【 摘 要 】 伴隨著信息化的不斷發(fā)展，無(wú)線網(wǎng)已經(jīng)深入校園的各個(gè)角落。校園無(wú)線網(wǎng)的安全問(wèn)題日益成為網(wǎng)絡(luò)管理的重中之重。論文分析了無(wú)線網(wǎng)存在的安全問(wèn)題及其產(chǎn)生的原因，然后提出了具體的應(yīng)對(duì)措施，通過(guò)加強(qiáng)控制和身份認(rèn)證，及時(shí)修復(fù)漏洞，強(qiáng)化安全審計(jì)，提高安全意識(shí)等多方面，保證校園無(wú)線網(wǎng)的安全高效運(yùn)行，更好地服務(wù)于全校師生員工。

【 關(guān)鍵詞 】 安全；訪問(wèn)控制；身份認(rèn)證；安全審計(jì)

【 中圖分類(lèi)號(hào) 】 TP393

【 文獻(xiàn)標(biāo)識(shí)碼 】 A

Analysis and Counteractions on the Security of Campus Wireless Network

Liu Yuan-Chao

（Department Modern Education Center， Shandong Police College ShandongJinan 250014）

【 Abstract 】 With the continuous development of information technology， wireless network has entered every corner of the campus. The security of campus wireless network is becoming more and more important in network management. This paper analyzes the security issues and causes of the wireless network， and then puts forward specific measures to deal with security issues. By strengthening the control and identity authentication， repairing system vulnerabilities instantly， enhancing the security auditing and security awareness，the wireless network will be running in a safe and efficient environment. And the staff and students will get better service.

【 Keywords 】 security； access control； identity authentication； security audit

1 引言

互聯(lián)網(wǎng)技術(shù)的快速發(fā)展和普及，無(wú)線網(wǎng)絡(luò)也開(kāi)始迅速遍布社會(huì)的各個(gè)方面。作為校園網(wǎng)的重要方式之一，無(wú)線網(wǎng)受到越來(lái)越多的重視。目前許多高校通過(guò)自建、共建或他建等方式建立了校園無(wú)線網(wǎng)，并且?guī)熒鷨T工對(duì)無(wú)線網(wǎng)絡(luò)的依賴(lài)程度越來(lái)越高。隨著無(wú)線網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，校園網(wǎng)的開(kāi)放程度不斷增加，校園無(wú)線網(wǎng)的安全問(wèn)題也顯得愈發(fā)突出。無(wú)線網(wǎng)的安全問(wèn)題已成為高校信息化建設(shè)中至關(guān)重要的問(wèn)題。

2 校園無(wú)線網(wǎng)的安全問(wèn)題分析

無(wú)線網(wǎng)在“互聯(lián)網(wǎng)+”的時(shí)代理所當(dāng)然的成為人們工作、生活和學(xué)習(xí)等各方面的剛需。高校大學(xué)生作新生力量，其對(duì)網(wǎng)絡(luò)的需求更迫切。校園無(wú)線網(wǎng)的安全問(wèn)題主要有技術(shù)安全和管理安全。

2.1 技術(shù)安全問(wèn)題

2.1.1多SSID的安全問(wèn)題

為了滿(mǎn)足不同用戶(hù)的上網(wǎng)需求及管理需要，在配置時(shí)可能會(huì)搭建不同SSID的無(wú)線網(wǎng)絡(luò)信號(hào)。不同的SSID之間如果沒(méi)有嚴(yán)格的安全隔離，可能會(huì)導(dǎo)致用戶(hù)在接入無(wú)線網(wǎng)時(shí)發(fā)生信號(hào)跳變的問(wèn)題。

2.1.2 VLAN安全問(wèn)題

VLAN安全分為設(shè)備安全和用戶(hù)全。設(shè)備安全指AC和AP之間的通信，如果AC對(duì)AP的VLAN劃分不嚴(yán)格，容易遭受ARP泛洪攻擊，導(dǎo)致AC向AP轉(zhuǎn)發(fā)無(wú)用數(shù)據(jù)，造成網(wǎng)絡(luò)擁堵，甚至導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓。

用戶(hù)安全是指同一SSID下，大多數(shù)用戶(hù)都在同一VLAN內(nèi)，用戶(hù)之間可以相互通信。如果Portal認(rèn)證頁(yè)面推送的用戶(hù)IP的URL并沒(méi)有進(jìn)行編碼轉(zhuǎn)譯，那么攻擊者可以利用ARP嗅探的方式，修改用戶(hù)的IP從而獲得其他合法認(rèn)證用戶(hù)的上網(wǎng)權(quán)限，侵犯了其他用戶(hù)的合法權(quán)益。

2.1.3 DHCP地址池耗盡

用戶(hù)接入無(wú)線網(wǎng)，首先會(huì)請(qǐng)求分配IP地址，AC作為DHCP服務(wù)器在接到客戶(hù)端請(qǐng)求后給用戶(hù)分配IP。如果無(wú)線網(wǎng)采用Portal方式，用戶(hù)只是接入開(kāi)放網(wǎng)絡(luò)但未進(jìn)行認(rèn)證，同樣會(huì)占用IP。攻擊者采用泛洪DoS攻擊，AC的地址池資源會(huì)很快被耗盡，正常的上網(wǎng)用戶(hù)也因無(wú)法獲得IP不能上網(wǎng)。

2.1.4 DNS安全問(wèn)題

為了提高解析效率及內(nèi)網(wǎng)IP解析的需求，大部分高校都搭建內(nèi)部的DNS。無(wú)線網(wǎng)通常和有線網(wǎng)共用DNS，但DNS設(shè)置不嚴(yán)格，攻擊者會(huì)利用DNS的安全漏洞，拿到DNS的控制權(quán)，進(jìn)而入侵無(wú)線網(wǎng)和有線網(wǎng)的其他網(wǎng)絡(luò)設(shè)備。

DNS的安全問(wèn)題還在于DNS隧道。攻擊者通過(guò)代理工具，將其他協(xié)議的訪問(wèn)流量封裝在DNS的流量中，繞過(guò)身份認(rèn)證系統(tǒng)，實(shí)現(xiàn)了免費(fèi)上網(wǎng)，甚至可以實(shí)現(xiàn)遠(yuǎn)程控制、文件傳輸?shù)戎匾僮鳌?/p>

2.1.5 設(shè)備漏洞

無(wú)線網(wǎng)絡(luò)設(shè)備自身存在的安全漏洞攻擊者利用從而操縱網(wǎng)絡(luò)，如設(shè)備廠商發(fā)布的AC的軟件或固件版本存在漏洞，可能會(huì)使攻擊者非法下載AC配置文件，獲得AC控制權(quán)。

2.2 管理安全問(wèn)題

從當(dāng)前的網(wǎng)絡(luò)建設(shè)情況來(lái)看，因?yàn)楦鞣矫娴脑驅(qū)е?，所以在安全隱患問(wèn)題上還比較突出。校園無(wú)線網(wǎng)建設(shè)中的安全隱患體現(xiàn)在多個(gè)層面，其中在人為安全隱患上是一個(gè)不可忽視的內(nèi)容。網(wǎng)絡(luò)管理人員設(shè)置管理密碼過(guò)于簡(jiǎn)單或者未妥善保存，都為攻擊者提供了可乘之機(jī)。由于人為的疏忽導(dǎo)致安全策略配置不完整，也會(huì)造成無(wú)線網(wǎng)安全問(wèn)題。

3 無(wú)線網(wǎng)的安全應(yīng)對(duì)措施

校園無(wú)線網(wǎng)的應(yīng)用范圍不斷擴(kuò)大，但是網(wǎng)絡(luò)的管理力度還比較弱，還經(jīng)常發(fā)生內(nèi)部攻擊，這些因素都影響了校園無(wú)線網(wǎng)的安全性。因此，必須要建立完整的整體解決方案，才能保證校園無(wú)線網(wǎng)的安全運(yùn)行。

3.1 加強(qiáng)訪問(wèn)控制和安全策略

對(duì)于多個(gè)SSID的無(wú)線網(wǎng)，要保證不同SSID之間的用戶(hù)嚴(yán)格隔離，防止非法竄用。開(kāi)啟用戶(hù)隔離，對(duì)于同一SSID下的用戶(hù)之間的二層報(bào)文不能相互轉(zhuǎn)發(fā)，從而使無(wú)線用戶(hù)之間相互不能通訊。為解決DHCP地址池耗盡的問(wèn)題，一方面要將私網(wǎng)IP的DHCP地址池?cái)U(kuò)大，比如1個(gè)B類(lèi)私網(wǎng)地址段；另一方面要合理配置DHCP的租期，及時(shí)將閑置的IP地址收回。建議無(wú)線網(wǎng)搭建單獨(dú)的DNS，同時(shí)加強(qiáng)DNS的安全配置，防止DNS被濫用。

3.2 提高身份認(rèn)證水平

實(shí)現(xiàn)實(shí)名認(rèn)證對(duì)于所有的上網(wǎng)用戶(hù)來(lái)說(shuō)是必須的。針對(duì)上網(wǎng)用戶(hù)的分類(lèi)以及用戶(hù)認(rèn)證方式的不同需求，用戶(hù)上網(wǎng)身份認(rèn)證方式也各有不同。Portal無(wú)感知認(rèn)證逐漸成為目前認(rèn)證的熱門(mén)方式。在日常的無(wú)線網(wǎng)管理中，只需要配置合理的用戶(hù)無(wú)感知Mac的數(shù)量和無(wú)感知失效時(shí)間。Portal無(wú)感知通過(guò)Portal認(rèn)證和MAC的有效結(jié)合，既能保證認(rèn)證的安全性，又能提升用戶(hù)體驗(yàn)和管理的靈活性，適合高校的無(wú)線網(wǎng)管理。

3.3 及時(shí)修復(fù)系統(tǒng)漏洞

校園無(wú)線網(wǎng)中的網(wǎng)絡(luò)設(shè)備、服務(wù)器和應(yīng)用軟件的安全穩(wěn)定也是影響無(wú)線網(wǎng)安全的重要因素。軟硬件使用越廣泛，隨之暴露的漏洞也就越多，因此必須及時(shí)更新修復(fù)系統(tǒng)漏洞。可通過(guò)漏洞掃描系統(tǒng)定期對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行檢查，并根據(jù)檢查結(jié)果及時(shí)進(jìn)行處理。

3.4 強(qiáng)化安全審計(jì)和行為管理

安全審計(jì)和行為管理的目的在于保障校園無(wú)線網(wǎng)用戶(hù)的上網(wǎng)行為及上網(wǎng)信息。通過(guò)記錄用戶(hù)使用網(wǎng)絡(luò)的信息，包括登錄時(shí)間、訪問(wèn)地址和上網(wǎng)時(shí)長(zhǎng)等來(lái)分析用戶(hù)的上網(wǎng)行為。通過(guò)審計(jì)可以幫助網(wǎng)絡(luò)管理部門(mén)及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)異常行為，并將異常行為及時(shí)納入日常的網(wǎng)絡(luò)管理中。

3.5 提高網(wǎng)絡(luò)安全意識(shí)和系統(tǒng)管理力度

網(wǎng)絡(luò)管理人員的安全意識(shí)直接影響著無(wú)線網(wǎng)絡(luò)的安全性。如果網(wǎng)絡(luò)管理人員安全意識(shí)淡薄，疏于防范，那么無(wú)線網(wǎng)出現(xiàn)安全問(wèn)題的概率大大增加。因此，必須提高網(wǎng)絡(luò)管理人員的安全意識(shí)和技術(shù)水平。同時(shí)提高系統(tǒng)管理力度，將無(wú)線網(wǎng)的安全管理納入日常的網(wǎng)絡(luò)巡檢中，通過(guò)各種主流技術(shù)和方法，使網(wǎng)絡(luò)安全問(wèn)題防患于未然。

4 結(jié)束語(yǔ)

校園無(wú)線網(wǎng)已經(jīng)成為學(xué)校師生員工獲取信息的重要渠道，校園無(wú)線網(wǎng)的安全直接影響著學(xué)校的信息化建設(shè)和應(yīng)用水平。加強(qiáng)訪問(wèn)控制，提高身份認(rèn)證水平，及時(shí)修復(fù)系統(tǒng)漏洞，強(qiáng)化安全審計(jì)，提高網(wǎng)絡(luò)安全意識(shí)，確保網(wǎng)絡(luò)安全無(wú)問(wèn)題。只有通過(guò)多方面、全方位的鞏固網(wǎng)絡(luò)管理，確保校園無(wú)線網(wǎng)的安全性，才能為信息化的建設(shè)和和深入應(yīng)用提供強(qiáng)大的動(dòng)力支持。

參考文獻(xiàn)

[1] 寧向延，張順頤.網(wǎng)絡(luò)安全現(xiàn)狀與技術(shù)發(fā)展[J].南京郵電大學(xué)學(xué)報(bào)（自然科學(xué)版），2012Vol32（5）：49-58.

[2] Nationalcybersecuritystrategyoftheczechrepublicfortheperiodfrom 2015to2020[EB/OL].https：//www.enisa.europa.eu.

[3] 郭樂(lè)深，尚晉剛，史乃彪.信息安全工程技術(shù)[M].北京：北京郵電大學(xué)出版社，2011.

[4] 任偉.無(wú)線網(wǎng)絡(luò)安全問(wèn)題初探[J].信息網(wǎng)絡(luò)安全，2012（1）：10-13.

[5] 劉長(zhǎng)瑞，聶明.無(wú)感知WLAN業(yè)務(wù)認(rèn)證方式的分析[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2012，（5）：25-29.

[6] 姜彩萍，王繼龍.校園網(wǎng)規(guī)范運(yùn)行研究[J].廣西大學(xué)學(xué)報(bào)（自然科學(xué)版），2011，36（S1）：228-233.

作者簡(jiǎn)介：

劉遠(yuǎn)超（1987-），男，助理實(shí)驗(yàn)師；主要研究方向和關(guān)注領(lǐng)域：事網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全。