鄧體俊

摘要：隨著筆記本電腦的普及和Internet接入需求的增長(zhǎng)，有線網(wǎng)絡(luò)已無(wú)法靈活滿足校園網(wǎng)用戶們對(duì)網(wǎng)絡(luò)的需求，無(wú)線網(wǎng)絡(luò)逐漸成為校園網(wǎng)解決方案的一個(gè)重要組成部分。同時(shí)，因校園無(wú)線局域網(wǎng)廣泛應(yīng)用而引發(fā)的通信安全問(wèn)題，得到越來(lái)越多校園無(wú)線網(wǎng)用戶的關(guān)注。該文針對(duì)校園無(wú)線局域網(wǎng)當(dāng)前普遍存在的非法接入、非法侵入、WEB加密缺陷和802.11協(xié)議隱患這四大安全問(wèn)題，探討如何綜合運(yùn)用訪問(wèn)控制、防火墻、實(shí)時(shí)監(jiān)控等多項(xiàng)技術(shù)，互相配合、加強(qiáng)管理，制定校園無(wú)線局域網(wǎng)通信安全策略，為提升校園無(wú)線局域網(wǎng)的安全性而努力。

關(guān)鍵詞：校園無(wú)線局域網(wǎng)；網(wǎng)絡(luò)安全問(wèn)題；網(wǎng)絡(luò)安全策略

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）01-0027-03

校園無(wú)線局域網(wǎng)的安全問(wèn)題是一個(gè)較為復(fù)雜的系統(tǒng)工程，要考慮到用戶、管理、技術(shù)三方面的因素。從嚴(yán)格的意義上來(lái)講，百分百的網(wǎng)絡(luò)安全系統(tǒng)是沒(méi)有的，校園無(wú)線局域網(wǎng)安全策略的制定和部署，應(yīng)針對(duì)校園無(wú)線局域網(wǎng)當(dāng)前普遍存在的非法接入、非法侵入、WEB加密缺陷和802.11協(xié)議隱患這四大安全問(wèn)題進(jìn)行，綜合運(yùn)用訪問(wèn)控制、防火墻、實(shí)時(shí)監(jiān)控等多項(xiàng)技術(shù)，互相配合、加強(qiáng)管理，在實(shí)踐中尋找校園無(wú)線網(wǎng)使用與安保之間的矛盾平衡點(diǎn)，使制定的安全策略既不影響師生員工使用無(wú)線網(wǎng)，又不危及網(wǎng)絡(luò)的安全性。

1 用戶訪問(wèn)控制策略

1.1 MAC與IP地址綁定

網(wǎng)卡物理地址MAC具有唯一性且難以更改，綁定MAC地址與IP地址，即使該IP地址被非法接入和非法侵入者盜用或更改，但由于與合法用戶的MAC不匹配，無(wú)法正常使用，從而提升了校園網(wǎng)信息資源的安全性。本控制策略讓非法接入者無(wú)從下手，因?yàn)樵谟玫男畔Ⅻc(diǎn)非法AP無(wú)法盜用；而備用的信息點(diǎn)IP網(wǎng)絡(luò)管理員尚未分配，你若擅自指定IP，即使能進(jìn)入網(wǎng)絡(luò)，也會(huì)被下述訪問(wèn)控制過(guò)濾掉而無(wú)法得到服務(wù)。此外，MAC與IP地址綁定策略有效地消除802.11協(xié)議的隱患（如MAC地址欺騙、流量監(jiān)聽(tīng)）。

1.2無(wú)線設(shè)備MAC過(guò)濾

過(guò)濾功能的實(shí)現(xiàn)是通過(guò)在無(wú)線網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備中，手動(dòng)設(shè)置允許或禁止訪問(wèn)網(wǎng)絡(luò)的地址列表。本控制措施有效阻擊了非法侵入者從無(wú)線節(jié)點(diǎn)設(shè)備進(jìn)入校園網(wǎng)，因?yàn)樗麄兊腗AC不可能在本校無(wú)線AP中的MAC訪問(wèn)控制表有記錄。同時(shí)，本控制措施也是對(duì)校園網(wǎng)合法無(wú)線用戶的第二重保障。同樣，本無(wú)線設(shè)備MAC過(guò)濾策略針對(duì)802.11協(xié)議中加密方式的隱患。

1.3代理服務(wù)器IP過(guò)濾

校園的Internet訪問(wèn)服務(wù)一般是采用代理服務(wù)器接入的共享方式，這種方式擁有普通的NAT技術(shù)所不具的有諸多優(yōu)點(diǎn)，如通過(guò)緩存文件提高訪問(wèn)速度、減少網(wǎng)絡(luò)流量，靈活的上網(wǎng)用戶控制和監(jiān)控，同時(shí)可配置各種過(guò)濾條件的WWW、FTP、Telnet、POP3、VPN、Remote Control等服務(wù)，提供各種數(shù)據(jù)加密、身份認(rèn)證等安全功能，目前，在同樣寬帶下，代理服務(wù)共享方式支持的客戶端訪問(wèn)Internet的速度響應(yīng)是最快的。

代理服務(wù)器具有IP過(guò)濾的身份認(rèn)證功能，所有允許通過(guò)寬帶訪問(wèn)Internet的有線或無(wú)線合法用戶的IP都由網(wǎng)絡(luò)管理員統(tǒng)一錄入白名單內(nèi)，當(dāng)訪問(wèn)請(qǐng)求出現(xiàn)時(shí)，代理服務(wù)器立即驗(yàn)證該請(qǐng)求是否具有合法IP，若否則拒絕訪問(wèn)。

1.4 應(yīng)用服務(wù)器權(quán)限設(shè)置

無(wú)論是非法接入或非法侵入，受傷害最大的是儲(chǔ)存著學(xué)校機(jī)密和重要信息數(shù)據(jù)的各種網(wǎng)絡(luò)應(yīng)用服務(wù)器。校園網(wǎng)所有信息服務(wù)都是由這些應(yīng)用服務(wù)器提供的，一旦被攻擊就會(huì)成為校園網(wǎng)的災(zāi)難。網(wǎng)絡(luò)應(yīng)用服務(wù)器的數(shù)據(jù)除了應(yīng)可靠加密之外，首先要設(shè)置用戶訪問(wèn)權(quán)限和資源使用權(quán)限，在源頭上保護(hù)服務(wù)器。用戶訪問(wèn)權(quán)限指自身被授予的權(quán)限級(jí)別，權(quán)限越高訪問(wèn)受控制的范圍就越小；資源使用權(quán)限指應(yīng)用服務(wù)器一方面限制訪問(wèn)用戶，另一方面限制使用者讀/寫(xiě)/修改的行為。

2 防火墻控制策略

如果從校園無(wú)線局域網(wǎng)的應(yīng)用需求、規(guī)模及密集度上看，學(xué)校的公共場(chǎng)室（各中大型會(huì)議室、多媒體室、學(xué)生宿舍、圖書(shū)館、食堂、多功能體育館及其他室內(nèi)文體活動(dòng)場(chǎng)所等）無(wú)線用戶最多、最集中。但上述用戶訪問(wèn)控制策略對(duì)這類隨機(jī)性極大的無(wú)線用戶基本上是失效的，因?yàn)镸AC與IP地址綁定、無(wú)線設(shè)備MAC過(guò)濾、代理服務(wù)器IP過(guò)濾這些控制措施的實(shí)施條件必須是靜態(tài)IP和MAC，而公共場(chǎng)室的無(wú)線用戶大多數(shù)用智能手機(jī)，即使采用電腦，其無(wú)線網(wǎng)卡的管理權(quán)也不在校方。另外，出于低成本和搭建方便考慮，許多校園部署無(wú)線網(wǎng)時(shí)，直接在現(xiàn)行網(wǎng)絡(luò)的接入層安裝合法無(wú)線AP覆蓋各公共場(chǎng)室，客觀上導(dǎo)致校園無(wú)線網(wǎng)的安全處于失控狀態(tài)。

防火墻控制策略的思路是將無(wú)線網(wǎng)公共使用區(qū)的安全防御交由校園網(wǎng)硬件防火墻承擔(dān)，由于硬件防火墻的防御級(jí)別高、能力強(qiáng)，而且一向以來(lái)非法侵入者攻破硬件防火墻的幾率極低。所以硬件防火墻一直都是保障校園網(wǎng)絡(luò)安全的主力。圖1是基于防火墻策略的無(wú)線網(wǎng)公共使用區(qū)配置拓?fù)鋱D。

圖示中硬件防火墻以內(nèi)的是校園網(wǎng)工作專用區(qū)，在網(wǎng)絡(luò)接入層部署N個(gè)無(wú)線AP，全面覆蓋網(wǎng)絡(luò)中心、實(shí)驗(yàn)樓、系部辦公樓和圖書(shū)樓；由于所有授課教室按校方規(guī)定應(yīng)禁用無(wú)線網(wǎng)，所以無(wú)任何AP覆蓋。為了網(wǎng)絡(luò)安全的需要，專用區(qū)內(nèi)所有合法無(wú)線用戶的無(wú)線網(wǎng)卡必須接受校方管理，而且智能手機(jī)不能入網(wǎng)。硬件防火墻以外的是無(wú)線網(wǎng)公共使用區(qū)，網(wǎng)絡(luò)中心為各公共場(chǎng)室配置接入交換機(jī)并合理安裝無(wú)線AP，力求最佳覆蓋面；然后通過(guò)一臺(tái)匯聚交換機(jī)上聯(lián)至路由器內(nèi)網(wǎng)端口，再經(jīng)NAT轉(zhuǎn)換訪問(wèn)Internet。而硬件防火墻的安全過(guò)濾規(guī)則設(shè)置，禁止了任何公共場(chǎng)室的無(wú)線用戶進(jìn)入校園網(wǎng)內(nèi)部網(wǎng)絡(luò)，既保障了無(wú)線用戶最大群體的使用，又維護(hù)了校園網(wǎng)的安全。

3 無(wú)線接入控制器策略

無(wú)線接入控制器策略是一種硬件控制策略，用來(lái)集中化控制無(wú)線AP，是一個(gè)無(wú)線網(wǎng)絡(luò)的核心，負(fù)責(zé)管理無(wú)線網(wǎng)絡(luò)中的所有無(wú)線AP，對(duì)AP管理包括：下發(fā)配置、修改相關(guān)配置參數(shù)、射頻智能管理、接入安全控制等。最大的優(yōu)點(diǎn)是控制速度快，網(wǎng)絡(luò)流轉(zhuǎn)效率高。采用無(wú)線接入控制器策略的先決條件是，無(wú)線用戶的網(wǎng)卡必須能適配多種加密方式。圖2是一個(gè)基于無(wú)線接入控制器的校園無(wú)線局域網(wǎng)參考原型。

本校園無(wú)線網(wǎng)的區(qū)別在于核心層與匯聚層之間串接了一臺(tái)無(wú)線接入控制器，成為任何一個(gè)無(wú)線用戶的必經(jīng)之路。配置無(wú)線接入控制器策略，當(dāng)無(wú)線用戶接入網(wǎng)絡(luò)時(shí)，可以通過(guò)無(wú)線接入控制器向各無(wú)線AP下發(fā)允許用戶接入的列表，在ACP上進(jìn)行接入控制，從而達(dá)到限制無(wú)線用戶只能接入到指定位置AP 的目的。也可以從多個(gè)方向?qū)嵭袑?duì)學(xué)校無(wú)線網(wǎng)絡(luò)的安全控制與管理，使學(xué)校在擁有如此龐大用戶群的同時(shí)，保證網(wǎng)絡(luò)處于良好的工作狀態(tài)，并能進(jìn)行網(wǎng)絡(luò)運(yùn)行實(shí)時(shí)檢測(cè)和同步管理。

4 實(shí)時(shí)偵測(cè)策略

校園無(wú)線局域網(wǎng)通過(guò)上述安全策略的層層把關(guān)，安全級(jí)數(shù)日益提高，但仍不排除有漏網(wǎng)之魚(yú)。總是會(huì)有非法接入和非法侵入者攻進(jìn)校園網(wǎng)的，因此，實(shí)時(shí)偵測(cè)策略就非常重要。實(shí)時(shí)偵測(cè)是指隨時(shí)隨地進(jìn)行網(wǎng)絡(luò)在線偵查與檢測(cè)，及時(shí)發(fā)現(xiàn)各種網(wǎng)絡(luò)異象例如用戶端的連接問(wèn)題；訪問(wèn)請(qǐng)求數(shù)目不成比例主機(jī)、未授權(quán)用戶等。實(shí)時(shí)偵測(cè)通過(guò)收集和分析無(wú)線網(wǎng)絡(luò)的行為、安全日志、審計(jì)數(shù)據(jù)、檢查網(wǎng)絡(luò)系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。

5 其他策略

5.1合理放置無(wú)線AP

首先確認(rèn)每應(yīng)用區(qū)域各無(wú)線用戶的物理位置分布狀況，兩個(gè)最遠(yuǎn)點(diǎn)之間的距離的半徑就是無(wú)線AP的覆蓋范圍，然后購(gòu)買(mǎi)發(fā)射功率最合適的無(wú)線AP，應(yīng)剛好覆蓋最近點(diǎn)和最遠(yuǎn)點(diǎn)的無(wú)線用戶。發(fā)射功率若過(guò)大，容易被他人接收而客觀上造成非法侵入的事實(shí)；發(fā)射功率若過(guò)小，難以輻射到最遠(yuǎn)點(diǎn)的無(wú)線用戶。若能購(gòu)買(mǎi)發(fā)射功率可調(diào)的無(wú)線AP就更好，我們可以依據(jù)所需的信號(hào)覆蓋半徑調(diào)大或調(diào)小發(fā)射功率。將無(wú)線AP放置在應(yīng)用區(qū)域的中央點(diǎn)，避免將無(wú)線AP放置在窗戶附近，以防信號(hào)外泄。

5.2 修改默認(rèn)設(shè)置

無(wú)線設(shè)備出廠的默認(rèn)設(shè)置沒(méi)有提供最大的安全保證，因此在使用無(wú)線網(wǎng)及其設(shè)備時(shí)應(yīng)該修改默認(rèn)設(shè)置，提高安全系數(shù)。

◇更改無(wú)線AP默認(rèn)的登錄初始口令和SSID。

◇開(kāi)啟無(wú)線AP加密功能。

◇隱藏SSID。

◇禁用或修改SNMP設(shè)置。

5.3 推廣WPA加密方式

基于802.11i的WPA加密方式解決了WLAN原先采用的安全認(rèn)證WEP的缺陷，這是因?yàn)閃PA用新的加密算法以及用戶認(rèn)證，滿足WLAN的安全需求。WPA是以軟件方式實(shí)現(xiàn)的，能夠提供高度可靠的安全保證。其原理為根據(jù)通用密鑰，配合表示電腦MAC地址和分組信息順序號(hào)的編號(hào)，分別為每個(gè)分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用于RC4加密處理。通過(guò)這種處理，所有用戶端的所有分組信息所交換的數(shù)據(jù)將由各不相同的密鑰加密而成。無(wú)論收集到多少這樣的數(shù)據(jù)，要想破解出原始的通用密鑰幾乎是不可能的，WPA還追加了防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能。由于具備這些功能，WEP此前備受指責(zé)的缺點(diǎn)得以全部解決。

5.4 完善管理制度

為了配合校園無(wú)線網(wǎng)絡(luò)的安全管理，不少學(xué)校已制定了相關(guān)的網(wǎng)絡(luò)安全管理制度，但是這些管理制度普遍存在這樣那樣的缺陷，要么針對(duì)性不強(qiáng)，達(dá)不到制約的目的；要么一成不變，給不法分子鉆了管理新漏洞的空子。現(xiàn)有的制度無(wú)法適應(yīng)不斷變更的網(wǎng)絡(luò)管理需求，已經(jīng)成為許多校園無(wú)線網(wǎng)絡(luò)管理的通病，由于網(wǎng)絡(luò)制度不起作用，頻頻出現(xiàn)人為因素影響網(wǎng)絡(luò)性能，甚至造成網(wǎng)絡(luò)安全故障。

網(wǎng)絡(luò)安全管理制度是以人為本，面向廣大用戶和網(wǎng)絡(luò)管理員的，應(yīng)該根據(jù)用戶訪問(wèn)權(quán)限劃分不同層次的操作守則，對(duì)用戶訪問(wèn)權(quán)限越高的操作者要求越嚴(yán)格；由于網(wǎng)絡(luò)管理員的工作事關(guān)重大，在制約上必須更細(xì)更嚴(yán)，并且要設(shè)立有效的監(jiān)管措施。

參考文獻(xiàn)：

[1] 唐雄燕.寬帶無(wú)線技術(shù)及應(yīng)用[M].北京：電子工業(yè)出版社，2006：30-150.

[2] 楊軍.無(wú)線局域網(wǎng)組建實(shí)戰(zhàn)[M].北京：電子工業(yè)出版社，2006：100-160.

[3] 劉寶旭，蔣文保，王曉箴.黑客入侵的主動(dòng)防御[M].北京：電子工業(yè)出版社，2007：2-226.

[4] 金純，陳林星，楊吉云.IEEE 802.11無(wú)線局域網(wǎng)[M].北京：電子工業(yè)出版社，2004：1-20.

[5] 唐濤，白濤.網(wǎng)絡(luò)組建與應(yīng)用典型實(shí)例精粹[M].北京：電子工業(yè)出版社，2007：193-205.

[6] 蔣建軍.網(wǎng)絡(luò)實(shí)用技術(shù)[M].北京：上海交通大學(xué)出版社，2005：18-39.