王志剛 向 飛 孟 罡

（信息工程大學(xué)信息管理中心，河南 鄭州 45004）

基于校園無(wú)線網(wǎng)的安全問題分析與防御

王志剛 向 飛 孟 罡

（信息工程大學(xué)信息管理中心，河南 鄭州 45004）

在高校信息化建設(shè)中，無(wú)線網(wǎng)已經(jīng)成為校園網(wǎng)的重要組成部分，無(wú)線網(wǎng)帶給我們便捷、自由的同時(shí)也存在諸多安全隱患。本文通過對(duì)校園無(wú)線網(wǎng)絡(luò)常見的安全問題進(jìn)行分析，結(jié)合現(xiàn)有的無(wú)線網(wǎng)安全防護(hù)技術(shù)，提出了相應(yīng)的防御策略。

校園；無(wú)線網(wǎng)；安全防護(hù)；防御

近年來，隨著智能手機(jī)、無(wú)線上網(wǎng)本等移動(dòng)智能終端的快速發(fā)展，通過無(wú)線網(wǎng)絡(luò)接入Internet已經(jīng)成為重要的聯(lián)網(wǎng)方式。在高校信息化建設(shè)中，無(wú)線校園網(wǎng)已經(jīng)成為網(wǎng)絡(luò)建設(shè)的重點(diǎn)。無(wú)線校園網(wǎng)具有信道開放、部署靈活、使用方便等諸多優(yōu)點(diǎn)，帶給我們便捷、自由的同時(shí)，也存在諸多安全問題，無(wú)線網(wǎng)絡(luò)相對(duì)于有線網(wǎng)絡(luò)更易被攻擊者竊聽、修改或轉(zhuǎn)發(fā)，在實(shí)際使用中這些安全問題需要我們研究解決。

1 校園無(wú)線網(wǎng)的安全問題

校園無(wú)線網(wǎng)絡(luò)在進(jìn)行數(shù)據(jù)傳播時(shí)，主要利用空氣中的無(wú)線電波進(jìn)行傳播，數(shù)據(jù)發(fā)射有時(shí)候會(huì)到達(dá)預(yù)期之外的地方，這就容易造成了數(shù)據(jù)流失。另外，外界信號(hào)可以對(duì)無(wú)線網(wǎng)絡(luò)信號(hào)進(jìn)行干預(yù)，或者是對(duì)其進(jìn)行阻礙與攻擊，具體包括以下幾個(gè)方面：

1.1 網(wǎng)絡(luò)竊聽。入侵者不需要與網(wǎng)絡(luò)有物理連接，只需要使相關(guān)設(shè)備處于信息覆蓋區(qū)域之內(nèi)即可，利用網(wǎng)絡(luò)工具對(duì)無(wú)線AP通信數(shù)據(jù)包進(jìn)行監(jiān)聽、截取和分析，從中識(shí)別出可以竊取、利用的信息，信息收集足夠后，就可以侵入網(wǎng)絡(luò)，從而對(duì)整個(gè)網(wǎng)絡(luò)的安全產(chǎn)生威脅。

1.2 AP偽造。攻擊者通過一些非法手段獲取SSID，對(duì)無(wú)線數(shù)據(jù)包進(jìn)行竊聽和捕捉，竊取目標(biāo)無(wú)線網(wǎng)絡(luò)密鑰，然后在目標(biāo)無(wú)線網(wǎng)絡(luò)附近架設(shè)一臺(tái)AP，采用相同或近似SSID，這樣就完成了AP的偽造。偽造AP的目的有多種：實(shí)現(xiàn)中間人攻擊、建立虛假AP信號(hào)破壞正常通信、盜取用戶的個(gè)人信息或賬戶密碼等。

1.3 拒絕服務(wù)攻擊。攻擊者通過設(shè)備造成無(wú)線頻譜沖突，使AP設(shè)備無(wú)法提供正常服務(wù)，或向AP發(fā)送大量的、偽造的身份驗(yàn)證報(bào)文，當(dāng)報(bào)文數(shù)量超過AP處理能力時(shí)，AP將拒絕服務(wù)，斷開已有服務(wù)連接。

1.4 重放攻擊。入侵者通過某些方式截取客戶端對(duì)AP的驗(yàn)證信息，然后將該信息重放，就可以達(dá)到非法訪問AP的目的。

1.5 非法接入。這種情況主要是指內(nèi)部用戶在交換機(jī)端口接入無(wú)線路由器或通過隨身wifi等類似設(shè)備共享有線網(wǎng)絡(luò)，從而繞過安全認(rèn)證機(jī)制，非法使用網(wǎng)絡(luò)。

1.6 非法外聯(lián)。用戶使用手機(jī)等移動(dòng)終端，開通過3G、4G無(wú)線上網(wǎng)，同時(shí)連接校園網(wǎng)，使得校園網(wǎng)與外網(wǎng)物理互聯(lián)，這樣攻擊者更容易通過用戶終端入侵校園網(wǎng)，致使校園網(wǎng)出口的安全防范措施形同虛設(shè)。

2 校園無(wú)線網(wǎng)的防御

2.1 采用基于端口的802.1x認(rèn)證協(xié)議。基于802.1x的認(rèn)證方式，可以根據(jù)用戶的認(rèn)證結(jié)果決定是否開放服務(wù)端口。無(wú)線用戶端安裝802.1x客戶端軟件，無(wú)線AP內(nèi)嵌802.1x認(rèn)證代理，同時(shí)它還作為RADIUS服務(wù)器的客戶端，負(fù)責(zé)用戶與RADIUS服務(wù)器之間認(rèn)證信息的轉(zhuǎn)發(fā)。當(dāng)無(wú)線客戶端登錄到無(wú)線訪問AP點(diǎn)后，是否可使用AP的服務(wù)取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過，則AP為客戶端打開這個(gè)邏輯端口，否則不允許用戶上網(wǎng)。

2.2 SSlD設(shè)置管理。加強(qiáng)控制校園無(wú)線網(wǎng)絡(luò)信號(hào)的覆蓋范圍，SSID的設(shè)置要復(fù)雜，并且要定期更換；要禁止SSID廣播，防止偽造AP的現(xiàn)象發(fā)生。通過對(duì)多個(gè)無(wú)線接人點(diǎn)AP設(shè)置不同的SSID。并要求無(wú)線工作站出示正確的SSID才能訪問AP。這樣就可以允許不同群組的用戶接入，并對(duì)資源訪問的權(quán)限進(jìn)行區(qū)別限制。

2.3 MAC地址過濾?？梢酝ㄟ^在AP中設(shè)置一組允許訪問的MAC地址列表，實(shí)現(xiàn)物理地址過濾，結(jié)合IP限制、端口綁定、硬盤序列號(hào)和用戶信息關(guān)聯(lián)等確保只有經(jīng)過注冊(cè)的設(shè)備才能進(jìn)入網(wǎng)絡(luò)，在一定程度上防止了外部的非法訪問。禁止使用動(dòng)態(tài)主機(jī)配置協(xié)議，使用這項(xiàng)措施可以提高無(wú)線網(wǎng)絡(luò)的安全，可以有效地增加入侵的難度。

2.4 加密設(shè)置管理。選用較為安全的加密標(biāo)準(zhǔn)，嚴(yán)格加密，要啟用WPA2以上的加密才可以，同時(shí)在使用無(wú)線網(wǎng)絡(luò)過程中，密碼級(jí)別設(shè)置盡可能高，防止密碼被竊取。

2.5 運(yùn)用VPN技術(shù)。VPN技術(shù)通過三級(jí)安全保障：用戶認(rèn)證、加密和數(shù)據(jù)認(rèn)證來實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)的安全性保證。用戶認(rèn)證確保只有已被授權(quán)的用戶才能夠進(jìn)行無(wú)線網(wǎng)絡(luò)連接、發(fā)送和接收數(shù)據(jù)。加密確保即使攻擊者攔截竊聽到傳輸信號(hào)，也沒有充足的時(shí)間和精力將這些信息解密。數(shù)據(jù)認(rèn)證確保在無(wú)線網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)的完整性，保證所有業(yè)務(wù)流都是來自已經(jīng)得到認(rèn)證的設(shè)備。

2.6 加強(qiáng)入網(wǎng)管理。啟用入網(wǎng)終端準(zhǔn)入系統(tǒng)，強(qiáng)化用戶身份認(rèn)證，對(duì)用戶訪問權(quán)限進(jìn)行詳細(xì)設(shè)置和劃分。針對(duì)校內(nèi)用戶主要采用802.1x認(rèn)證方式進(jìn)行認(rèn)證，來訪的用戶可采用DHCP配合強(qiáng)制Portal認(rèn)證的方式接入校園無(wú)線網(wǎng)，加強(qiáng)日志監(jiān)控和行為分析，對(duì)異常情況及時(shí)處理。

綜上所述，在校園無(wú)線網(wǎng)信號(hào)覆蓋范圍內(nèi)，任何具有合適接收設(shè)備的人都可以搜索并接收到網(wǎng)絡(luò)信號(hào)。無(wú)線網(wǎng)絡(luò)的開放性，給我們帶來便捷的同時(shí)，也存在不小的安全隱患。因此，我們必須要深入研究校園無(wú)線網(wǎng)安全防護(hù)技術(shù)，制定相應(yīng)的防護(hù)策略，采取相應(yīng)的防護(hù)措施，才能確保校園無(wú)線網(wǎng)絡(luò)的穩(wěn)定、安全、高效運(yùn)行。

[1]張民磊.企業(yè)無(wú)線網(wǎng)絡(luò)信息安全及其防護(hù)措施研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（3）：136-137.

TP393

A

1671-0037（2014）11-98-1

王志剛（1975-），男，講師，研究方向：網(wǎng)絡(luò)安全及教育技術(shù)。