呂海濤

?

關(guān)于高校無(wú)線網(wǎng)絡(luò)安全策略的研究

呂海濤

哈爾濱金融學(xué)院，黑龍江 哈爾濱 150030

隨著高校里筆記本電腦、iPad、手機(jī)上網(wǎng)等無(wú)線終端的普及，無(wú)線網(wǎng)因其傳輸介質(zhì)的開放，采用無(wú)線傳輸面臨著越來(lái)越多的安全問(wèn)題。基于此，對(duì)高校無(wú)線網(wǎng)絡(luò)的使用以及存在的網(wǎng)絡(luò)安全問(wèn)題進(jìn)行了剖析，介紹了無(wú)線網(wǎng)絡(luò)安全防范技術(shù)幾種常用的方法，并提出了一些安全防范的措施。

無(wú)線網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；認(rèn)證

對(duì)于基于WLAN的無(wú)線網(wǎng)絡(luò)而言，由于高校中存在大量具備較高技術(shù)背景和動(dòng)手能力強(qiáng)的師生，需要考慮如何防止非法的用戶訪問(wèn)行為、怎么禁止非法用戶接入網(wǎng)絡(luò)、空口竊聽如何防護(hù)、AP接入AC的安全如何能得到保障和Rogue AP等設(shè)備帶來(lái)的安全隱患如何解決等問(wèn)題。本文對(duì)以上問(wèn)題進(jìn)行了如下闡述。

1 終端類型識(shí)別

終端類型識(shí)別是指AC通過(guò)對(duì)用戶發(fā)送報(bào)文中字段的特征進(jìn)行分析，包括MAC、用戶代理UA（User Agent）與DHCP Option信息，識(shí)別出終端類型。用戶接入內(nèi)部網(wǎng)絡(luò)的設(shè)備類型可以通過(guò)AC無(wú)線控制設(shè)備識(shí)別，并對(duì)某些指定移動(dòng)設(shè)備的接入進(jìn)行控制，完成基于設(shè)備類型、用戶、接入地點(diǎn)、接入時(shí)間、設(shè)備環(huán)境的授權(quán)與認(rèn)證，進(jìn)而實(shí)現(xiàn)精細(xì)化的管控。

2 惡意攻擊的解決辦法

Weak IV入侵、Spoof入侵和flood攻擊方式，是高校網(wǎng)絡(luò)攻擊主要的幾種形式，具體的解決方法如下。

2.1 Weak IV攻擊檢測(cè)

在使用WEP加密算法的前提下，啟動(dòng)IV監(jiān)測(cè)來(lái)過(guò)濾client數(shù)據(jù)報(bào)文，當(dāng)IV的安全策略分析出處在Weak IV攻擊時(shí)，AC控制器會(huì)阻攔該用戶訪問(wèn)。

2.2 Flood攻擊檢測(cè)

如果惡意攻擊IP向AP發(fā)送大量的連接請(qǐng)求報(bào)文時(shí)，AC控制器會(huì)處理從AP 上轉(zhuǎn)發(fā)過(guò)來(lái)的報(bào)文，這樣會(huì)導(dǎo)致網(wǎng)絡(luò)內(nèi)部造成影響。開啟Flood attack監(jiān)測(cè)策略，惡意用戶的Flood攻擊會(huì)被AC控制器檢測(cè)到。該惡意用戶的報(bào)文將會(huì)被AP全部丟棄，進(jìn)而完成了對(duì)網(wǎng)絡(luò)的安全保護(hù)。

2.3 Spoof攻擊檢測(cè)

對(duì)于Spoof攻擊的潛匿入侵者將以其他設(shè)備的身份發(fā)送攻擊報(bào)文。AC控制器接受到惡意用戶或惡意AP發(fā)送一個(gè)欺騙的解除認(rèn)證報(bào)文會(huì)導(dǎo)致無(wú)線客戶端下線，進(jìn)而阻止該用戶訪問(wèn)網(wǎng)絡(luò)。

3 空口竊聽

空口監(jiān)聽往往是高校中那些充滿好奇心的學(xué)生經(jīng)常嘗試破解的點(diǎn)，需要考慮對(duì)空口數(shù)據(jù)進(jìn)行加密。常用的空口加密方式有WEP，WPA/WPA2，WAPI等。在最新的實(shí)現(xiàn)中，不管是WPA1還是WPA2都可以使用802.1X，使用802.1X時(shí)稱為WPA企業(yè)版，不使用802.1X時(shí)稱為WPA個(gè)人版，又叫WPA-PSK版。

在網(wǎng)絡(luò)部署的實(shí)際過(guò)程中，要一同考慮空口加密和用戶認(rèn)證的設(shè)計(jì)，Portal+PSK方式部署在高校的普遍使用，并采用CCMP加密方式，需要在網(wǎng)絡(luò)設(shè)備上進(jìn)行配置。

4 Rogue設(shè)備防護(hù)策略

校園無(wú)線網(wǎng)中可能有的Rogue設(shè)備包括Rogue Client、Rogue AP和Ad-hoc。這些設(shè)備對(duì)運(yùn)行的WLAN網(wǎng)絡(luò)會(huì)帶來(lái)許多安全隱患問(wèn)題，例如干擾、攻擊用戶和非法AP建立連接等。采用華為WLAN WIDS方案對(duì)無(wú)線網(wǎng)絡(luò)中的Rogue 設(shè)備（含Client，AP，Ad-hoc）進(jìn)行過(guò)濾檢測(cè)、偵別以及反制的解決方法較為有效。

5 無(wú)線局域網(wǎng)的認(rèn)證和加密

采用用戶接入認(rèn)證，可以對(duì)接入網(wǎng)絡(luò)的用戶身份的合法性進(jìn)行認(rèn)證。只有合法用戶才允許接入，并且不同的用戶、不同的角色所能夠訪問(wèn)的資源是不一樣的。管理員可以定義不同的角色，或者為用戶分組，調(diào)試不同的網(wǎng)絡(luò)資源，使特殊的無(wú)線用戶只允許訪問(wèn)授權(quán)的指定資源信息，阻止訪問(wèn)未授權(quán)的網(wǎng)絡(luò)資源數(shù)據(jù)。在ME60設(shè)置認(rèn)證網(wǎng)關(guān)上，實(shí)現(xiàn)有線網(wǎng)絡(luò)、現(xiàn)有的無(wú)線網(wǎng)絡(luò)和本次項(xiàng)目新增無(wú)線網(wǎng)絡(luò)認(rèn)證用戶的統(tǒng)一。

對(duì)于無(wú)線園區(qū)網(wǎng)絡(luò)設(shè)備應(yīng)支持MAC認(rèn)證、802.1X、Portal認(rèn)證多種網(wǎng)絡(luò)訪問(wèn)控制方式，讓用戶網(wǎng)絡(luò)的匯聚交換機(jī)、接入交換機(jī)、AP、無(wú)線控制器等多種網(wǎng)絡(luò)設(shè)備靈活部署實(shí)施，配合認(rèn)證服務(wù)器與代理客戶端一起實(shí)現(xiàn)用戶接入控制，為無(wú)線園區(qū)提供安全可靠的訪問(wèn)控制。

6 用戶訪問(wèn)安全

高校根據(jù)需要，往往劃分了不同的SSID供不同的用戶群使用，如外部用戶使用SSID-Guest，內(nèi)部用戶使用SSID-NanJing University。出于信息安全的需求，往往需要保證來(lái)訪的訪客不能訪問(wèn)高校內(nèi)的資源。此外，校內(nèi)的教職工和學(xué)生之間，或不同專業(yè)的學(xué)生之間，也會(huì)根據(jù)需求授予不同的訪問(wèn)權(quán)限。這些可以通過(guò)用戶組的方式來(lái)實(shí)現(xiàn)[2]。

6.1 用戶訪問(wèn)授權(quán)設(shè)置

用戶訪問(wèn)授權(quán)可以在本地網(wǎng)絡(luò)設(shè)備授權(quán)，也可以通過(guò)AAA服務(wù)器進(jìn)行遠(yuǎn)端授權(quán)。小型園區(qū)或者SOHO的網(wǎng)絡(luò)架夠適合本地授權(quán)，而大學(xué)這種較大規(guī)模的網(wǎng)絡(luò)，屬于園區(qū)網(wǎng)絡(luò)，并不適合本地授權(quán)。遠(yuǎn)端授權(quán)的方式更適合于高校使用，即通過(guò)AAA服務(wù)器完成。

當(dāng)無(wú)線用戶認(rèn)證成功之后，Radius服務(wù)器下發(fā)用戶分組報(bào)文，對(duì)用戶采取身份分類，所有用戶分組都能關(guān)聯(lián)到相應(yīng)的ACL訪問(wèn)控制規(guī)則。通過(guò)ACL規(guī)則和用戶分組的關(guān)聯(lián)，對(duì)每類用戶進(jìn)行ACL授權(quán)信息控制，即同類用戶獲得相同的授權(quán)信息。Radius服務(wù)可以利用現(xiàn)網(wǎng)的AAA，也可以新建。

6.2 用戶隔離

使用集中轉(zhuǎn)發(fā)的方式更適合高校的訪問(wèn)系統(tǒng)，對(duì)訪客用戶的控制會(huì)起到更好的作用。當(dāng)外部訪客用戶和內(nèi)部用戶都采用集中轉(zhuǎn)發(fā)時(shí)，外部訪客用戶使用的SSID-Guest與內(nèi)部用戶使用的SSID-NanJing University之間是天然隔離的。當(dāng)外部訪客用戶使用集中轉(zhuǎn)發(fā)，內(nèi)部用戶都采用本地轉(zhuǎn)發(fā)時(shí)，外部訪客用戶使用的SSID-Guest與內(nèi)部用戶使用的SSID-NanJing University之間也是天然隔離的。

7 結(jié)束語(yǔ)

勒索病毒大肆爆發(fā)，影響了全球多個(gè)各家及城市，國(guó)內(nèi)高校也受到不少的沖擊。從國(guó)家到地方高校，提高網(wǎng)絡(luò)安全的意識(shí)在逐漸增強(qiáng)。無(wú)線校園網(wǎng)作為校園網(wǎng)絡(luò)的主要載體，不僅要從網(wǎng)絡(luò)技術(shù)手段去防護(hù)控制，也要從自身提高安全意識(shí)的角度出發(fā)，這樣才能保障校園網(wǎng)絡(luò)的通暢。

[1]蘭其斌.校園網(wǎng)中無(wú)線局域網(wǎng)的安全策略探討[J].福建電腦，2010，26（7）：9.

[2]陳小勇.無(wú)線局域網(wǎng)技術(shù)在校園網(wǎng)中的應(yīng)用及安全策略研究[J].科技信息，2010（5X）：91-92.

Research on Wireless Network Security Strategy in Colleges and Universities

LYU Haitao

Harbin Institute of Finance, Heilongjiang Harbin 150030

With the use of notebook computers, ipad, mobile Internet and other wireless terminals are relatively popular, wireless network because of its transmission medium open line, the use of wireless transmission is facing more and more security issues will be particularly prominent.This paper analyzes the use of wireless network and the existing network security problems, introduces several commonly used methods of wireless network security technology, and puts forward some measures to prevent security.

wireless network; network security; authentication

TN915.08

A