王志剛 向 飛 孟 罡
(信息工程大學(xué)信息管理中心,河南 鄭州 45004)
基于校園無線網(wǎng)的安全問題分析與防御
王志剛 向 飛 孟 罡
(信息工程大學(xué)信息管理中心,河南 鄭州 45004)
在高校信息化建設(shè)中,無線網(wǎng)已經(jīng)成為校園網(wǎng)的重要組成部分,無線網(wǎng)帶給我們便捷、自由的同時(shí)也存在諸多安全隱患。本文通過對(duì)校園無線網(wǎng)絡(luò)常見的安全問題進(jìn)行分析,結(jié)合現(xiàn)有的無線網(wǎng)安全防護(hù)技術(shù),提出了相應(yīng)的防御策略。
校園;無線網(wǎng);安全防護(hù);防御
近年來,隨著智能手機(jī)、無線上網(wǎng)本等移動(dòng)智能終端的快速發(fā)展,通過無線網(wǎng)絡(luò)接入Internet已經(jīng)成為重要的聯(lián)網(wǎng)方式。在高校信息化建設(shè)中,無線校園網(wǎng)已經(jīng)成為網(wǎng)絡(luò)建設(shè)的重點(diǎn)。無線校園網(wǎng)具有信道開放、部署靈活、使用方便等諸多優(yōu)點(diǎn),帶給我們便捷、自由的同時(shí),也存在諸多安全問題,無線網(wǎng)絡(luò)相對(duì)于有線網(wǎng)絡(luò)更易被攻擊者竊聽、修改或轉(zhuǎn)發(fā),在實(shí)際使用中這些安全問題需要我們研究解決。
校園無線網(wǎng)絡(luò)在進(jìn)行數(shù)據(jù)傳播時(shí),主要利用空氣中的無線電波進(jìn)行傳播,數(shù)據(jù)發(fā)射有時(shí)候會(huì)到達(dá)預(yù)期之外的地方,這就容易造成了數(shù)據(jù)流失。另外,外界信號(hào)可以對(duì)無線網(wǎng)絡(luò)信號(hào)進(jìn)行干預(yù),或者是對(duì)其進(jìn)行阻礙與攻擊,具體包括以下幾個(gè)方面:
1.1 網(wǎng)絡(luò)竊聽。入侵者不需要與網(wǎng)絡(luò)有物理連接,只需要使相關(guān)設(shè)備處于信息覆蓋區(qū)域之內(nèi)即可,利用網(wǎng)絡(luò)工具對(duì)無線AP通信數(shù)據(jù)包進(jìn)行監(jiān)聽、截取和分析,從中識(shí)別出可以竊取、利用的信息,信息收集足夠后,就可以侵入網(wǎng)絡(luò),從而對(duì)整個(gè)網(wǎng)絡(luò)的安全產(chǎn)生威脅。
1.2 AP偽造。攻擊者通過一些非法手段獲取SSID,對(duì)無線數(shù)據(jù)包進(jìn)行竊聽和捕捉,竊取目標(biāo)無線網(wǎng)絡(luò)密鑰,然后在目標(biāo)無線網(wǎng)絡(luò)附近架設(shè)一臺(tái)AP,采用相同或近似SSID,這樣就完成了AP的偽造。偽造AP的目的有多種:實(shí)現(xiàn)中間人攻擊、建立虛假AP信號(hào)破壞正常通信、盜取用戶的個(gè)人信息或賬戶密碼等。
1.3 拒絕服務(wù)攻擊。攻擊者通過設(shè)備造成無線頻譜沖突,使AP設(shè)備無法提供正常服務(wù),或向AP發(fā)送大量的、偽造的身份驗(yàn)證報(bào)文,當(dāng)報(bào)文數(shù)量超過AP處理能力時(shí),AP將拒絕服務(wù),斷開已有服務(wù)連接。
1.4 重放攻擊。入侵者通過某些方式截取客戶端對(duì)AP的驗(yàn)證信息,然后將該信息重放,就可以達(dá)到非法訪問AP的目的。
1.5 非法接入。這種情況主要是指內(nèi)部用戶在交換機(jī)端口接入無線路由器或通過隨身wifi等類似設(shè)備共享有線網(wǎng)絡(luò),從而繞過安全認(rèn)證機(jī)制,非法使用網(wǎng)絡(luò)。
1.6 非法外聯(lián)。用戶使用手機(jī)等移動(dòng)終端,開通過3G、4G無線上網(wǎng),同時(shí)連接校園網(wǎng),使得校園網(wǎng)與外網(wǎng)物理互聯(lián),這樣攻擊者更容易通過用戶終端入侵校園網(wǎng),致使校園網(wǎng)出口的安全防范措施形同虛設(shè)。
2.1 采用基于端口的802.1x認(rèn)證協(xié)議。基于802.1x的認(rèn)證方式,可以根據(jù)用戶的認(rèn)證結(jié)果決定是否開放服務(wù)端口。無線用戶端安裝802.1x客戶端軟件,無線AP內(nèi)嵌802.1x認(rèn)證代理,同時(shí)它還作為RADIUS服務(wù)器的客戶端,負(fù)責(zé)用戶與RADIUS服務(wù)器之間認(rèn)證信息的轉(zhuǎn)發(fā)。當(dāng)無線客戶端登錄到無線訪問AP點(diǎn)后,是否可使用AP的服務(wù)取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過,則AP為客戶端打開這個(gè)邏輯端口,否則不允許用戶上網(wǎng)。
2.2 SSlD設(shè)置管理。加強(qiáng)控制校園無線網(wǎng)絡(luò)信號(hào)的覆蓋范圍,SSID的設(shè)置要復(fù)雜,并且要定期更換;要禁止SSID廣播,防止偽造AP的現(xiàn)象發(fā)生。通過對(duì)多個(gè)無線接人點(diǎn)AP設(shè)置不同的SSID。并要求無線工作站出示正確的SSID才能訪問AP。這樣就可以允許不同群組的用戶接入,并對(duì)資源訪問的權(quán)限進(jìn)行區(qū)別限制。
2.3 MAC地址過濾??梢酝ㄟ^在AP中設(shè)置一組允許訪問的MAC地址列表,實(shí)現(xiàn)物理地址過濾,結(jié)合IP限制、端口綁定、硬盤序列號(hào)和用戶信息關(guān)聯(lián)等確保只有經(jīng)過注冊(cè)的設(shè)備才能進(jìn)入網(wǎng)絡(luò),在一定程度上防止了外部的非法訪問。禁止使用動(dòng)態(tài)主機(jī)配置協(xié)議,使用這項(xiàng)措施可以提高無線網(wǎng)絡(luò)的安全,可以有效地增加入侵的難度。
2.4 加密設(shè)置管理。選用較為安全的加密標(biāo)準(zhǔn),嚴(yán)格加密,要啟用WPA2以上的加密才可以,同時(shí)在使用無線網(wǎng)絡(luò)過程中,密碼級(jí)別設(shè)置盡可能高,防止密碼被竊取。
2.5 運(yùn)用VPN技術(shù)。VPN技術(shù)通過三級(jí)安全保障:用戶認(rèn)證、加密和數(shù)據(jù)認(rèn)證來實(shí)現(xiàn)無線網(wǎng)絡(luò)的安全性保證。用戶認(rèn)證確保只有已被授權(quán)的用戶才能夠進(jìn)行無線網(wǎng)絡(luò)連接、發(fā)送和接收數(shù)據(jù)。加密確保即使攻擊者攔截竊聽到傳輸信號(hào),也沒有充足的時(shí)間和精力將這些信息解密。數(shù)據(jù)認(rèn)證確保在無線網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)的完整性,保證所有業(yè)務(wù)流都是來自已經(jīng)得到認(rèn)證的設(shè)備。
2.6 加強(qiáng)入網(wǎng)管理。啟用入網(wǎng)終端準(zhǔn)入系統(tǒng),強(qiáng)化用戶身份認(rèn)證,對(duì)用戶訪問權(quán)限進(jìn)行詳細(xì)設(shè)置和劃分。針對(duì)校內(nèi)用戶主要采用802.1x認(rèn)證方式進(jìn)行認(rèn)證,來訪的用戶可采用DHCP配合強(qiáng)制Portal認(rèn)證的方式接入校園無線網(wǎng),加強(qiáng)日志監(jiān)控和行為分析,對(duì)異常情況及時(shí)處理。
綜上所述,在校園無線網(wǎng)信號(hào)覆蓋范圍內(nèi),任何具有合適接收設(shè)備的人都可以搜索并接收到網(wǎng)絡(luò)信號(hào)。無線網(wǎng)絡(luò)的開放性,給我們帶來便捷的同時(shí),也存在不小的安全隱患。因此,我們必須要深入研究校園無線網(wǎng)安全防護(hù)技術(shù),制定相應(yīng)的防護(hù)策略,采取相應(yīng)的防護(hù)措施,才能確保校園無線網(wǎng)絡(luò)的穩(wěn)定、安全、高效運(yùn)行。
[1]張民磊.企業(yè)無線網(wǎng)絡(luò)信息安全及其防護(hù)措施研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014(3):136-137.
TP393
A
1671-0037(2014)11-98-1
王志剛(1975-),男,講師,研究方向:網(wǎng)絡(luò)安全及教育技術(shù)。