張詠梅

摘要：隨著無線局域網(wǎng)技術(shù)的迅速發(fā)展，基于WIFI技術(shù)的3G無線網(wǎng)絡(luò)被廣泛應(yīng)用到大學(xué)校園內(nèi)，其潛在的安全問題也表現(xiàn)得較為明顯。該文通過對無線校園網(wǎng)絡(luò)的特點及安全必要性進行深入分析，總結(jié)校園無線網(wǎng)絡(luò)安全問題重點之所在，結(jié)合本校校園無線網(wǎng)絡(luò)的實際建設(shè)，提出了相應(yīng)的校園無線網(wǎng)絡(luò)安全防范措施。

關(guān)鍵詞：WLAN；AP；WIFI技術(shù)

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）23-5431-02

1 概述

無線校園網(wǎng)絡(luò)已成為廣大師生工作和學(xué)習(xí)的常規(guī)渠道之一，越來越多的個人隱私和工作實驗數(shù)據(jù)等機密信息，通過收發(fā)郵件、即時通訊、網(wǎng)上支付以及使用微信、發(fā)布微博等方式進行無線網(wǎng)絡(luò)傳輸。無線校園網(wǎng)絡(luò)擺脫了時間、地點和對象的束縛，給師生的學(xué)習(xí)、工作以及休閑娛樂帶來了極大的便捷，但由于無線網(wǎng)絡(luò)傳輸媒介固有的開放性、終端資源的受限性和移動性，以及網(wǎng)絡(luò)拓撲結(jié)構(gòu)的動態(tài)性，使得其存在潛在的安全風險；同時，也使有線網(wǎng)絡(luò)環(huán)境下的許多安全方案不能直接應(yīng)用。因此，無線網(wǎng)絡(luò)包括無線校園網(wǎng)絡(luò)的安全和應(yīng)對問題，成為新的研究熱點。

2 無線網(wǎng)絡(luò)（WLAN）的優(yōu)點和安全性特點

1） 無線網(wǎng)絡(luò)定義：WLAN（Wireless LAN）即無線局域網(wǎng)，簡稱無線網(wǎng)絡(luò)，就是利用無線電波作為傳輸媒介而構(gòu)成的信息網(wǎng)絡(luò)，可應(yīng)付各種網(wǎng)絡(luò)環(huán)境的設(shè)置變化，不需要鋪設(shè)通信電纜。

2） 無線網(wǎng)絡(luò)的優(yōu)點：使用靈活，易于擴展：可以讓用戶通過無線網(wǎng)橋、網(wǎng)卡和無線接入器等無線設(shè)備對有線網(wǎng)絡(luò)進行擴展和延伸，增加和配置工作站而不受線纜的限制；降低成本：節(jié)省大量的工程布線和線路維護的費用；移動性：由于無線網(wǎng)絡(luò)傳輸覆蓋范圍大大的拓展，用戶在此空間不受限制；安裝方便：組建、配置和維護比有線網(wǎng)絡(luò)更為容易。

3） 無線網(wǎng)絡(luò)安全性特點：開放性和接入方便的特點，以及傳播介質(zhì)是容易穿透各種物質(zhì)的電磁波，為無線網(wǎng)絡(luò)安全埋下了隱患。開放性使得更容易受到從被動竊聽到主動攻擊的各種干擾；移動性使得移動節(jié)點沒有足夠的物理防護，其體系安全性脆弱，也使用戶管理更為復(fù)雜；無線網(wǎng)絡(luò)節(jié)點的頻繁加入和退出，以及無線網(wǎng)絡(luò)動態(tài)變化的拓撲結(jié)構(gòu)缺乏集中管理，使得從許多網(wǎng)絡(luò)算法依賴的節(jié)點做出的決策分散，安全方案的實施難度更大。

3 無線校園網(wǎng)絡(luò)面臨的主要安全問題

3.1 非法接入點連接問題

無線局域網(wǎng)得配置比較簡單和容易訪問，很多人在不經(jīng)過授權(quán)的情況下，通過自己購買的AP將計算機連入網(wǎng)絡(luò)，這便是非法接入點。同時在非法接入點信號覆蓋范圍內(nèi)的任何人都可以連接和進入企業(yè)網(wǎng)絡(luò)。這便給企業(yè)網(wǎng)絡(luò)安全帶來很大的風險。

3.2 數(shù)據(jù)安全問題

無線網(wǎng)的信號傳送的是在開放空間進行的，攻擊者只要獲得無線網(wǎng)的信號，就會對數(shù)據(jù)進行一些非法操作，通常攻擊者一般通過破解WPA 加密、WEP 加密、MAC 過濾、SSID隱藏等方法來進入無線網(wǎng)絡(luò)的。再還有在信息的傳輸過程中，攻擊者一般利用第三方軟件，如 Ethereal 和 TCP Dump 來竊聽、截取和破壞數(shù)據(jù)。

3.3地址欺騙和會話攔截

在無線網(wǎng)絡(luò)環(huán)境中，合法終端的 MAC 地址通常要比有線環(huán)境中要容易獲得，因此攻擊者通常利用非法偵聽的手段來獲得此地址，他們通過這些合法的 MAC 地址來對其他系統(tǒng)進行惡意攻擊。另外，由于 IEEE802.11 標準協(xié)議沒對 AP 進行身份認證，攻擊者很容易偽裝成 AP 進入網(wǎng)絡(luò)，并進一步獲取合法用戶的身份信息，然后通過攔截、會話實現(xiàn)網(wǎng)絡(luò)攻擊。

3.4 高級入侵

多數(shù)單位和學(xué)校部署的無線網(wǎng)絡(luò)都在防火墻之后，如果攻擊者進入，將會以此網(wǎng)絡(luò)為起點，進一步入侵其他系統(tǒng)，WLAN 的安全隱患就完全暴露出來，通常攻擊者主要從以下幾個方面進行入侵。

1） 偵測攻擊：針對系統(tǒng)或服務(wù)弱點，一般通過偽造、竊聽等方式來進行沒有授權(quán)的訪問和查詢。

2） 非法AP 欺騙：為了獲得正常用戶的認證信息和數(shù)據(jù)，攻擊者一般通過正常用戶來接入未授權(quán)的AP。

3） DOS 攻擊：通過發(fā)起大量服務(wù)請求來占用過多服務(wù)資源，從而使合法用戶無法得到正常服務(wù)。

4 校園無線網(wǎng)絡(luò)安全應(yīng)對技術(shù)和措施

針對無線校園網(wǎng)的特點及安全問題，可在網(wǎng)絡(luò)不同層次采取多種安全應(yīng)對技術(shù)和措施：

1） 師生用戶的身份認證：用戶認證是一項最重要的安全業(yè)務(wù)。建立支持MAC 地址認證、Portal 認證、802.1X 認證、PPPOE 和WAPI等多種認證方式的無線用戶認證系統(tǒng)。事先設(shè)定好用戶策略，讓師生用戶通過身份認證后可動態(tài)授權(quán)VLAN 和ACL。用戶經(jīng)過無線認證后，無線控制器應(yīng)對用戶進行標識和綁定，并分配帶寬等屬性，這樣可以防止帶寬濫用、IP 地址欺騙和DHCP 服務(wù)器被攻擊等問題。

2） 校園內(nèi)臨時用戶的認證：適于暫時臨時訪問校內(nèi)無線網(wǎng)的用戶，可用DHCP+強制Portal認證的方式。

3） 部署無線入侵檢測/ 防御（WIDS/WIPS）系統(tǒng)：當檢測、監(jiān)控到有非法設(shè)備或網(wǎng)絡(luò)流量異常時系統(tǒng)會自動分析，做出判斷，自動發(fā)出報警，同時進行自動防護。此外，它還能通過一種順序分析技術(shù)，找到MAC欺騙地址，進而找出偽裝WAP的上網(wǎng)用戶。

5 校園無線網(wǎng)絡(luò)安全管理策略

領(lǐng)導(dǎo)組織協(xié)調(diào)建立網(wǎng)絡(luò)安全長效機制和安全事件響應(yīng)機制，同時，加強校園師生用戶的無線網(wǎng)絡(luò)安全教育和培訓(xùn)工作。

6 結(jié)束語

無線校園網(wǎng)絡(luò)已經(jīng)成為師生獲取交流信息的重要依靠，為建立智能化教學(xué)系統(tǒng)，提高學(xué)校信息化水平發(fā)揮著決定作用。對于師生一般用戶，需要采用修改默認設(shè)置和合理使用；對于學(xué)校的重要部門，應(yīng)根據(jù)安全等級采用相應(yīng)的安全手段以及配置專業(yè)系統(tǒng)來實現(xiàn)自動檢測和自動防御，綜合使用多種方案，最大限度地建設(shè)一個安全、可信的校園網(wǎng)絡(luò)環(huán)境。

參考文獻：

[1] 孫利民，李建中.無線局域網(wǎng)絡(luò)[M].北京：清華大學(xué)出版社，2005：4-22.

[2] 楊峰，張浩軍.無線局域網(wǎng)安全協(xié)議的研究和實現(xiàn)[J].計算機應(yīng)用，2007（1）.

[3] 劉強.無線網(wǎng)絡(luò)安全的機制與技術(shù)措施探究[J].無線互聯(lián)科技，2011（4）.

[4] 黃勁榮.無線局域網(wǎng)在校園網(wǎng)的應(yīng)用[J].教育信息化，2009（15）.