中南財(cái)經(jīng)政法大學(xué)信息與安全工程學(xué)院 徐 燦

建設(shè)無線網(wǎng)絡(luò)已經(jīng)成為校園彌補(bǔ)有線網(wǎng)絡(luò)不足的重要措施，高校校園中的無線網(wǎng)絡(luò)建設(shè)，使校園內(nèi)師生的生活方式和學(xué)習(xí)方式發(fā)生了很大的變化。與有線網(wǎng)絡(luò)相比，無線網(wǎng)絡(luò)更容易被攻擊和入侵，因此，高校校園無線網(wǎng)絡(luò)的安全問題必須得到重視。本文剖析了校園無線網(wǎng)絡(luò)的優(yōu)勢(shì)及其存在的安全隱患，并探討了校園無線網(wǎng)絡(luò)的安全防范策略。

1.引言

隨著經(jīng)濟(jì)和技術(shù)的發(fā)展，智能手機(jī)、筆記本電腦等各種移動(dòng)終端已在高校校園內(nèi)普及，建設(shè)無線網(wǎng)絡(luò)已經(jīng)成為校園彌補(bǔ)有線網(wǎng)絡(luò)不足的重要措施，無線網(wǎng)絡(luò)使人們不受網(wǎng)線的束縛，隨時(shí)隨地可以上網(wǎng)訪問相關(guān)信息。在校園網(wǎng)中開展無線網(wǎng)絡(luò)建設(shè)，可以推進(jìn)高校信息化發(fā)展，有利于多種教學(xué)方式的實(shí)現(xiàn)，給師生的工作和學(xué)習(xí)帶來極大的便利[1]。不同于有線網(wǎng)絡(luò)的接入方式，在無線網(wǎng)絡(luò)中只要終端設(shè)備在無線信號(hào)覆蓋范圍內(nèi)便可接入網(wǎng)絡(luò)，非常方便。與有線網(wǎng)絡(luò)相比，無線網(wǎng)絡(luò)更容易被攻擊和入侵，因此，高校校園無線網(wǎng)絡(luò)的安全問題必須得到重視。

2.校園無線網(wǎng)絡(luò)的優(yōu)勢(shì)

無線網(wǎng)絡(luò)不依賴網(wǎng)線，只要在無線網(wǎng)絡(luò)的覆蓋范圍之內(nèi)，都可以連接網(wǎng)絡(luò)上網(wǎng)，真正實(shí)現(xiàn)了移動(dòng)辦公，而且組網(wǎng)非常靈活；無線網(wǎng)絡(luò)的安裝很簡(jiǎn)單，布線少，一般只需安裝一個(gè)或者幾個(gè)無線接入點(diǎn)設(shè)備，就可覆蓋整個(gè)建筑物或某一區(qū)域；發(fā)生故障時(shí)不需要查找故障線路，只需檢查信號(hào)發(fā)送端和接收端是否正常就可以；無線傳輸標(biāo)準(zhǔn)802.11b的傳輸速度可以達(dá)到11Mbps的數(shù)據(jù)速率，而標(biāo)準(zhǔn)802.11g的傳輸速度則可以達(dá)到54Mbps的數(shù)據(jù)速率，這些傳輸速度完全可以滿足高校校園網(wǎng)用戶對(duì)網(wǎng)速的要求；相對(duì)于有線網(wǎng)絡(luò)，無線網(wǎng)絡(luò)的建設(shè)費(fèi)用要高些，但一旦建設(shè)好后，無線網(wǎng)絡(luò)的維護(hù)比較方便，而且維護(hù)成本比有線網(wǎng)絡(luò)低50%左右。

3.校園無線網(wǎng)絡(luò)的安全隱患

3.1 信息泄露

無線網(wǎng)絡(luò)的開放訪問特點(diǎn)讓很多上網(wǎng)設(shè)備都能無障礙地連上無線網(wǎng)絡(luò)，而且其中的網(wǎng)絡(luò)通信數(shù)據(jù)是以明文形式出現(xiàn)的，正因如此，攻擊者只要在無線網(wǎng)絡(luò)覆蓋范圍之內(nèi)，就可以竊聽、篡改或轉(zhuǎn)發(fā)相關(guān)數(shù)據(jù)，導(dǎo)致校園網(wǎng)絡(luò)信息泄露，這是目前無線網(wǎng)絡(luò)面臨的最大的安全問題。

3.2 重放攻擊

網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)如果是加密過的，則竊聽者無法知道數(shù)據(jù)的準(zhǔn)確意義。但如果他知道這些數(shù)據(jù)的作用，就可以在不知道數(shù)據(jù)內(nèi)容的情況下通過再次發(fā)送這些數(shù)據(jù)達(dá)到愚弄接收端的目的。重放攻擊的基本原理就是把以前竊聽到的數(shù)據(jù)原封不動(dòng)地重新發(fā)送給接收方。在高校無線網(wǎng)絡(luò)中，有些信息進(jìn)行簡(jiǎn)單加密后進(jìn)行傳輸，這時(shí)攻擊者雖然無法竊聽到準(zhǔn)確的信息，但他們卻可以首先截取加密后的數(shù)據(jù)然后將其重放，然后進(jìn)行有效的攻擊。這種攻擊能夠?qū)κ跈?quán)的客戶端和AP進(jìn)行雙重欺騙，達(dá)到竊取和篡改信息的目的。

3.3 加密技術(shù)存在漏洞

當(dāng)前互聯(lián)網(wǎng)上存在一些非法的軟件和程序，它們能夠捕捉到AP信號(hào)覆蓋區(qū)域的數(shù)據(jù)包，當(dāng)它們收集了足夠多的WEP數(shù)據(jù)包之后就對(duì)WEP密鑰進(jìn)行分析與恢復(fù)，有的甚至可以在兩小時(shí)內(nèi)攻破WEP密鑰，從而從黑客演變?yōu)楹戏ǖ?AP 網(wǎng)絡(luò)使用用戶[2]。

3.4 MAC地址欺騙

MAC地址是固化在網(wǎng)卡上的物理地址，通常有48位長(zhǎng)。以太網(wǎng)交換機(jī)根據(jù)某條數(shù)據(jù)包中的MAC源地址和MAC目的地址實(shí)現(xiàn)包的交換和傳遞。MAC地址欺騙的原理：正常情況下，二層交換機(jī)的地址表即CAM表存放了所有設(shè)備的MAC地址、交換機(jī)端口等信息，攻擊者將自己的MAC地址偽裝成某合法主機(jī)的MAC地址，欺騙交換機(jī)更新CAM表，導(dǎo)致所有發(fā)送給該合法主機(jī)的流量都被發(fā)送給攻擊者。

3.5 拒絕服務(wù)

拒絕服務(wù)即Denial of Service，簡(jiǎn)稱DoS，其攻擊的目的是使主機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。攻擊者進(jìn)行拒絕服務(wù)攻擊會(huì)使服務(wù)器實(shí)現(xiàn)兩種效果：一是迫使服務(wù)器的緩沖區(qū)滿，不接收新的請(qǐng)求；二是使用IP欺騙，迫使服務(wù)器連接非法用戶，影響合法用戶的連接。拒絕服務(wù)一般有兩種攻擊方式：一種是攻擊者對(duì)AP不斷地發(fā)送信息，導(dǎo)致AP拒絕服務(wù)；另一種是攻擊者對(duì)某個(gè)節(jié)點(diǎn)進(jìn)行攻擊，讓它不停地提供服務(wù)或者轉(zhuǎn)發(fā)數(shù)據(jù)包，使其能源消耗而無法繼續(xù)工作，該種攻擊方式又可稱為能源消耗攻擊[3]。

4.校園無線網(wǎng)絡(luò)的安全防范策略

4.1 上網(wǎng)者身份認(rèn)證

高校應(yīng)當(dāng)對(duì)學(xué)生和教師這兩大校園網(wǎng)用戶主體進(jìn)行統(tǒng)一學(xué)號(hào)和工號(hào)的編排，師生上網(wǎng)時(shí)可以輸入自己的工號(hào)或?qū)W號(hào)，以對(duì)用戶身份和網(wǎng)絡(luò)使用權(quán)限進(jìn)行驗(yàn)證，只有通過驗(yàn)證才能實(shí)現(xiàn)無線上網(wǎng)。

4.2 啟用加密功能

無線路由器里帶有WEP、WPA和WPA2三種加密方式。不建議選用WEP，因?yàn)閃EP加密相對(duì)于其他兩種加密方式來說最古老，也最不安全。由于WPA2使用更安全的加密技術(shù)AES，因此比WPA更難被破解、更安全；并且WPA2加密密鑰在數(shù)據(jù)包廣播過程中會(huì)不斷發(fā)生變化，安全性更好，所以優(yōu)先啟用WPA2加密功能。

4.3 禁止SSID廣播

SSID是用來區(qū)分不同的無線網(wǎng)絡(luò)。AP和無線路由器默認(rèn)情況下會(huì)向所有的無線客戶端廣播自己的SSID號(hào)，從而方便用戶接入相應(yīng)的無線網(wǎng)絡(luò)。廣播SSID的功能在方便正常用戶的同時(shí)也給非法用戶接入網(wǎng)絡(luò)創(chuàng)造了條件，因此應(yīng)當(dāng)取消AP和無線路由器的“允許SSID廣播”功能，使得攻擊者攻擊時(shí)搜索不到SSID號(hào)，無法入侵網(wǎng)絡(luò)，從而增加校園無線網(wǎng)絡(luò)的安全性。

4.4 開啟MAC地址過濾

無線路由器上的MAC地址過濾功能，主要是用來控制無線局域網(wǎng)中的計(jì)算機(jī)對(duì)互聯(lián)網(wǎng)的訪問權(quán)限，就是允許或禁止指定的終端（以MAC地址來標(biāo)識(shí)）連接無線信號(hào)，可以有效防止網(wǎng)絡(luò)被蹭。勾選“開啟MAC地址過濾”后，如果要設(shè)置白名單，則過濾規(guī)則選擇允許后，再根據(jù)需要添加允許訪問無線網(wǎng)絡(luò)的MAC地址條目；如果要設(shè)置黑名單，則過濾規(guī)則選擇禁止后，再根據(jù)需要添加禁止訪問無線網(wǎng)絡(luò)的MAC地址條目。對(duì)于指定的無線網(wǎng)絡(luò)，通過開啟無線路由器的MAC地址過濾功能，可以允許白名單里的MAC地址訪問而拒絕黑名單里的MAC地址訪問，從而有效控制無線網(wǎng)絡(luò)內(nèi)用戶的上網(wǎng)權(quán)限。無線MAC過濾可以讓無線網(wǎng)絡(luò)獲得較高的安全性。

4.5 關(guān)閉路由器的DHCP功能

DHCP是動(dòng)態(tài)分配IP地址，工作模式是客戶端/服務(wù)器端模式，無線路由器是服務(wù)器端，連接路由器的電腦、手機(jī)等是客戶端。服務(wù)器端即無線路由器開啟DHCP功能以后，如果客戶端設(shè)置自動(dòng)獲取IP地址，那么無線路由器就對(duì)連接它的電腦、手機(jī)等自動(dòng)分配IP地址；如果客戶端已手動(dòng)配置好IP地址，那么DHCP就不會(huì)再給它分配IP地址了。如果關(guān)閉無線路由器的DHCP功能，那么企圖自動(dòng)獲取IP地址的惡意用戶就無法得到IP地址，因?yàn)樗@取IP地址的請(qǐng)求沒有服務(wù)器來響應(yīng)了。

4.6 防范拒絕服務(wù)攻擊

拒絕服務(wù)即DoS通過大量的虛擬信息流攻擊目標(biāo)主機(jī)以耗盡其資源，使合法的用戶得不到提交的服務(wù)響應(yīng)。為了防范DoS攻擊，可以在無線路由器管理界面“安全設(shè)置”的“高級(jí)安全選項(xiàng)”中啟用DoS攻擊防范功能。無線路由器判定是DoS攻擊的原理：設(shè)定一個(gè)時(shí)間間隔，設(shè)定一個(gè)閾值，如果在設(shè)定的時(shí)間間隔內(nèi)，某種數(shù)據(jù)包超過了預(yù)設(shè)的閾值，無線路由器將認(rèn)為DoS攻擊已經(jīng)發(fā)生，從而停止接收該類型的數(shù)據(jù)包。

4.7 應(yīng)用入侵檢測(cè)技術(shù)

將無線入侵檢測(cè)技術(shù)應(yīng)用于校園無線網(wǎng)絡(luò)安全防范工作中，能方便網(wǎng)絡(luò)管理人員實(shí)時(shí)監(jiān)控?zé)o線網(wǎng)絡(luò)中的用戶行為。無線網(wǎng)絡(luò)管理人員要時(shí)刻監(jiān)測(cè)無線網(wǎng)絡(luò)，要對(duì)異常情況進(jìn)行監(jiān)控和分析，判斷入侵的類型，對(duì)于那些非法的網(wǎng)絡(luò)行為和異常的流量要進(jìn)行監(jiān)視和報(bào)警[4]。

入侵檢測(cè)系統(tǒng)可以對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，它通過監(jiān)測(cè)網(wǎng)絡(luò)中的若干關(guān)鍵點(diǎn)，通過監(jiān)測(cè)到的信息分析網(wǎng)絡(luò)中是否存在被攻擊的情形，一旦發(fā)現(xiàn)可疑傳輸時(shí)就會(huì)發(fā)出警報(bào)提示或者采取積極主動(dòng)的處理措施。入侵檢測(cè)是一種主動(dòng)防御技術(shù)，能提供對(duì)網(wǎng)絡(luò)的實(shí)時(shí)防護(hù)，并能對(duì)即將發(fā)生的攻擊進(jìn)行攔截或響應(yīng)。

4.8 使用VPN技術(shù)

VPN（Virtual Private Networking），即虛擬專用網(wǎng)絡(luò)，也可應(yīng)用于無線網(wǎng)絡(luò)，主要采用三種對(duì)稱加密算法：數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）、3級(jí)DES（3DES）以及高級(jí)數(shù)據(jù)加密標(biāo)準(zhǔn)（AES），通過使用這些加密算法可以保障數(shù)據(jù)在傳輸過程中的安全。為了保證數(shù)據(jù)安全，在VPN服務(wù)器和客戶端之間的傳輸?shù)臄?shù)據(jù)都進(jìn)行了加密處理，這樣，數(shù)據(jù)就好像是在一條專用的數(shù)據(jù)鏈路上進(jìn)行傳輸，數(shù)據(jù)傳輸非常安全可靠，如同專門架設(shè)了一個(gè)專用網(wǎng)絡(luò)一樣，所以稱為虛擬專用網(wǎng)，但實(shí)際上VPN使用的還是互聯(lián)網(wǎng)上的公用鏈路。

4.9 提高安全意識(shí)

完善無線網(wǎng)絡(luò)安全的管理制度，培訓(xùn)網(wǎng)絡(luò)安全知識(shí)，使網(wǎng)絡(luò)管理員和用戶提高安全意識(shí)。用戶配置無線設(shè)備時(shí)，盡量使用高安全等級(jí)，不要采用系統(tǒng)的默認(rèn)設(shè)置；客戶端要安裝殺毒軟件和防火墻，以提高客戶端訪問的安全性。提升人員的安全意識(shí)和網(wǎng)絡(luò)管理技術(shù)水平是校園無線網(wǎng)絡(luò)安全防范工作的重中之重。

5.結(jié)語(yǔ)

網(wǎng)絡(luò)的安全性與使用便利性是一對(duì)矛盾，越方便的網(wǎng)絡(luò)使用起來越來越不安全。人們?cè)谙硎軣o線網(wǎng)絡(luò)提供的服務(wù)的同時(shí)，必然會(huì)面臨無線網(wǎng)絡(luò)所帶來的安全威脅。盡管無線網(wǎng)絡(luò)存在眾多的安全隱患，但是并不能阻礙無線網(wǎng)絡(luò)的迅速發(fā)展，校園無線網(wǎng)絡(luò)是校園網(wǎng)絡(luò)不可缺少的組成部分，保障校園無線網(wǎng)絡(luò)的安全對(duì)于高校而言是尤為重要的，高校應(yīng)當(dāng)切實(shí)做好無線網(wǎng)絡(luò)的安全管理工作，并積極采取相關(guān)措施及時(shí)排除校園無線網(wǎng)絡(luò)中存在的安全隱患，以確保校園無線網(wǎng)絡(luò)的安全，進(jìn)而促進(jìn)高校校園的現(xiàn)代化網(wǎng)絡(luò)建設(shè)。