劉宏志

摘要：隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，無線網(wǎng)絡以其靈活、便利和高效廣泛應用于人們的日常生活及工作之中，大家在享受無處不在的網(wǎng)絡生活的同時，其安全性能已成為不可忽視的問題。本文就目前無線網(wǎng)絡技術(shù)組建局域網(wǎng)的常見安全問題進行了分析，并探討了保障無線網(wǎng)絡安全的相應防范措施，以保證無線網(wǎng)絡的安全性。

關(guān)鍵詞：無線網(wǎng)絡；院校；安全技術(shù)；防范措施

中圖分類號：TN925.93 文獻標識碼：A DOI：10.3969/j.issn.l003-6970.2017.08.033

引言

隨著網(wǎng)絡技術(shù)的飛速發(fā)展，網(wǎng)絡改變了人們的工作方式和生活方式，無線網(wǎng)絡技術(shù)和無線產(chǎn)品的成熟使無線網(wǎng)絡普及到了人們的生活之中。與傳統(tǒng)的有線網(wǎng)絡相比，無線網(wǎng)絡用戶可以隨時通過無線信號接入到無線網(wǎng)絡之中，擺脫了有線網(wǎng)絡布線難度大、費用高、耗時長的缺點。建設無線局域網(wǎng)方便快速、部署靈活、擴容能力強、可移動性好、綜合成本較低、不受地理環(huán)境限制等，通過IEEE802.11n標準能夠與現(xiàn)有的有線網(wǎng)絡進行平滑無縫的連接，與現(xiàn)有的有線網(wǎng)絡資源具有良好的兼容性和整合性。但無線網(wǎng)絡在為人們生活帶來極大便利的同時，無線網(wǎng)絡在安全性方面需要我們加強防范。本文對院校建設無線網(wǎng)絡的安全問題進行分析，所采取的安全措施和技術(shù)手段分別做介紹。

1 無線局域網(wǎng)存中在的常見安全問題

1.1 密鑰管理和內(nèi)、外部人員的入侵

目前，由于WEP加密的先天不足，已經(jīng)出現(xiàn)了100%破解WEP加密的方法，攻擊者通過抓包注人，獲取足夠的通信數(shù)據(jù)包，對數(shù)據(jù)包進行分析，即可徹底破解WEP加密。雖然WEP的密鑰通過外部控制可以減少IV（Initialization Vector）的沖突，但是控制過程非常復雜并且需要手工操作，而其它的解決方案需要額外增加資源而造成成本昂貴；在有線網(wǎng)絡中，計算機需要連接網(wǎng)線才可以上網(wǎng)，而無線網(wǎng)絡只需要在無線網(wǎng)絡接入點（The wireless access point）覆蓋范圍之中，任何無線終端設備者P可以通過AP接入無線網(wǎng)絡，比較難確定具體的位置，且無線網(wǎng)絡的管理相對寬松，缺乏傳輸介質(zhì)的物理保護，導致未經(jīng)授權(quán)的用戶也可以比較輕易的進入無線網(wǎng)絡，因此，存在較大的安全風險。如大學校園中師生的重要個人資料通常成為攻擊者企圖竊取的目標，攻擊者利用無線網(wǎng)絡AP支持多用戶接入、開放性等特點，通過AP欺騙等手段竊取重要的個人資料，嚴重影響了校園網(wǎng)的網(wǎng)絡用戶用網(wǎng)安全。

1.2 WEP存在的漏洞

常用的WEP（Wired Equivalent Privacy）算法存在不少漏洞，由于WEP標準在無線網(wǎng)絡出現(xiàn)的早期就已創(chuàng)建，它的安全技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù)，是無線局域網(wǎng)非常必要的安全防護層，目前比較常見的是64位WEP加密和128位WEP加密。WEP中加密算法的IV（Initialization Vector）由于位數(shù)不夠長和初始化復位設計，因而容易被攻擊者破解密鑰。而CRC（Cyclic Redundancy Check循環(huán)冗余校驗）算法只保證數(shù)據(jù)正確的傳輸，并不保證其數(shù)據(jù)在傳輸過程中未被篡改。WEP漏洞主要包括信息泄露漏洞、目錄遍歷漏洞、文件包含漏洞、命令執(zhí)行漏洞、SQL注入漏洞、跨站腳本漏洞等，攻擊者可以利用SQL注入、OS命令注入、XSS跨站腳本攻擊、CSRF跨站請求偽造等多種方式遍歷漏洞和篡改相應參數(shù)，從而竊取校園網(wǎng)內(nèi)用戶的用戶名和密碼。由于WEP加密技術(shù)存在大家熟知的一些漏洞，所以對于熟悉原理的攻擊者而言，是能夠比較輕松破解的。

1.3 移動無線網(wǎng)絡攻擊

現(xiàn)在人們的生活已經(jīng)越來越離不開無線網(wǎng)絡了，不管是臺式機還是筆記本，手機或者平板電腦，只要有無線網(wǎng)絡信號的地方即可接入無線網(wǎng)絡。由于無線網(wǎng)絡在穩(wěn)定性與安全性方面存在的先天不足，經(jīng)常發(fā)生黑客破解無線網(wǎng)絡設備，獲取用戶信息的事件。無線網(wǎng)絡在方便師生的同時，也存在比較危險的一面。因無線網(wǎng)絡支持多用戶接入，所以安全性容易受到攻擊。無線網(wǎng)絡攻擊可以分為對移動終端和對移動核心網(wǎng)絡的攻擊，兩種攻擊方式相互支持，可提升攻擊效果。攻擊者可通過多種方式如有線測漏、流氓接入點、錯誤配置接入點、無線釣魚、客戶端隔離等手段對數(shù)據(jù)網(wǎng)絡進行滲透和破解，攻擊者一旦獲得訪問權(quán)限，不僅可以竊取敏感文件等信息，還可以通過數(shù)據(jù)分析獲得作為校園網(wǎng)絡用戶的無線網(wǎng)絡憑據(jù)，攻擊者只要獲得一個無線網(wǎng)絡證書，就可使用這些憑據(jù)來訪問無線網(wǎng)絡，從而可以輕松繞過用于阻止攻擊的復雜加密和安全機制。

1.4 多種方式的網(wǎng)絡監(jiān)聽

網(wǎng)絡監(jiān)聽是一種監(jiān)視網(wǎng)絡運行狀態(tài)，數(shù)據(jù)流程及網(wǎng)絡上信息傳輸?shù)墓芾砉ぞ?，在監(jiān)聽模式下可以竊取網(wǎng)絡上所傳輸?shù)臄?shù)據(jù)信息。當攻擊者登錄主機并取得超級用戶權(quán)限后，若想登錄網(wǎng)絡內(nèi)其它的主機，使用網(wǎng)絡監(jiān)聽就可以截獲網(wǎng)路上傳輸?shù)臄?shù)據(jù)信息，如用戶地址、文件信息、聊天信息等，從而通過數(shù)據(jù)分析，獲取相應的用戶名和密碼，使校園網(wǎng)內(nèi)用戶蒙受損失。由于當今網(wǎng)絡中所使用的協(xié)議大都是早期設計的，許多網(wǎng)絡協(xié)議的實現(xiàn)都是基于通信雙方充分信任為基礎(chǔ)的。在通常的網(wǎng)絡環(huán)境之下，用戶的信息包括口令都是以明文的方式在網(wǎng)絡上傳輸?shù)模虼送ㄟ^進行網(wǎng)絡監(jiān)聽從而獲得用戶信息對攻擊者來說比較容易實現(xiàn)，攻擊者只要掌握有初步的TCP/IP協(xié)議知識就可以輕松地監(jiān)聽到想要的信息，如主動式監(jiān)聽、被動式監(jiān)聽等。在UNIX系統(tǒng)中，擁有超級權(quán)限的用戶只需要向網(wǎng)絡接口發(fā)送I/O控制等命令，就可以把主機設置成監(jiān)聽模式，而在Windows的系統(tǒng)上則更加方便，不論用戶是否擁有超級權(quán)限，只需要直接運行監(jiān)聽工具就可輕易實現(xiàn)，從而獲取相關(guān)數(shù)據(jù)信息。用戶數(shù)據(jù)被攻擊者惡意破解后會導致用戶隱私泄露，個人利益受到嚴重危險，進而對整個校園無線網(wǎng)絡的安全造成影響。

2 無線局域網(wǎng)安全問題的解決方法

2.1 對無線設備的安全進行設置，對入網(wǎng)用戶進行篩選

校園無線網(wǎng)絡在給師生帶來方便、快捷的使用體驗的同時，也存在不少安全隱患，消除安全隱患最直接辦法是對人網(wǎng)用戶進行資格驗證，從源頭防止不法分子入侵無線網(wǎng)絡。通過對無線路由器（交換機）進行安全設置，盡量減少被發(fā)現(xiàn)和入侵的可能性。無線網(wǎng)絡通過電磁波傳輸信息，電磁波向四周發(fā)散，發(fā)散范圍和區(qū)域不受人為控制，一些本單位以外的區(qū)域也能接收到無線網(wǎng)絡信號，這就使非法入侵成為可能。我們的基本做法是關(guān)閉SSID廣播功能，SSID廣播是指無線網(wǎng)絡接入點向外界告知自身存在所發(fā)出的廣播信息，通過關(guān)閉SSID廣播可以增加入侵的難度。除此以外，還對無線網(wǎng)絡接入的終端設備進行MAC地址過濾，并設置MAC地址允許列表，在AP上配置MAC地址表，只有通過AP認證的MAC地址（即相應的用戶計算機）才能通過AP實現(xiàn)接入，其他地址的數(shù)據(jù)包會被AP丟棄，不轉(zhuǎn)發(fā)。這樣，確保只有在學校網(wǎng)絡中心注冊過的終端設備，才能通過這些AP進入學校內(nèi)部網(wǎng)絡，從而防止不法分子非法入侵。

2.2 用戶接入進行安全控制

無線網(wǎng)絡的安全措施一般有SSID、WEP、WAP、WAP-PSK等，SSID是必須提供與無線接入點設定一致的SSID才能通信，這樣可以區(qū)分不同群組接入，WEP安全加密協(xié)議主要用于實現(xiàn)保密控制、數(shù)據(jù)保密性和完整性3個目標。但對于比較大型的校園無線網(wǎng)絡，比較適合采用基于WEB認證和802.1X認證方式，無線網(wǎng)絡認證需要和有線網(wǎng)絡相融合。所以除了安全設置外，還需對無線用戶的接入加強控制，采用802.lx身份認證加RADIUS認證服務器。802.1X協(xié)議是基于客戶端/服務器端的訪問控制和認證協(xié)議。該認證可以限制未經(jīng)授權(quán)的校園網(wǎng)用戶和設備通過接入端口訪問網(wǎng)絡資源。在認證通過之前，802.lx只允許EAPoL（基于局域網(wǎng)的擴展認證協(xié)議）數(shù)據(jù)通過設備端口，將用戶名和口令傳送到后臺的Radius認證服務器上，如用戶名及口令通過了驗證，則相應端口打開，分配無線用戶設備IP地址，認證正常的數(shù)據(jù)才可以順利地通過端口，用戶上線完畢。由此構(gòu)成實現(xiàn)認證（Authentication）、授權(quán)（Authorization）、計費（Accounting）功能的AAA系統(tǒng)。RADIUS能對用戶身份進行集中管理，安全性能好，策略比較靈活，同時還可以記錄用戶的網(wǎng)絡使用情況的數(shù)據(jù)，便于網(wǎng)絡管理員進行分析。通過架設的RADIUS服務器為Ubuntu Gutsy7.10，采用用戶名、口令的方式驗證無線上網(wǎng)用戶，防止未經(jīng)授權(quán)的用戶訪問網(wǎng)絡，以保證網(wǎng)絡的安全性。

2.3 數(shù)據(jù)傳輸加密

數(shù)據(jù)傳輸加密目前仍然是計算機系統(tǒng)對信息進行保護的一種比較可靠方法。數(shù)據(jù)傳輸加密技術(shù)的目的是對傳輸中的數(shù)據(jù)流進行加密，通常分為線路加密和端一端加密兩種，它利用密鑰技術(shù)對信息進行加密，通過和防火墻聯(lián)動，可以實現(xiàn)信息隱蔽，從而保護信息安全。無線AP通過向四周發(fā)射電磁信息傳輸數(shù)據(jù)，如這些信息被非法截獲竊取，校園師生的數(shù)據(jù)和機密信息就會泄露出去，通過使用WPA-RADIUS加密技術(shù)對數(shù)據(jù)進行加密，防止被非法截獲竊取。與WPA-PSK相同的是WPA-RADIUS的密鑰也隨著數(shù)據(jù)包的不同而變化。但WPA-RADIUS加密要一個RADIUS服務器。通過對用戶接入使用RADIUS認證，通過合理配置好RADIUS月艮務器，且WPA-RADIUS力口密的安全性非常高，很適合大型的校園網(wǎng)對無線網(wǎng)絡進行安全設置。通過數(shù)據(jù)傳輸加密保障無線網(wǎng)絡的安全，避免非法用戶的訪問，保護用戶數(shù)據(jù)不被竊取，也可以對不同用戶權(quán)限加以區(qū)別，限定不同的權(quán)限訪問相應的資源，體現(xiàn)了較好的安全可靠性能。

2.4 無線網(wǎng)絡單獨規(guī)劃子網(wǎng)，并采用防火墻和入侵檢測系統(tǒng)

為了保證校園無線網(wǎng)絡資源的安全，將無線網(wǎng)絡與有線網(wǎng)絡分開管理，單獨劃分無線子網(wǎng)。把校園網(wǎng)絡結(jié)構(gòu)合理配置劃分為無線子網(wǎng)、有線子網(wǎng)、資源子網(wǎng)3部分。在無線網(wǎng)絡和有線網(wǎng)絡之間設置防火墻，防止無線網(wǎng)絡被入侵后引起范圍蔓延。通過在核心交換機上合理設置訪問控制列表，嚴格控制各子網(wǎng)間的資源訪問，對未經(jīng)授權(quán)的無線網(wǎng)絡用戶禁止訪問校內(nèi)網(wǎng)絡。校內(nèi)無線用戶登錄時，首先通過認證服務器接入無線網(wǎng)絡，只有認證通過才能獲得授權(quán)，根據(jù)相應權(quán)限訪問網(wǎng)內(nèi)資源。為保障安全，還需要規(guī)劃入侵檢測系統(tǒng)，與防火墻聯(lián)動，這樣可以有效阻止內(nèi)外部的入侵者。網(wǎng)絡中心采用無線網(wǎng)絡管理系統(tǒng)，管理整個無線網(wǎng)絡的設備設施，實現(xiàn)有線網(wǎng)絡和無線網(wǎng)絡一體化的網(wǎng)絡管理和運行監(jiān)控。

3 增強網(wǎng)絡安全意識，加強網(wǎng)絡管理

上述幾條措施可以在一定程度上防范不法分子的攻擊，但無法杜絕。因此，應加強對師生上網(wǎng)的引導，養(yǎng)成良好的個人上網(wǎng)習慣，增強師生網(wǎng)絡安全意識；如安裝安全防范軟件、及時修復漏洞、不打開不健康的網(wǎng)頁、不在網(wǎng)絡上透露個人信息、不要相信天上掉餡餅的好事、提高安全意識，文明上網(wǎng)等。學校要完善網(wǎng)絡安全機制，網(wǎng)絡中心要建立網(wǎng)絡安全監(jiān)測預警機制和信息通報制度。網(wǎng)絡管理員要加強對無線網(wǎng)絡設備的管理，經(jīng)常檢查服務器日志，利用無線網(wǎng)絡入侵監(jiān)測系統(tǒng)對不法分子的攻擊行為進行提前預警，一旦發(fā)現(xiàn)攻擊行為及時采取有效措施，及時對異常端設備進行屏蔽，使用安全審計系統(tǒng)等保證校園無線網(wǎng)絡的安全。校園無線網(wǎng)絡擺脫了繁雜的網(wǎng)絡連線的束縛，極大的方便的師生隨時隨地上網(wǎng)的需求，保障無線網(wǎng)絡的信息安全是一項長期的工作，對于智慧校園的健康發(fā)展顯得尤為重要，因此，我們要根據(jù)實際情況，增強師生安全意識，落實各項規(guī)章制度，健全長效管理機制，確保無線網(wǎng)絡平臺安全運行，為學校師生提供一個安全健康的上網(wǎng)環(huán)境提供有力的安全保障。

4 結(jié)束語

無線網(wǎng)絡應用于校園，和計算機有線網(wǎng)絡進入校園一樣，是一項大的系統(tǒng)工程，是實現(xiàn)智慧校園的有效途徑，經(jīng)過多年發(fā)展，無線網(wǎng)絡在技術(shù)上已經(jīng)日益成熟，校園無線網(wǎng)絡對學校及師生的成長和發(fā)展起著越來越重要的作用。網(wǎng)絡購物、網(wǎng)絡支付已經(jīng)全面進入了人們的生活，人們對網(wǎng)絡安全的需求也越來越高，因此，要不斷開發(fā)更加完備的網(wǎng)絡安全技術(shù)，培養(yǎng)高素質(zhì)的網(wǎng)絡人才，從而全面保證網(wǎng)絡的安全。雖然無線網(wǎng)絡已應用十分廣泛，并從根本上解除了網(wǎng)線對計算機的約束，但是在運行過程中，如何提高無線網(wǎng)絡的速率和傳輸安全等問題需要我們進一步探索，為師生提高一個安全的網(wǎng)絡環(huán)境而努力。