◆代天成

（四川工商學院 四川 611745）

現(xiàn)代高校無線網(wǎng)的安全防護技術方法分析

◆代天成

（四川工商學院 四川 611745）

上世紀末以來，無線局域網(wǎng)技術發(fā)展逐漸成熟，在高等院校中獲得了非常廣泛的應用。本文針對無線網(wǎng)絡的特點，分析了高校無線網(wǎng)建設和應用中存在的一系列安全問題，并提出保障高校無線網(wǎng)安全的防護技術方法，為高校無線網(wǎng)安全防護提供參考。

高校無線網(wǎng)；網(wǎng)絡安全；防護技術方法

0 引言

二十世紀九十年代開始，無線局域網(wǎng)技術的發(fā)展越來越成熟并商用。無線局域網(wǎng)屬于傳統(tǒng)有線網(wǎng)的一種延伸，在部分環(huán)境里面甚至能夠替代有線網(wǎng)。我國大部分高?；旧暇呀?jīng)建設了有線網(wǎng)絡，在教學設施不斷完善的今天，便攜式電腦終端在教學中得到了廣泛的應用，擁有無線網(wǎng)卡電腦終端的學生也更多。教師以及學生都非常依賴無線網(wǎng)，可隨之而來的無線網(wǎng)安全問題開始顯現(xiàn)出來，所以應該采取有效的安全防范技術和方法來確保無線網(wǎng)絡的上網(wǎng)安全。

1 無線網(wǎng)具有的優(yōu)點

WLAN網(wǎng)橋傳輸系統(tǒng)的整個安裝過程十分簡便，能夠降低系統(tǒng)安裝工作量，同時通過無線技術能夠靈活安裝以及調(diào)整WLAN設備位置，并且使網(wǎng)絡覆蓋有線網(wǎng)無法覆蓋的地方。WLAN網(wǎng)絡可以降低布線費用，而且在需要不斷移動以及變化的環(huán)境里面，無線網(wǎng)技術能夠有效保護已有投資[1]。因為WLAN技術屬于數(shù)據(jù)通信領域里面的一種IP傳輸技術，所以能夠利用百兆自適應網(wǎng)口與社會企業(yè)以及校園Intranet連接，不用安裝協(xié)議轉(zhuǎn)換器等網(wǎng)絡設備。此外，無線網(wǎng)還具有擴展能力強、簡單靈活以及綜合成本相對較低等優(yōu)點。

2 高校無線網(wǎng)存在的安全問題

2.1 信息重放

若高校無線網(wǎng)沒有采取有效安全防范措施，就極其容易被人利用非法AP產(chǎn)生欺騙攻擊行為。就算采取VPN等保護手段也很難避免，其可以雙重欺騙授權客戶端以及AP，從而竊取并且篡改網(wǎng)絡里面的信息。

2.2 非法用戶侵入

因為無線網(wǎng)進行開放式訪問十分方便，因此非法用戶能夠在未經(jīng)授權的情況下使用網(wǎng)絡資源，既占用了有限的無線信道，還提高了寬帶成本投入，對合法用戶網(wǎng)絡服務質(zhì)量造成了影響。此外，非法用戶極有可能違反法律，引發(fā)相應的法律糾紛。

2.3 無線加密協(xié)議—WEP遭到破解

網(wǎng)絡里面部分非法程序可以捕捉處于相應AP信號覆蓋范圍里面的數(shù)據(jù)包，對WEP密鑰加密的各種數(shù)據(jù)包進行收集，然后分析這些數(shù)據(jù)包破解WEP密鑰[2]。

2.4 網(wǎng)絡監(jiān)聽

因為無線局域網(wǎng)本身具有開放訪問這一特點，大部分無線網(wǎng)通信數(shù)據(jù)呈現(xiàn)出來的是非加密格式，所以攻擊者能夠監(jiān)聽并且讀取通信。網(wǎng)絡入侵者不用把竊聽或者是分析設備接入相應被竊聽網(wǎng)絡，就能夠于信號覆蓋區(qū)域之內(nèi)，開展惡意修改以及竊聽等活動。

2.5 地址欺騙以及會話攔截

網(wǎng)絡非法用戶極有可能采取偵聽以及偵察等方式竊取合法用戶具體MAC地址或者是IP地址信息，同時通過這些信息達到會話攔截、網(wǎng)絡詐騙以及網(wǎng)絡攻擊等目的[3]。

2.6 拒絕服務

其屬于無線網(wǎng)絡里面最嚴重的一種攻擊方式，通常有兩種情況，分別是：攻擊者采取泛洪式攻擊方法攻擊AP，導致AP拒絕服務；攻擊某個節(jié)點，使其不停提供服務或者是轉(zhuǎn)發(fā)數(shù)據(jù)包，導致資源耗盡無法繼續(xù)工作。其中，第一種情況更加嚴重。

3 高校無線網(wǎng)安全防護技術方法

3.1 對接入用戶實施認證機制

開展小組競賽促進學習趕超 采用小組日記比賽的形式提高寫作興趣。一周內(nèi)小組成員輪流寫一篇日記，我每天批閱打分，算出均分公布，表揚前三名。為了小組榮譽，每位組長都不遺余力為小組成員的日記修改潤色，力爭全體進步。我堅持選日記好的朗讀，分析表揚。小組成績捆綁在一起，各成員十分關注個人寫作成績，寫作氣氛濃厚。

（1）Web認證：這種認證方案應該首先給網(wǎng)絡用戶分配一個具體的地址，當網(wǎng)絡用戶打開電腦Web瀏覽器準備訪問某網(wǎng)站的時候，認證系統(tǒng)將自動推出一個認證界面，只有當輸入相應用戶名稱以及口令后，才可以觸發(fā)客戶端再一次發(fā)起地址分配這一請求，為網(wǎng)絡用戶提供能夠訪問外網(wǎng)的詳細地址。當網(wǎng)絡用戶下線的時候，可以利用客戶端提交離線請求。對于Web認證而言，其不必使用特殊的相應客戶端軟件，能夠減小網(wǎng)絡維護實際工作量[4]?？墒瞧涑休d于網(wǎng)絡七層協(xié)議上，所以對設備要求非常高，同時用戶連接線比較差，很難離線檢測；網(wǎng)絡用戶成功訪問網(wǎng)絡前，一定要通過Web認證。

（2）802.1x認證：這種認證是按照用戶賬號以及設備，監(jiān)督客戶權限，僅僅適合于接入網(wǎng)絡用戶設備以及接入端口間各個點的連接方式。一般校園網(wǎng)里面的端口主要是用戶設備具體MAC地址，這種MAC地址應該被激活，不然就不能完成認證環(huán)節(jié)。802.1x認證體系里面一定要有認證服務器、客戶端以及接入認證交換機，只有三者齊全才可以成功完成訪問認證以及授權過程。802.1x能夠被當做WPA認證組件使用，并且支持AES或者是TKIP數(shù)據(jù)加密，給網(wǎng)絡用戶數(shù)據(jù)提供有效加密服務。

（3）MAC地址認證：這種認證是以MAC地址以及端口為基礎控制網(wǎng)絡訪問權限的有效方法，具有配置命令相對簡單以及不必設置客戶端軟件等優(yōu)點，比較適用于學校里面中小型網(wǎng)絡。這種認證方式應該有的功能組件主要是：服務器、可以認證MAC具體地址的相應交換機以及Radiu、服務器。若交換機不能提供合法MAC地址，就應該通過服務器以及Radiu完成驗證。對于Windows server 2003，只有結合Active Directory服務以及IAS服務才可以完成認證并且管理相應的MAC帳戶。具體方法為：在IAS里面設置兩種不同的帳戶，分別是白名單以及黑名單。其中白名單里面服務器會提供同時維護一個能夠合法訪問網(wǎng)絡的詳細MAC地址列表；另一種黑名單里面將列舉出那些已知的并且威脅無線網(wǎng)安全的設備具體MAC地址表。各高校能夠?qū)ｉT給無線打印機以及無線設備等設置相應的WLAN，實行MAC地址認證方法，從而保證某些特殊設備的無線網(wǎng)絡安全。

（4）分類認證：對于校園網(wǎng)用戶來說，主要包含有校內(nèi)用戶以及來訪用戶。其中校內(nèi)用戶是指學校師生，其網(wǎng)絡數(shù)據(jù)（包括科研成果、個人信息以及研究資料等）需要非常高的安全性，所以能夠采取802.1x認證手段完成用戶認證環(huán)節(jié)。來訪用戶包括培訓群體、來校交流以及參觀群體等，沒有較高安全性要求，所以能夠通過DHCP以及強制Portal相結合的認證手段入網(wǎng)。

3.2 加密技術

（1）WPA加密技術：這種技術的主要作用是彌補WEP缺點，其通過TKIP算法重新獲得一個128位數(shù)的密碼，和WEP加密相比具有更高安全性?？墒峭ㄟ^WPA加密的相應短數(shù)據(jù)包依然可遭破解，所以產(chǎn)生了WPA2?？梢圆捎?WPA2里面的COMP代替原來WPA里面的TKIP，同時AES可以替代WPA里面的MIC，形成現(xiàn)階段無線網(wǎng)絡內(nèi)部信息加密的一個最高安全標準，可是其無法很好支持老舊網(wǎng)卡。對于高校無線網(wǎng)，最好選擇WPA2或者是WPA加密模式，并且為了避免非法入侵者采取暴力方式破解WPA2或者是WPA密鑰，需要對密鑰進行定期更換。

（2）WEP加密技術：這種加密技術屬于802.11b標準里適合無線局域網(wǎng)的一種安全性協(xié)議，可以加密無線網(wǎng)絡流量[5]。因為無線網(wǎng)絡不用物理連接就能夠連接到網(wǎng)絡，當今IEEE802.11標準里面的WEP在一刻鐘內(nèi)就能夠被攻破，因此建議選擇支持128位的相應WEP，同時不可以使用生產(chǎn)商提供的WEP密鑰，避免未授權者非法侵入使用網(wǎng)絡。

這種入侵檢測技術能夠及時采集、傳輸以及處理數(shù)據(jù)，同時控制網(wǎng)絡，找出網(wǎng)絡故障，確保高校無線網(wǎng)絡能夠處于安全運行狀態(tài)，避免非法入侵或者是數(shù)據(jù)被竊取以及被篡改等現(xiàn)象發(fā)生。黑客追蹤技術可以讓受害主機相關網(wǎng)絡管理者掌握發(fā)起惡意攻擊相應數(shù)據(jù)包的實際源頭，從而盡快讓網(wǎng)絡恢復原先的功能，并且阻止可能再次出現(xiàn)的攻擊行為，有時候甚至能夠抓獲攻擊者?，F(xiàn)階段，比較常用的追蹤方法包括路由追蹤方法、IP追蹤方法和反追蹤方法等。

3.4 安全審計技術

這種技術主要是審計用戶實際網(wǎng)絡訪問行為以及訪問的具體網(wǎng)絡數(shù)據(jù)，利用內(nèi)部控制手段有效治理系統(tǒng)，其中包括嚴格控制面向具體業(yè)務的相應IT系統(tǒng)內(nèi)部情況。和以前的入侵檢測系統(tǒng)進行比較，這種安全審計技術未嚴格要求實時性，所以能夠分析海量歷史數(shù)據(jù)，同時采用的方法也能夠更復雜以及更精細。通常網(wǎng)絡安全審計系統(tǒng)可以找出的攻擊種類顯著多于以前的入侵檢測系統(tǒng)，實際誤報率也相對較低。

3.5 共享密鑰認證方法

該類認證方法是以WEP共享密鑰為基礎的一種認證方法，實施前提條件是客戶端以及AP里面均已經(jīng)人為設置好了相應的共享密鑰，這種共享密鑰認證方法和開放認證比較相似，其中的區(qū)別是其通過WEP加密整個認證過程。所以，和開放認證比較，共享密鑰認證方法具有相對較高的安全性。

4 結語

在當今信息化時代，高校無線網(wǎng)建設得到了很大的發(fā)展，我國很多高校都已經(jīng)覆蓋了無線網(wǎng)?？墒墙ㄔO無線網(wǎng)的過程中，高校因為沒有注重無線網(wǎng)絡安全問題，所以網(wǎng)絡安全問題頻繁發(fā)生，而且校內(nèi)用戶個人資料以及研究成果等網(wǎng)絡數(shù)據(jù)都非常重要，一旦受到安全威脅，就會產(chǎn)生嚴重的后果。為了提高無線網(wǎng)安全管理效果，給無線網(wǎng)安全帶來有效的保障，就應該通過各種安全防護技術讓無線網(wǎng)更好地為廣大師生和相關人員服務。