèn)證；IP地址的分配在用戶認(rèn)證之前，如果用戶不上網(wǎng)，則造成地址的浪費(fèi)[2]。

3.3 MAC地址認(rèn)證

MAC地址認(rèn)證是一種基于端口和MAC地址對(duì)用戶的網(wǎng)絡(luò)訪問權(quán)限進(jìn)行控制的方法，優(yōu)點(diǎn)是不需要安裝客戶端軟件，配置命令比較簡單，適合學(xué)校內(nèi)部的中小型網(wǎng)絡(luò)。

基于MAC地址認(rèn)證，需要提供以下功能組件：一是具有MAC地址認(rèn)證功能的交換機(jī)，能夠直接對(duì)終端進(jìn)行地址認(rèn)證；二是Radius服務(wù)器，如果交換機(jī)無法提供MAC地址是否合法，需要使用Radius服務(wù)器進(jìn)行驗(yàn)證。在Windows server2003中，Windows IAS服務(wù)能夠提供標(biāo)準(zhǔn)的Radius服務(wù)，但I(xiàn)AS無法建立MAC帳戶，需要Windows的Active Directory（活動(dòng)目錄）服務(wù)與IAS服務(wù)相結(jié)合，即可實(shí)現(xiàn)認(rèn)證和管理MAC帳戶功能。

具體的MAC地址認(rèn)證可分為兩種方式，白名單和黑名單。白名單即服務(wù)器提供并維護(hù)一個(gè)MAC地址列表，該表中MAC地址是合法可訪問網(wǎng)絡(luò)的；黑名單中則列舉了已知的對(duì)網(wǎng)絡(luò)有威脅的設(shè)備MAC地址。建議學(xué)?？梢詾闊o線儀器設(shè)備、無線打印機(jī)等設(shè)置專門的WLAN，采用MAC地址認(rèn)證，為這些特殊設(shè)備提供安全的網(wǎng)絡(luò)服務(wù)。

3.4 分類認(rèn)證

分析校園網(wǎng)用戶主要有兩類：一類是校內(nèi)用戶，另一類是來訪用戶。學(xué)校師生構(gòu)成校內(nèi)用戶，為滿足工作和學(xué)習(xí)需要，他們要求能隨時(shí)隨地接入校園網(wǎng)，訪問Internet及校內(nèi)資源，而且他們的數(shù)據(jù)如個(gè)人信息、研究資料和科研成果等對(duì)安全性要求較高，故可使用802.1x認(rèn)證方式對(duì)用戶進(jìn)行認(rèn)證。來訪用戶主要由來校交流、參觀或培訓(xùn)群體組成，他們對(duì)安全性要求不是特別高，能夠快速接入Internet即可，因此可采用DHCP+強(qiáng)制Portal認(rèn)證方式接入校園無線網(wǎng)絡(luò)。

4 基礎(chǔ)網(wǎng)絡(luò)安全技巧

4.1 更改路由器默認(rèn)設(shè)置

出廠狀態(tài)下無線路由器的用戶名和密碼均為admin，IP地址為192.168.1.1，如不更改極易被篡改，用戶首要做的是更改其默認(rèn)設(shè)置。

4.2 IP與MAC地址的綁定

小范圍內(nèi)的無線局域網(wǎng)，如辦公室、會(huì)議室等，無線路由器或AP再分配IP地址時(shí)，通常使用DHCP動(dòng)態(tài)分配IP，不法分子只要找到無線網(wǎng)絡(luò)，很容易通過DHCP自動(dòng)獲得合法IP地址。因此建議關(guān)閉DHCP服務(wù)，分配固定的IP地址，并將IP地址和客戶端MAC地址綁定，這樣可大大提升網(wǎng)絡(luò)的安全。

4.3 改變服務(wù)集標(biāo)示符并且禁止SSID廣播

SSID，簡稱服務(wù)集標(biāo)識(shí)符，用戶通過它來接入無線網(wǎng)絡(luò)。這個(gè)標(biāo)識(shí)符由通信設(shè)備制造商提供，如TP-Link廠家提供的標(biāo)識(shí)符就是TP-LINK。需要給這些接入點(diǎn)設(shè)置一個(gè)難以推測(cè)的SSID，甚至禁止SSID向外廣播。這樣使用者的無線網(wǎng)絡(luò)就不會(huì)通過廣播形式來告知其他用戶，但并不代表網(wǎng)絡(luò)不可用，只是它不會(huì)出現(xiàn)在可使用的網(wǎng)絡(luò)名單中。

4.4 禁用動(dòng)態(tài)主機(jī)配置協(xié)議

該策略迫使黑客去破解用戶的IP地址，子網(wǎng)掩碼和其他必需的TCP/IP參數(shù)。因?yàn)榧词购诳涂梢允褂糜脩舻臒o線接入點(diǎn)，但還必需要知道用戶的IP地址，這樣可給黑客增加一定的破解難度。

4.5 在不使用網(wǎng)絡(luò)時(shí)將其關(guān)閉

如果無線網(wǎng)絡(luò)不需要一天24小時(shí)提供服務(wù)，可以通過關(guān)閉它而減少被黑客利用的機(jī)會(huì)。對(duì)一個(gè)系統(tǒng)安全性最大改進(jìn)措施之一就是直接關(guān)閉它，因?yàn)闆]有人可以訪問一個(gè)沒有運(yùn)行的網(wǎng)絡(luò)。

5 結(jié)束語

無線網(wǎng)的覆蓋便捷及接入簡單，使其在校園內(nèi)廣泛普及，但很多學(xué)校往往忽視了安全問題，只有運(yùn)用上述手段，才能有效控制非法用戶侵入校園網(wǎng)，維持校園網(wǎng)的健康穩(wěn)定運(yùn)行。同時(shí)學(xué)校信息化辦公室和網(wǎng)管中心應(yīng)該牽頭，攜手做好無線網(wǎng)絡(luò)的安全管理工作，確保校園無線網(wǎng)絡(luò)的安全性、可靠性，實(shí)現(xiàn)校園的現(xiàn)代化網(wǎng)絡(luò)建設(shè)。

參考文獻(xiàn)：

[1] 程勝軍，韓桂華.無線局域網(wǎng)安全技術(shù)研究[J].軟件導(dǎo)刊，2008.12：173-175

[2] 劉梅.基于802.1X的校園網(wǎng)接入認(rèn)證安全防御[J].中國教育網(wǎng)絡(luò)，2012.2：56-57

[3] 唐保存.校園無線網(wǎng)安全現(xiàn)狀與解決方案淺析[J].長江大學(xué)學(xué)報(bào)（自然版）理工卷，2012.9（1）：132-134

[4] 劉巨濤.網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)絡(luò)建設(shè)中的應(yīng)用研究[J].內(nèi)蒙古農(nóng)業(yè)大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2012.14（1）：89-91

[5] 楊加.校園網(wǎng)絡(luò)安全與對(duì)策[J].科技信息，2012.13：45-46

[6] 肖弋.校園無線網(wǎng)安全技術(shù)研究[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012.10：84-85

[7] 林敏，陳少涌.無線校園網(wǎng)：安全和融合是關(guān)鍵[J].中國教育網(wǎng)絡(luò)，2011.5：67-68