陳亞平 黃進(jìn)龍 朱 麗

(1.江西省化學(xué)工業(yè)學(xué)校;2.江西省通用技術(shù)工程學(xué)校;3.江西旅游商貿(mào)職業(yè)學(xué)院)

1 引言

近年來隨著筆記本電腦的普及，很多老師和學(xué)生都有了自己的筆記本電腦。在校園內(nèi)，老師與學(xué)生的都迫切要求自己的筆記本能接入Internet，給工作和生活帶來便利。由于筆記本移動(dòng)性強(qiáng)，使有線網(wǎng)絡(luò)無法靈活滿足他們對(duì)網(wǎng)絡(luò)的需求。為了解決這些問題，很多院校在原有校園網(wǎng)的基礎(chǔ)之上，通過有線加無線的方式對(duì)原有網(wǎng)絡(luò)進(jìn)行擴(kuò)展，實(shí)現(xiàn)了校園范圍特定區(qū)域內(nèi)的無線接入。

2 校園無線網(wǎng)絡(luò)新增安全威脅

隨著校園無線局域網(wǎng)的投入使用，校園網(wǎng)所面臨的安全問題也發(fā)生了很大的變化。任何人可以從任何地方、于任何時(shí)間、向任何一個(gè)目標(biāo)發(fā)起攻擊，而且我們的系統(tǒng)還同時(shí)要面臨來自外部、內(nèi)部、自然等多方面的威脅。由于無線網(wǎng)絡(luò)采用公共的電磁波作為載體，傳輸信息的覆蓋范圍不好控制，因此對(duì)越權(quán)存取和竊聽的行為也更不容易防備。

通過分析，校園無線網(wǎng)絡(luò)除了所有有線網(wǎng)絡(luò)存在的安全威脅和隱患都存在外，還存在以下必須考慮的安全威脅：

(1)無線網(wǎng)絡(luò)無需連線便可以在信號(hào)覆蓋范圍內(nèi)進(jìn)行網(wǎng)絡(luò)接入的嘗試，一定程度上暴露了網(wǎng)絡(luò)的存在；

(2)無線局域網(wǎng)使用的是ISM公用頻段，使用無需申請(qǐng)，相鄰設(shè)備之間潛在著電磁破壞(干擾)問題；

(3)外部人員可以通過無線網(wǎng)絡(luò)繞過防火墻，對(duì)學(xué)校網(wǎng)絡(luò)進(jìn)行非授權(quán)存取；

(4)無線網(wǎng)絡(luò)傳輸?shù)男畔]有加密或者加密很弱，易被竊取、篡改和插入；

(5)無線網(wǎng)絡(luò)易被拒絕服務(wù)攻擊(DOS)和干擾；

(6)學(xué)校內(nèi)部人員可以設(shè)置無線網(wǎng)卡為P2P模式與外部人員連接。

3 主要安全技術(shù)措施

為了應(yīng)對(duì)無線網(wǎng)絡(luò)新增的威協(xié)，我們可采取以下技術(shù)措施：

3.1 無線網(wǎng)卡物理地址(MAC)過濾

每個(gè)筆記本無線網(wǎng)卡都由惟一的物理地址標(biāo)示。該物理地址編碼方式類似于以太網(wǎng)物理地址，是48位。由廠方出廠前設(shè)定，一般無法更改。網(wǎng)絡(luò)管理員可在無線局域網(wǎng)訪問點(diǎn)AP中手工維護(hù)一組允許訪問或不允許訪問的MAC地址列表。AP對(duì)收到的每個(gè)數(shù)據(jù)包都會(huì)做出判斷。只有符合設(shè)定標(biāo)準(zhǔn)的才能被轉(zhuǎn)發(fā)。否則將會(huì)被丟棄以實(shí)現(xiàn)物理地址的訪問過濾。使用該方法最為簡(jiǎn)單、快捷。網(wǎng)絡(luò)管理員只需要通過簡(jiǎn)單的配置就可以完成訪問權(quán)限的設(shè)置，十分有效。

3.2 靜態(tài)IP與MAC地址綁定

無線路由器或AP在分配IP地址時(shí)，通常是默認(rèn)使用DHCP即動(dòng)態(tài)IP地址分配，這對(duì)無線網(wǎng)絡(luò)來說是有安全隱患的，“不法”分子只要找到了無線網(wǎng)絡(luò)，很容易就可以通過DHCP而得到一個(gè)合法的IP地址，由此就進(jìn)入了局域網(wǎng)絡(luò)中。因此，建議關(guān)閉DHCP服務(wù)，為學(xué)校的每臺(tái)筆記本分配固定的靜態(tài)IP地址，然后再把這個(gè)IP地址與該筆記本無線網(wǎng)卡的MAC地址進(jìn)行綁定，這樣就能大大提升網(wǎng)絡(luò)的安全性?！安环ā狈肿硬灰椎玫胶戏ǖ腎P地址，即使得到了，因?yàn)檫€要驗(yàn)證綁定的MAC地址，相當(dāng)于兩重關(guān)卡。

3.3 修改默認(rèn)的服務(wù)區(qū)標(biāo)識(shí)符(SSID)

通常每個(gè)無線網(wǎng)絡(luò)都有一個(gè)服務(wù)區(qū)標(biāo)識(shí)符(SSID)，無線客戶端需要加入該網(wǎng)絡(luò)的時(shí)候需要有一個(gè)相同的SSID，否則將被“拒之門外”。通常路由器/中繼器設(shè)備制造商都在他們的產(chǎn)品中設(shè)了一個(gè)默認(rèn)的相同的SSID。例如linksys設(shè)備的SSID通常是“l(fā)inksys”。如果一個(gè)網(wǎng)絡(luò)，不為其指定一個(gè)SSID或者只使用默認(rèn)SSID的話，那么任何無線客戶端都可以進(jìn)入該網(wǎng)絡(luò)。無疑這為黑客的入侵網(wǎng)絡(luò)打開了方便之門。

3.4 禁止SSID廣播

在無線網(wǎng)絡(luò)中，各路由設(shè)備有個(gè)很重要的功能，那就是服務(wù)區(qū)標(biāo)識(shí)符廣播，即SSID廣播。最初，這個(gè)功能主要是為那些無線網(wǎng)絡(luò)客戶端流動(dòng)量特別大的商業(yè)無線網(wǎng)絡(luò)而設(shè)計(jì)的。開啟了SSID廣播的無線網(wǎng)絡(luò)，其路由設(shè)備會(huì)自動(dòng)向其有效范圍內(nèi)的無線網(wǎng)絡(luò)客戶端廣播自己的SSID號(hào)，無線網(wǎng)絡(luò)客戶端接收到這個(gè)SSID號(hào)后，利用這個(gè)SSID號(hào)才可以使用這個(gè)網(wǎng)絡(luò)。但是，這個(gè)功能卻存在極大的安全隱患，就好象它自動(dòng)地為想進(jìn)入該網(wǎng)絡(luò)的黑客打開了門戶。在商業(yè)網(wǎng)絡(luò)里，由于為了滿足經(jīng)常變動(dòng)的無線網(wǎng)絡(luò)接入端，必定要犧牲安全性來開啟這項(xiàng)功能，但是作為學(xué)校無線網(wǎng)絡(luò)來講，網(wǎng)絡(luò)成員相對(duì)固定，所以沒必要開啟這項(xiàng)功能。

3.5 有線對(duì)等保密(WEP)

有線對(duì)等保密(WEP)協(xié)議是由802．11標(biāo)準(zhǔn)定義的，用于在無線局域網(wǎng)中保護(hù)鏈路層數(shù)據(jù)。WEP使用40位鑰匙，采用RSA開發(fā)的Re4對(duì)稱加密算法，在鏈路層加密數(shù)據(jù)。現(xiàn)在的WEP一般也支持64位或128位的密鑰。密鑰越長(zhǎng)，黑客就需要更多的時(shí)間去進(jìn)行破解。因此能夠提供更好的安全保護(hù)。

3.6 無線入侵檢測(cè)系統(tǒng)

無線入侵檢測(cè)系統(tǒng)同傳統(tǒng)的入侵檢測(cè)系統(tǒng)類似，但無線入侵檢測(cè)系統(tǒng)增加了對(duì)無線網(wǎng)絡(luò)的檢測(cè)和對(duì)破壞系統(tǒng)反應(yīng)的特性。如今入侵檢測(cè)系統(tǒng)已用于無線網(wǎng)絡(luò)。來監(jiān)視分析用戶的活動(dòng)，判斷入侵事件的類型，檢測(cè)非法的網(wǎng)絡(luò)行為，對(duì)異常的網(wǎng)絡(luò)流量進(jìn)行報(bào)警。無線入侵檢測(cè)系統(tǒng)不但能找出入侵者，還能加強(qiáng)策略。通過使用強(qiáng)有力的策略，會(huì)使無線網(wǎng)絡(luò)更安全。無線入侵檢測(cè)系統(tǒng)還能檢測(cè)到MAC地址。他是通過一種順序分析，找出那些偽裝WAP的無線上網(wǎng)用戶。入侵檢測(cè)系統(tǒng)可以通過提供商來購(gòu)買，為了發(fā)揮無線入侵檢測(cè)系統(tǒng)的優(yōu)良的性能，他們同時(shí)還提供無線入侵檢測(cè)系統(tǒng)的解決方案。

3.7 采用身份驗(yàn)證和授權(quán)

當(dāng)攻擊者了解網(wǎng)絡(luò)的SSID,網(wǎng)絡(luò)的MAC地址或甚至WEP密鑰等信息時(shí)，他們可以嘗試建立與AP關(guān)聯(lián)。目前，有三種方法在用戶建立與無線網(wǎng)絡(luò)的關(guān)聯(lián)前對(duì)他們進(jìn)行身份驗(yàn)證。一是開放身份驗(yàn)證，開放身份驗(yàn)證通常意味著您只需要向AP提供SSID或使用正確的WEP密鑰。開放身份驗(yàn)證的問題在于，如果您沒有其他的保護(hù)或身份驗(yàn)證機(jī)制，那么您的無線網(wǎng)絡(luò)將是完全開放的，就像其名稱所表示的；二是共享機(jī)密身份驗(yàn)證機(jī)制，共享機(jī)密身份驗(yàn)證機(jī)制類似于“口令-響應(yīng)”身份驗(yàn)證系統(tǒng)。在STA與AP共享同一個(gè)WEP密鑰時(shí)使用這一機(jī)制。STA向AP發(fā)送申請(qǐng)，然后AP發(fā)回口令。接著，STA利用口令和加密的響應(yīng)進(jìn)行回復(fù)。這種方法的漏洞在于口令是通過明文傳輸給STA的，因此如果有人能夠同時(shí)截取口令和響應(yīng)，那么他們就可能找到用于加密的密鑰；三是采用其他的身份驗(yàn)證/授權(quán)機(jī)制，如使用802.1x，VPN或證書對(duì)無線網(wǎng)絡(luò)用戶進(jìn)行身份驗(yàn)證和授權(quán)。使用客戶端證書可以使攻擊者幾乎無法獲得訪問權(quán)限。

3.8 其他安全措施

除了以上敘述的安全措施手段以外我們還要可以采取一些其他的技術(shù)，例如設(shè)置附加的第三方數(shù)據(jù)加密方案，即使信號(hào)被盜聽也難以理解其中的內(nèi)容；加設(shè)防火墻進(jìn)行隔離，加強(qiáng)校園網(wǎng)內(nèi)部管理等等的方法來加強(qiáng)校園無線網(wǎng)絡(luò)的安全性。

4 結(jié)論

校園無線網(wǎng)絡(luò)應(yīng)用越來越廣泛，但是隨之而來的網(wǎng)絡(luò)安全威協(xié)也必將越來越突出，在文中分析了校園無線網(wǎng)絡(luò)所面臨的新增安全威協(xié)，以及可采取的主要安全技術(shù)措施，可有效的防范竊聽,截取或者修改傳輸數(shù)據(jù),置信攻擊,拒絕服務(wù)等等的攻擊手段，但是由于現(xiàn)在各個(gè)無線網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商生產(chǎn)的設(shè)備的功能不一樣，所以現(xiàn)在本文中介紹的一些安全措施也許在不同的設(shè)備上會(huì)有些不一樣，但是安全技術(shù)措施的思路是正確的，能夠保證校園無線網(wǎng)絡(luò)內(nèi)的用戶的信息和傳輸信息的安全性和保密性，有效地維護(hù)校園無線網(wǎng)絡(luò)的安全。

[1]李健.高校無線局域網(wǎng)安全技術(shù)分析.福建電腦.2008/5.

[2]練永華.構(gòu)建面向未來的高校無線局域網(wǎng).科學(xué)咨詢.2008/15.

[3]家庭無線網(wǎng)絡(luò)安全六點(diǎn)小技巧.計(jì)算機(jī)與網(wǎng)絡(luò).2009/2.

[4]趙振輝.淺議無線局域網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.信息系統(tǒng)工程.2009/9.

[5]張園,王青松.無線局域網(wǎng)安全技術(shù)綜述計(jì)算機(jī)與現(xiàn)代化.2008/11.

[6]林楠.無線局域網(wǎng)的安全技術(shù)研究.大化科技.2008/4.