梁富強(qiáng)

（鄭州華信學(xué)院，河南 鄭州 451150）

1 概述

隨著信息技術(shù)的發(fā)展和教育信息化進(jìn)程的推進(jìn)，無(wú)線局域網(wǎng)技術(shù)在高校校園網(wǎng)中的應(yīng)用逐漸普及。校園無(wú)線局域網(wǎng)表現(xiàn)出方便、靈活的組網(wǎng)方式和廣泛的適用環(huán)境等優(yōu)點(diǎn)，無(wú)線局域網(wǎng)技術(shù)其傳輸介質(zhì)是開(kāi)放性的，數(shù)據(jù)在通信傳播過(guò)程中，極有可能被一些非法的接收設(shè)備所接收，這也給非法入侵者有了可乘之機(jī)。而校園無(wú)線網(wǎng)絡(luò)自身的受眾比較多，網(wǎng)絡(luò)覆蓋的范圍大，終端設(shè)備種類(lèi)繁多，無(wú)線局域網(wǎng)更易遭受黑客攻擊和泄密，因此更具有應(yīng)用群體復(fù)雜、管理難度大等特點(diǎn)，致使網(wǎng)絡(luò)本身更具脆弱性，如何保障高校校園無(wú)線局域網(wǎng)通信的安全，使其真正便捷地為廣大師生服務(wù)，是值得研究的課題之一。

2 計(jì)算機(jī)無(wú)線網(wǎng)絡(luò)存在的威脅

無(wú)線網(wǎng)絡(luò)一般受到的攻擊可分為兩大類(lèi)：第一類(lèi)是基于無(wú)線通信網(wǎng)絡(luò)的設(shè)計(jì)特點(diǎn)、 部署情況以及維護(hù)的獨(dú)特方式而進(jìn)行的特定攻擊。另一類(lèi)是對(duì)無(wú)線網(wǎng)絡(luò)訪問(wèn)控制以及數(shù)據(jù)機(jī)密和系統(tǒng)完整保護(hù)而進(jìn)行的網(wǎng)絡(luò)攻擊； 第二種類(lèi)型是傳統(tǒng)的網(wǎng)絡(luò)攻擊方式，在有線網(wǎng)絡(luò)環(huán)境下也有發(fā)生。所以說(shuō)，對(duì)于無(wú)線網(wǎng)絡(luò)連接安全性的探討是對(duì)傳統(tǒng)有線網(wǎng)絡(luò)安全問(wèn)題研究的升級(jí)和進(jìn)一步學(xué)習(xí)。

2.1 自身加密簡(jiǎn)單引起的攻擊

現(xiàn)在普通的無(wú)線路由器采用的是動(dòng)態(tài)有效保密方式（WEP），它不是效果很好的加密方式。WEP 中的IV 向量存在位數(shù)過(guò)短以及初始化復(fù)位的設(shè)計(jì)形式，會(huì)在運(yùn)算時(shí)經(jīng)常重復(fù)，可輕松被人利用。而對(duì)于其中的加密的RC4 算法，雖然安全性有一定提升，但在其前面的256 個(gè)字節(jié)數(shù)據(jù)中密鑰有一定弱點(diǎn)，也易于被人輕松化解。明文完整性校驗(yàn)的CRC 循環(huán)冗余校驗(yàn)碼只能確保數(shù)據(jù)正確傳輸，但是否被修改卻不能保證，因此很容易被人利用。

鑒于此，使WEP 接受一個(gè)外部密鑰管理系統(tǒng)使用的密鑰的過(guò)程，使網(wǎng)絡(luò)的安全管理員在外部就可以通過(guò)管理系統(tǒng)控制減少I(mǎi)V 的沖突數(shù)量，使無(wú)線網(wǎng)絡(luò)變得安全一些。但這種方式的缺陷是過(guò)程過(guò)于復(fù)雜，且需要不時(shí)進(jìn)行手工操作，這對(duì)于龐大的校園無(wú)線網(wǎng)絡(luò)來(lái)說(shuō)不太容易實(shí)現(xiàn)，所以很多網(wǎng)絡(luò)的管理者為了方便，還會(huì)使用缺省的WEP 密鑰，這在一定程度上減少了對(duì)非法入侵的用戶在密鑰破解上的工作量。

校園網(wǎng)的用戶使用無(wú)線網(wǎng)絡(luò)多數(shù)都是為了簡(jiǎn)便，對(duì)于網(wǎng)絡(luò)使用者并沒(méi)有過(guò)多的了解，許多計(jì)算機(jī)的配置選項(xiàng)都沒(méi)有更改過(guò)，使用的加密手段也相對(duì)簡(jiǎn)單，這為入侵者提供了便利。

2.2 信息泄露威脅與網(wǎng)絡(luò)欺騙

信息泄露的情況包括竊聽(tīng)、截取和監(jiān)聽(tīng)。竊聽(tīng)是指我們流經(jīng)網(wǎng)絡(luò)的計(jì)算機(jī)通信的電子形式被偷聽(tīng)，它是以無(wú)法覺(jué)察和被動(dòng)的方式入侵人們的設(shè)備，人們一般不得而知。也許我們的網(wǎng)絡(luò)不對(duì)外廣播網(wǎng)絡(luò)信息，但只要有任何明文信息存在，攻擊者仍然可以通過(guò)使用特定工具來(lái)監(jiān)聽(tīng)和分析通信量，從而檢索出可以被破解的信息。欺騙的攻擊手段，是通過(guò)自身的偽裝，欺騙網(wǎng)絡(luò)管理系統(tǒng)，使得它們錯(cuò)誤地認(rèn)為這個(gè)終端設(shè)備是通過(guò)授權(quán)允許訪問(wèn)網(wǎng)絡(luò)的設(shè)備，通常非法入侵者通過(guò)修改MAC 地址即可實(shí)現(xiàn)這一目標(biāo)。

2.3 類(lèi)型繁多的網(wǎng)絡(luò)攻擊

(1) 所謂的探測(cè)攻擊實(shí)際上是非法入侵者進(jìn)行的信息采集活動(dòng)，它們通過(guò)搜集網(wǎng)絡(luò)數(shù)據(jù)，以便于以后進(jìn)入網(wǎng)絡(luò)。網(wǎng)絡(luò)攻擊的實(shí)質(zhì)就是尋找網(wǎng)絡(luò)的漏洞并利用這個(gè)漏洞進(jìn)入不被授權(quán)的網(wǎng)絡(luò)進(jìn)行破壞。大多數(shù)時(shí)間軟件工具被用于了解網(wǎng)絡(luò)資源情況，尋找目標(biāo)網(wǎng)絡(luò)以及用戶應(yīng)用中的潛在漏洞。有一些專(zhuān)門(mén)破解密碼的軟件。這種軟件起先是為網(wǎng)絡(luò)管理員而設(shè)計(jì)的，管理員利用它們來(lái)幫助那些忘記密碼的員工。不可否認(rèn)的是，這種軟件到了別有用心的人手中，就成為對(duì)網(wǎng)絡(luò)安全非常大的威脅。

(2)訪問(wèn)攻擊用于發(fā)現(xiàn)身份認(rèn)證服務(wù)、文件傳輸協(xié)議(FTP)功能等網(wǎng)絡(luò)領(lǐng)域的漏洞，以訪問(wèn)電子郵件賬號(hào)、數(shù)據(jù)庫(kù)和其他保密信息。

(3)用戶設(shè)備所受威脅。IEEE802.11 標(biāo)準(zhǔn)規(guī)定WEP 加密給用戶分配一個(gè)靜態(tài)密鑰，因此只要有一塊無(wú)線網(wǎng)網(wǎng)卡，攻擊者就可以擁有一個(gè)無(wú)線網(wǎng)使用的合法MAC 地址。所以，整個(gè)校園網(wǎng)絡(luò)如果眾多的終端用戶筆記本電腦被盜或丟失，其丟失的不僅僅是電腦本身，還包括設(shè)備上的身份驗(yàn)證信息，如網(wǎng)絡(luò)的SSID及密鑰。

3 高校校園無(wú)線網(wǎng)絡(luò)安全解決方案

3.1 身份認(rèn)證

采用基于設(shè)備終端的無(wú)線網(wǎng)絡(luò)認(rèn)證，通過(guò)共享的WEP 密鑰來(lái)實(shí)現(xiàn)。

以上的MAC 地址認(rèn)證以及共享密鑰認(rèn)證都還有一定的安全隱患。在無(wú)線網(wǎng)絡(luò)進(jìn)入校園以后，MAC 地址認(rèn)證需要進(jìn)行維護(hù)和數(shù)據(jù)管理的問(wèn)題。例如EAP-TLS、EAP-TTLS、LEAP 和PEAP 在無(wú)線網(wǎng)絡(luò)中，設(shè)備認(rèn)證和用戶認(rèn)證都應(yīng)該實(shí)施，從而確保最有效的無(wú)線網(wǎng)絡(luò)安全。用戶認(rèn)證信息應(yīng)該通過(guò)安全隧道傳輸，保證用戶認(rèn)證信息交換是加密的。針對(duì)校園多用戶群體的特點(diǎn)，可以對(duì)不同用戶使用不同的認(rèn)證方法，以此來(lái)確保無(wú)線校園網(wǎng)絡(luò)的安全性。大多數(shù)商業(yè)級(jí)路由器，采用了無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)（WPA）加密方式，它是目前通用的加密標(biāo)準(zhǔn)，比WEP 更強(qiáng)大有效。同時(shí)，大多數(shù)品牌的普通無(wú)線路由器可以采用固件升級(jí)的方式來(lái)實(shí)現(xiàn)WPA 加密方式，這樣可以避免一些惡意病毒及惡意行為對(duì)學(xué)校無(wú)線局域網(wǎng)絡(luò)的沖擊。介質(zhì)訪問(wèn)控制（MAC）地址表是基于MAC 地址的認(rèn)證系統(tǒng)，把校園網(wǎng)內(nèi)的筆記本電腦等無(wú)線終端加入MAC 地址表中，保證了無(wú)線終端的數(shù)量及無(wú)線終端的可控性，也限制了不明無(wú)線終端來(lái)使用校園無(wú)線網(wǎng)絡(luò)資源的可能。

3.2 訪問(wèn)控制

網(wǎng)絡(luò)用戶的訪問(wèn)控制主要通過(guò)AAA 服務(wù)器來(lái)實(shí)現(xiàn)。這種方式讓網(wǎng)絡(luò)有了更好的擴(kuò)展性，有些訪問(wèn)控制服務(wù)器在802.1x的各安全端口上提供了機(jī)器認(rèn)證，在這種環(huán)境下，只有當(dāng)用戶成功通過(guò)802.1x 規(guī)定端口的識(shí)別后才能進(jìn)行端口訪問(wèn)。

一般來(lái)說(shuō)，校園無(wú)線網(wǎng)絡(luò)分為內(nèi)網(wǎng)和外網(wǎng)兩個(gè)部分。內(nèi)網(wǎng)是指學(xué)校內(nèi)部訪問(wèn)數(shù)據(jù)和資源的過(guò)程，師生可根據(jù)需要隨時(shí)在校園內(nèi)訪問(wèn)網(wǎng)絡(luò)。像一些研究成果以及學(xué)術(shù)論文等都要求有較好的安全性。針對(duì)此類(lèi)用戶可以采用802.1x 進(jìn)行認(rèn)證。即先由用戶向認(rèn)證服務(wù)器發(fā)出接入申請(qǐng)，若申請(qǐng)未通過(guò)，用戶無(wú)法訪問(wèn)網(wǎng)絡(luò)。設(shè)立證書(shū)服務(wù)器，以數(shù)字證書(shū)的形式達(dá)到雙向認(rèn)證的目的，這樣可以有效避免用戶接入非法AP 以及非法用戶使用網(wǎng)絡(luò)，只有在通過(guò)雙向認(rèn)證之后，用戶方可訪問(wèn)網(wǎng)絡(luò)，用這種辦法保證校園網(wǎng)資源的安全性。外網(wǎng)來(lái)自學(xué)校外部訪問(wèn)數(shù)據(jù)和資源的過(guò)程，主要是針對(duì)來(lái)學(xué)校進(jìn)行學(xué)術(shù)交流、培訓(xùn)等用戶，這些用戶關(guān)注的是能夠方便、快捷地接入網(wǎng)絡(luò)。因此，他們不能訪問(wèn)校園網(wǎng)內(nèi)部如學(xué)校公共數(shù)據(jù)庫(kù)、 圖書(shū)館期刊全文數(shù)據(jù)庫(kù)以及一些學(xué)校內(nèi)部資源的一些受限資源。如果用戶是外網(wǎng)需要訪問(wèn)校園網(wǎng)以外的數(shù)據(jù)，要先通過(guò)強(qiáng)制Portal 認(rèn)證之后方可訪問(wèn)網(wǎng)絡(luò)。

3.3 可用性

無(wú)線網(wǎng)絡(luò)在受到攻擊之時(shí)，要求其他需要仍能保障，減少停機(jī)時(shí)間。無(wú)論我們?cè)庥龅氖荄OS 攻擊還是設(shè)備故障，無(wú)線網(wǎng)絡(luò)仍然要保障用戶的使用。保證這項(xiàng)功能所花費(fèi)資源的多少主要取決于保證無(wú)線網(wǎng)絡(luò)訪問(wèn)正常運(yùn)行的重要性。當(dāng)一個(gè)客戶端試圖與某個(gè)特定的AP 通訊，而認(rèn)證服務(wù)器不能提供服務(wù)時(shí)也會(huì)產(chǎn)生可用性問(wèn)題。問(wèn)題產(chǎn)生的原因是由于擁塞的連接阻礙了認(rèn)證交換的數(shù)據(jù)包，這時(shí)候可以給予該數(shù)據(jù)包更高的優(yōu)先級(jí)以提供更好的QOS。另外可以設(shè)置本地認(rèn)證作為備用，以便于在AAA 服務(wù)器不能提供服務(wù)時(shí)對(duì)無(wú)線客戶端進(jìn)行認(rèn)證。

3.4 配置好防火墻的防御功能

現(xiàn)在校園網(wǎng)采用的無(wú)線路由器通常支持一個(gè)或者多個(gè)防火墻功能，防火墻提供了用于阻止和允許特定網(wǎng)絡(luò)雙向通信的基本功能，并能使用NAT 服務(wù)來(lái)隱藏內(nèi)部校園網(wǎng)絡(luò)地址，它就像是隔離本地和外部網(wǎng)絡(luò)的一道防御系統(tǒng)。我們作為網(wǎng)絡(luò)管理員若能正確及時(shí)配置好無(wú)線路由器防火墻的防御參數(shù)，就能有效地提高校園無(wú)線網(wǎng)絡(luò)的安全性，從而防止或減少ARP 欺騙、DDoS（分布式的拒絕服務(wù)）和DoS（拒絕服務(wù)）保護(hù)、PING 攻擊等現(xiàn)象。

4 結(jié)論

社會(huì)的飛速發(fā)展和網(wǎng)絡(luò)的快速普及，使得計(jì)算機(jī)無(wú)線網(wǎng)絡(luò)成為在校教師和學(xué)生獲取咨詢的重要依靠，也為學(xué)校建立智能化教學(xué)系統(tǒng)、提高信息化水平起著巨大作用。但是，無(wú)線網(wǎng)絡(luò)中的威脅無(wú)處不在，再加上校園無(wú)線局域網(wǎng)應(yīng)用環(huán)境的多樣性，就必須從多方面綜合地去考慮如何更安全的利用網(wǎng)絡(luò)。積極探索新的機(jī)制來(lái)升級(jí)系統(tǒng)，加強(qiáng)對(duì)無(wú)線網(wǎng)絡(luò)安全的防護(hù)與研究，從而實(shí)現(xiàn)校園網(wǎng)絡(luò)的安全可靠。真正為數(shù)字化校園做貢獻(xiàn)，使高校無(wú)線網(wǎng)絡(luò)真正安全便捷地為師生服務(wù)。

[1]劉強(qiáng).無(wú)線網(wǎng)絡(luò)安全的機(jī)制與技術(shù)措施探究[J].無(wú)線互聯(lián)科技，2011（4）.

[2]林鴻.無(wú)線網(wǎng)絡(luò)應(yīng)用中的安全問(wèn)題[J].電腦知識(shí)與技術(shù)，2012（12）.

[3]吳超.簡(jiǎn)述無(wú)線網(wǎng)絡(luò)優(yōu)化技術(shù)[J].民營(yíng)科技，2011（10）.