關(guān)于高校無線網(wǎng)絡(luò)安全策略的研究

呂海濤

?

關(guān)于高校無線網(wǎng)絡(luò)安全策略的研究

呂海濤

哈爾濱金融學(xué)院，黑龍江 哈爾濱 150030

隨著高校里筆記本電腦、iPad、手機上網(wǎng)等無線終端的普及，無線網(wǎng)因其傳輸介質(zhì)的開放，采用無線傳輸面臨著越來越多的安全問題?；诖耍瑢Ω咝o線網(wǎng)絡(luò)的使用以及存在的網(wǎng)絡(luò)安全問題進行了剖析，介紹了無線網(wǎng)絡(luò)安全防范技術(shù)幾種常用的方法，并提出了一些安全防范的措施。

無線網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；認證

對于基于WLAN的無線網(wǎng)絡(luò)而言，由于高校中存在大量具備較高技術(shù)背景和動手能力強的師生，需要考慮如何防止非法的用戶訪問行為、怎么禁止非法用戶接入網(wǎng)絡(luò)、空口竊聽如何防護、AP接入AC的安全如何能得到保障和Rogue AP等設(shè)備帶來的安全隱患如何解決等問題。本文對以上問題進行了如下闡述。

1 終端類型識別

終端類型識別是指AC通過對用戶發(fā)送報文中字段的特征進行分析，包括MAC、用戶代理UA（User Agent）與DHCP Option信息，識別出終端類型。用戶接入內(nèi)部網(wǎng)絡(luò)的設(shè)備類型可以通過AC無線控制設(shè)備識別，并對某些指定移動設(shè)備的接入進行控制，完成基于設(shè)備類型、用戶、接入地點、接入時間、設(shè)備環(huán)境的授權(quán)與認證，進而實現(xiàn)精細化的管控。

2 惡意攻擊的解決辦法

Weak IV入侵、Spoof入侵和flood攻擊方式，是高校網(wǎng)絡(luò)攻擊主要的幾種形式，具體的解決方法如下。

2.1 Weak IV攻擊檢測

在使用WEP加密算法的前提下，啟動IV監(jiān)測來過濾client數(shù)據(jù)報文，當IV的安全策略分析出處在Weak IV攻擊時，AC控制器會阻攔該用戶訪問。

2.2 Flood攻擊檢測

如果惡意攻擊IP向AP發(fā)送大量的連接請求報文時，AC控制器會處理從AP 上轉(zhuǎn)發(fā)過來的報文，這樣會導(dǎo)致網(wǎng)絡(luò)內(nèi)部造成影響。開啟Flood attack監(jiān)測策略，惡意用戶的Flood攻擊會被AC控制器檢測到。該惡意用戶的報文將會被AP全部丟棄，進而完成了對網(wǎng)絡(luò)的安全保護。

2.3 Spoof攻擊檢測

對于Spoof攻擊的潛匿入侵者將以其他設(shè)備的身份發(fā)送攻擊報文。AC控制器接受到惡意用戶或惡意AP發(fā)送一個欺騙的解除認證報文會導(dǎo)致無線客戶端下線，進而阻止該用戶訪問網(wǎng)絡(luò)。

3 空口竊聽

空口監(jiān)聽往往是高校中那些充滿好奇心的學(xué)生經(jīng)常嘗試破解的點，需要考慮對空口數(shù)據(jù)進行加密。常用的空口加密方式有WEP，WPA/WPA2，WAPI等。在最新的實現(xiàn)中，不管是WPA1還是WPA2都可以使用802.1X，使用802.1X時稱為WPA企業(yè)版，不使用802.1X時稱為WPA個人版，又叫WPA-PSK版。

在網(wǎng)絡(luò)部署的實際過程中，要一同考慮空口加密和用戶認證的設(shè)計，Portal+PSK方式部署在高校的普遍使用，并采用CCMP加密方式，需要在網(wǎng)絡(luò)設(shè)備上進行配置。

4 Rogue設(shè)備防護策略

校園無線網(wǎng)中可能有的Rogue設(shè)備包括Rogue Client、Rogue AP和Ad-hoc。這些設(shè)備對運行的WLAN網(wǎng)絡(luò)會帶來許多安全隱患問題，例如干擾、攻擊用戶和非法AP建立連接等。采用華為WLAN WIDS方案對無線網(wǎng)絡(luò)中的Rogue 設(shè)備（含Client，AP，Ad-hoc）進行過濾檢測、偵別以及反制的解決方法較為有效。

5 無線局域網(wǎng)的認證和加密

采用用戶接入認證，可以對接入網(wǎng)絡(luò)的用戶身份的合法性進行認證。只有合法用戶才允許接入，并且不同的用戶、不同的角色所能夠訪問的資源是不一樣的。管理員可以定義不同的角色，或者為用戶分組，調(diào)試不同的網(wǎng)絡(luò)資源，使特殊的無線用戶只允許訪問授權(quán)的指定資源信息，阻止訪問未授權(quán)的網(wǎng)絡(luò)資源數(shù)據(jù)。在ME60設(shè)置認證網(wǎng)關(guān)上，實現(xiàn)有線網(wǎng)絡(luò)、現(xiàn)有的無線網(wǎng)絡(luò)和本次項目新增無線網(wǎng)絡(luò)認證用戶的統(tǒng)一。

對于無線園區(qū)網(wǎng)絡(luò)設(shè)備應(yīng)支持MAC認證、802.1X、Portal認證多種網(wǎng)絡(luò)訪問控制方式，讓用戶網(wǎng)絡(luò)的匯聚交換機、接入交換機、AP、無線控制器等多種網(wǎng)絡(luò)設(shè)備靈活部署實施，配合認證服務(wù)器與代理客戶端一起實現(xiàn)用戶接入控制，為無線園區(qū)提供安全可靠的訪問控制。

6 用戶訪問安全

高校根據(jù)需要，往往劃分了不同的SSID供不同的用戶群使用，如外部用戶使用SSID-Guest，內(nèi)部用戶使用SSID-NanJing University。出于信息安全的需求，往往需要保證來訪的訪客不能訪問高校內(nèi)的資源。此外，校內(nèi)的教職工和學(xué)生之間，或不同專業(yè)的學(xué)生之間，也會根據(jù)需求授予不同的訪問權(quán)限。這些可以通過用戶組的方式來實現(xiàn)[2]。

6.1 用戶訪問授權(quán)設(shè)置

用戶訪問授權(quán)可以在本地網(wǎng)絡(luò)設(shè)備授權(quán)，也可以通過AAA服務(wù)器進行遠端授權(quán)。小型園區(qū)或者SOHO的網(wǎng)絡(luò)架夠適合本地授權(quán)，而大學(xué)這種較大規(guī)模的網(wǎng)絡(luò)，屬于園區(qū)網(wǎng)絡(luò)，并不適合本地授權(quán)。遠端授權(quán)的方式更適合于高校使用，即通過AAA服務(wù)器完成。

當無線用戶認證成功之后，Radius服務(wù)器下發(fā)用戶分組報文，對用戶采取身份分類，所有用戶分組都能關(guān)聯(lián)到相應(yīng)的ACL訪問控制規(guī)則。通過ACL規(guī)則和用戶分組的關(guān)聯(lián)，對每類用戶進行ACL授權(quán)信息控制，即同類用戶獲得相同的授權(quán)信息。Radius服務(wù)可以利用現(xiàn)網(wǎng)的AAA，也可以新建。

6.2 用戶隔離

使用集中轉(zhuǎn)發(fā)的方式更適合高校的訪問系統(tǒng)，對訪客用戶的控制會起到更好的作用。當外部訪客用戶和內(nèi)部用戶都采用集中轉(zhuǎn)發(fā)時，外部訪客用戶使用的SSID-Guest與內(nèi)部用戶使用的SSID-NanJing University之間是天然隔離的。當外部訪客用戶使用集中轉(zhuǎn)發(fā)，內(nèi)部用戶都采用本地轉(zhuǎn)發(fā)時，外部訪客用戶使用的SSID-Guest與內(nèi)部用戶使用的SSID-NanJing University之間也是天然隔離的。

7 結(jié)束語

勒索病毒大肆爆發(fā)，影響了全球多個各家及城市，國內(nèi)高校也受到不少的沖擊。從國家到地方高校，提高網(wǎng)絡(luò)安全的意識在逐漸增強。無線校園網(wǎng)作為校園網(wǎng)絡(luò)的主要載體，不僅要從網(wǎng)絡(luò)技術(shù)手段去防護控制，也要從自身提高安全意識的角度出發(fā)，這樣才能保障校園網(wǎng)絡(luò)的通暢。

[1]蘭其斌.校園網(wǎng)中無線局域網(wǎng)的安全策略探討[J].福建電腦，2010，26（7）：9.

[2]陳小勇.無線局域網(wǎng)技術(shù)在校園網(wǎng)中的應(yīng)用及安全策略研究[J].科技信息，2010（5X）：91-92.

Research on Wireless Network Security Strategy in Colleges and Universities

LYU Haitao

Harbin Institute of Finance, Heilongjiang Harbin 150030

With the use of notebook computers, ipad, mobile Internet and other wireless terminals are relatively popular, wireless network because of its transmission medium open line, the use of wireless transmission is facing more and more security issues will be particularly prominent.This paper analyzes the use of wireless network and the existing network security problems, introduces several commonly used methods of wireless network security technology, and puts forward some measures to prevent security.

wireless network; network security; authentication

TN915.08

A