淺析院校無線局域網(wǎng)中的安全問題及防范措施

劉宏志

摘要：隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，無線網(wǎng)絡(luò)以其靈活、便利和高效廣泛應(yīng)用于人們的日常生活及工作之中，大家在享受無處不在的網(wǎng)絡(luò)生活的同時(shí)，其安全性能已成為不可忽視的問題。本文就目前無線網(wǎng)絡(luò)技術(shù)組建局域網(wǎng)的常見安全問題進(jìn)行了分析，并探討了保障無線網(wǎng)絡(luò)安全的相應(yīng)防范措施，以保證無線網(wǎng)絡(luò)的安全性。

關(guān)鍵詞：無線網(wǎng)絡(luò)；院校；安全技術(shù)；防范措施

中圖分類號(hào)：TN925.93 文獻(xiàn)標(biāo)識(shí)碼：A DOI：10.3969/j.issn.l003-6970.2017.08.033

引言

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)改變了人們的工作方式和生活方式，無線網(wǎng)絡(luò)技術(shù)和無線產(chǎn)品的成熟使無線網(wǎng)絡(luò)普及到了人們的生活之中。與傳統(tǒng)的有線網(wǎng)絡(luò)相比，無線網(wǎng)絡(luò)用戶可以隨時(shí)通過無線信號(hào)接入到無線網(wǎng)絡(luò)之中，擺脫了有線網(wǎng)絡(luò)布線難度大、費(fèi)用高、耗時(shí)長的缺點(diǎn)。建設(shè)無線局域網(wǎng)方便快速、部署靈活、擴(kuò)容能力強(qiáng)、可移動(dòng)性好、綜合成本較低、不受地理環(huán)境限制等，通過IEEE802.11n標(biāo)準(zhǔn)能夠與現(xiàn)有的有線網(wǎng)絡(luò)進(jìn)行平滑無縫的連接，與現(xiàn)有的有線網(wǎng)絡(luò)資源具有良好的兼容性和整合性。但無線網(wǎng)絡(luò)在為人們生活帶來極大便利的同時(shí)，無線網(wǎng)絡(luò)在安全性方面需要我們加強(qiáng)防范。本文對(duì)院校建設(shè)無線網(wǎng)絡(luò)的安全問題進(jìn)行分析，所采取的安全措施和技術(shù)手段分別做介紹。

1 無線局域網(wǎng)存中在的常見安全問題

1.1 密鑰管理和內(nèi)、外部人員的入侵

目前，由于WEP加密的先天不足，已經(jīng)出現(xiàn)了100%破解WEP加密的方法，攻擊者通過抓包注人，獲取足夠的通信數(shù)據(jù)包，對(duì)數(shù)據(jù)包進(jìn)行分析，即可徹底破解WEP加密。雖然WEP的密鑰通過外部控制可以減少IV（Initialization Vector）的沖突，但是控制過程非常復(fù)雜并且需要手工操作，而其它的解決方案需要額外增加資源而造成成本昂貴；在有線網(wǎng)絡(luò)中，計(jì)算機(jī)需要連接網(wǎng)線才可以上網(wǎng)，而無線網(wǎng)絡(luò)只需要在無線網(wǎng)絡(luò)接入點(diǎn)（The wireless access point）覆蓋范圍之中，任何無線終端設(shè)備者P可以通過AP接入無線網(wǎng)絡(luò)，比較難確定具體的位置，且無線網(wǎng)絡(luò)的管理相對(duì)寬松，缺乏傳輸介質(zhì)的物理保護(hù)，導(dǎo)致未經(jīng)授權(quán)的用戶也可以比較輕易的進(jìn)入無線網(wǎng)絡(luò)，因此，存在較大的安全風(fēng)險(xiǎn)。如大學(xué)校園中師生的重要個(gè)人資料通常成為攻擊者企圖竊取的目標(biāo)，攻擊者利用無線網(wǎng)絡(luò)AP支持多用戶接入、開放性等特點(diǎn)，通過AP欺騙等手段竊取重要的個(gè)人資料，嚴(yán)重影響了校園網(wǎng)的網(wǎng)絡(luò)用戶用網(wǎng)安全。

1.2 WEP存在的漏洞

常用的WEP（Wired Equivalent Privacy）算法存在不少漏洞，由于WEP標(biāo)準(zhǔn)在無線網(wǎng)絡(luò)出現(xiàn)的早期就已創(chuàng)建，它的安全技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù)，是無線局域網(wǎng)非常必要的安全防護(hù)層，目前比較常見的是64位WEP加密和128位WEP加密。WEP中加密算法的IV（Initialization Vector）由于位數(shù)不夠長和初始化復(fù)位設(shè)計(jì)，因而容易被攻擊者破解密鑰。而CRC（Cyclic Redundancy Check循環(huán)冗余校驗(yàn)）算法只保證數(shù)據(jù)正確的傳輸，并不保證其數(shù)據(jù)在傳輸過程中未被篡改。WEP漏洞主要包括信息泄露漏洞、目錄遍歷漏洞、文件包含漏洞、命令執(zhí)行漏洞、SQL注入漏洞、跨站腳本漏洞等，攻擊者可以利用SQL注入、OS命令注入、XSS跨站腳本攻擊、CSRF跨站請求偽造等多種方式遍歷漏洞和篡改相應(yīng)參數(shù)，從而竊取校園網(wǎng)內(nèi)用戶的用戶名和密碼。由于WEP加密技術(shù)存在大家熟知的一些漏洞，所以對(duì)于熟悉原理的攻擊者而言，是能夠比較輕松破解的。

1.3 移動(dòng)無線網(wǎng)絡(luò)攻擊

現(xiàn)在人們的生活已經(jīng)越來越離不開無線網(wǎng)絡(luò)了，不管是臺(tái)式機(jī)還是筆記本，手機(jī)或者平板電腦，只要有無線網(wǎng)絡(luò)信號(hào)的地方即可接入無線網(wǎng)絡(luò)。由于無線網(wǎng)絡(luò)在穩(wěn)定性與安全性方面存在的先天不足，經(jīng)常發(fā)生黑客破解無線網(wǎng)絡(luò)設(shè)備，獲取用戶信息的事件。無線網(wǎng)絡(luò)在方便師生的同時(shí)，也存在比較危險(xiǎn)的一面。因無線網(wǎng)絡(luò)支持多用戶接入，所以安全性容易受到攻擊。無線網(wǎng)絡(luò)攻擊可以分為對(duì)移動(dòng)終端和對(duì)移動(dòng)核心網(wǎng)絡(luò)的攻擊，兩種攻擊方式相互支持，可提升攻擊效果。攻擊者可通過多種方式如有線測漏、流氓接入點(diǎn)、錯(cuò)誤配置接入點(diǎn)、無線釣魚、客戶端隔離等手段對(duì)數(shù)據(jù)網(wǎng)絡(luò)進(jìn)行滲透和破解，攻擊者一旦獲得訪問權(quán)限，不僅可以竊取敏感文件等信息，還可以通過數(shù)據(jù)分析獲得作為校園網(wǎng)絡(luò)用戶的無線網(wǎng)絡(luò)憑據(jù)，攻擊者只要獲得一個(gè)無線網(wǎng)絡(luò)證書，就可使用這些憑據(jù)來訪問無線網(wǎng)絡(luò)，從而可以輕松繞過用于阻止攻擊的復(fù)雜加密和安全機(jī)制。

1.4 多種方式的網(wǎng)絡(luò)監(jiān)聽

網(wǎng)絡(luò)監(jiān)聽是一種監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)，數(shù)據(jù)流程及網(wǎng)絡(luò)上信息傳輸?shù)墓芾砉ぞ?，在監(jiān)聽模式下可以竊取網(wǎng)絡(luò)上所傳輸?shù)臄?shù)據(jù)信息。當(dāng)攻擊者登錄主機(jī)并取得超級(jí)用戶權(quán)限后，若想登錄網(wǎng)絡(luò)內(nèi)其它的主機(jī)，使用網(wǎng)絡(luò)監(jiān)聽就可以截獲網(wǎng)路上傳輸?shù)臄?shù)據(jù)信息，如用戶地址、文件信息、聊天信息等，從而通過數(shù)據(jù)分析，獲取相應(yīng)的用戶名和密碼，使校園網(wǎng)內(nèi)用戶蒙受損失。由于當(dāng)今網(wǎng)絡(luò)中所使用的協(xié)議大都是早期設(shè)計(jì)的，許多網(wǎng)絡(luò)協(xié)議的實(shí)現(xiàn)都是基于通信雙方充分信任為基礎(chǔ)的。在通常的網(wǎng)絡(luò)環(huán)境之下，用戶的信息包括口令都是以明文的方式在網(wǎng)絡(luò)上傳輸?shù)?，因此通過進(jìn)行網(wǎng)絡(luò)監(jiān)聽從而獲得用戶信息對(duì)攻擊者來說比較容易實(shí)現(xiàn)，攻擊者只要掌握有初步的TCP/IP協(xié)議知識(shí)就可以輕松地監(jiān)聽到想要的信息，如主動(dòng)式監(jiān)聽、被動(dòng)式監(jiān)聽等。在UNIX系統(tǒng)中，擁有超級(jí)權(quán)限的用戶只需要向網(wǎng)絡(luò)接口發(fā)送I/O控制等命令，就可以把主機(jī)設(shè)置成監(jiān)聽模式，而在Windows的系統(tǒng)上則更加方便，不論用戶是否擁有超級(jí)權(quán)限，只需要直接運(yùn)行監(jiān)聽工具就可輕易實(shí)現(xiàn)，從而獲取相關(guān)數(shù)據(jù)信息。用戶數(shù)據(jù)被攻擊者惡意破解后會(huì)導(dǎo)致用戶隱私泄露，個(gè)人利益受到嚴(yán)重危險(xiǎn)，進(jìn)而對(duì)整個(gè)校園無線網(wǎng)絡(luò)的安全造成影響。

2 無線局域網(wǎng)安全問題的解決方法

2.1 對(duì)無線設(shè)備的安全進(jìn)行設(shè)置，對(duì)入網(wǎng)用戶進(jìn)行篩選

校園無線網(wǎng)絡(luò)在給師生帶來方便、快捷的使用體驗(yàn)的同時(shí)，也存在不少安全隱患，消除安全隱患最直接辦法是對(duì)人網(wǎng)用戶進(jìn)行資格驗(yàn)證，從源頭防止不法分子入侵無線網(wǎng)絡(luò)。通過對(duì)無線路由器（交換機(jī)）進(jìn)行安全設(shè)置，盡量減少被發(fā)現(xiàn)和入侵的可能性。無線網(wǎng)絡(luò)通過電磁波傳輸信息，電磁波向四周發(fā)散，發(fā)散范圍和區(qū)域不受人為控制，一些本單位以外的區(qū)域也能接收到無線網(wǎng)絡(luò)信號(hào)，這就使非法入侵成為可能。我們的基本做法是關(guān)閉SSID廣播功能，SSID廣播是指無線網(wǎng)絡(luò)接入點(diǎn)向外界告知自身存在所發(fā)出的廣播信息，通過關(guān)閉SSID廣播可以增加入侵的難度。除此以外，還對(duì)無線網(wǎng)絡(luò)接入的終端設(shè)備進(jìn)行MAC地址過濾，并設(shè)置MAC地址允許列表，在AP上配置MAC地址表，只有通過AP認(rèn)證的MAC地址（即相應(yīng)的用戶計(jì)算機(jī)）才能通過AP實(shí)現(xiàn)接入，其他地址的數(shù)據(jù)包會(huì)被AP丟棄，不轉(zhuǎn)發(fā)。這樣，確保只有在學(xué)校網(wǎng)絡(luò)中心注冊過的終端設(shè)備，才能通過這些AP進(jìn)入學(xué)校內(nèi)部網(wǎng)絡(luò)，從而防止不法分子非法入侵。

2.2 用戶接入進(jìn)行安全控制

無線網(wǎng)絡(luò)的安全措施一般有SSID、WEP、WAP、WAP-PSK等，SSID是必須提供與無線接入點(diǎn)設(shè)定一致的SSID才能通信，這樣可以區(qū)分不同群組接入，WEP安全加密協(xié)議主要用于實(shí)現(xiàn)保密控制、數(shù)據(jù)保密性和完整性3個(gè)目標(biāo)。但對(duì)于比較大型的校園無線網(wǎng)絡(luò)，比較適合采用基于WEB認(rèn)證和802.1X認(rèn)證方式，無線網(wǎng)絡(luò)認(rèn)證需要和有線網(wǎng)絡(luò)相融合。所以除了安全設(shè)置外，還需對(duì)無線用戶的接入加強(qiáng)控制，采用802.lx身份認(rèn)證加RADIUS認(rèn)證服務(wù)器。802.1X協(xié)議是基于客戶端/服務(wù)器端的訪問控制和認(rèn)證協(xié)議。該認(rèn)證可以限制未經(jīng)授權(quán)的校園網(wǎng)用戶和設(shè)備通過接入端口訪問網(wǎng)絡(luò)資源。在認(rèn)證通過之前，802.lx只允許EAPoL（基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議）數(shù)據(jù)通過設(shè)備端口，將用戶名和口令傳送到后臺(tái)的Radius認(rèn)證服務(wù)器上，如用戶名及口令通過了驗(yàn)證，則相應(yīng)端口打開，分配無線用戶設(shè)備IP地址，認(rèn)證正常的數(shù)據(jù)才可以順利地通過端口，用戶上線完畢。由此構(gòu)成實(shí)現(xiàn)認(rèn)證（Authentication）、授權(quán)（Authorization）、計(jì)費(fèi)（Accounting）功能的AAA系統(tǒng)。RADIUS能對(duì)用戶身份進(jìn)行集中管理，安全性能好，策略比較靈活，同時(shí)還可以記錄用戶的網(wǎng)絡(luò)使用情況的數(shù)據(jù)，便于網(wǎng)絡(luò)管理員進(jìn)行分析。通過架設(shè)的RADIUS服務(wù)器為Ubuntu Gutsy7.10，采用用戶名、口令的方式驗(yàn)證無線上網(wǎng)用戶，防止未經(jīng)授權(quán)的用戶訪問網(wǎng)絡(luò)，以保證網(wǎng)絡(luò)的安全性。

2.3 數(shù)據(jù)傳輸加密

數(shù)據(jù)傳輸加密目前仍然是計(jì)算機(jī)系統(tǒng)對(duì)信息進(jìn)行保護(hù)的一種比較可靠方法。數(shù)據(jù)傳輸加密技術(shù)的目的是對(duì)傳輸中的數(shù)據(jù)流進(jìn)行加密，通常分為線路加密和端一端加密兩種，它利用密鑰技術(shù)對(duì)信息進(jìn)行加密，通過和防火墻聯(lián)動(dòng)，可以實(shí)現(xiàn)信息隱蔽，從而保護(hù)信息安全。無線AP通過向四周發(fā)射電磁信息傳輸數(shù)據(jù)，如這些信息被非法截獲竊取，校園師生的數(shù)據(jù)和機(jī)密信息就會(huì)泄露出去，通過使用WPA-RADIUS加密技術(shù)對(duì)數(shù)據(jù)進(jìn)行加密，防止被非法截獲竊取。與WPA-PSK相同的是WPA-RADIUS的密鑰也隨著數(shù)據(jù)包的不同而變化。但WPA-RADIUS加密要一個(gè)RADIUS服務(wù)器。通過對(duì)用戶接入使用RADIUS認(rèn)證，通過合理配置好RADIUS月艮務(wù)器，且WPA-RADIUS力口密的安全性非常高，很適合大型的校園網(wǎng)對(duì)無線網(wǎng)絡(luò)進(jìn)行安全設(shè)置。通過數(shù)據(jù)傳輸加密保障無線網(wǎng)絡(luò)的安全，避免非法用戶的訪問，保護(hù)用戶數(shù)據(jù)不被竊取，也可以對(duì)不同用戶權(quán)限加以區(qū)別，限定不同的權(quán)限訪問相應(yīng)的資源，體現(xiàn)了較好的安全可靠性能。

2.4 無線網(wǎng)絡(luò)單獨(dú)規(guī)劃子網(wǎng)，并采用防火墻和入侵檢測系統(tǒng)

為了保證校園無線網(wǎng)絡(luò)資源的安全，將無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)分開管理，單獨(dú)劃分無線子網(wǎng)。把校園網(wǎng)絡(luò)結(jié)構(gòu)合理配置劃分為無線子網(wǎng)、有線子網(wǎng)、資源子網(wǎng)3部分。在無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)之間設(shè)置防火墻，防止無線網(wǎng)絡(luò)被入侵后引起范圍蔓延。通過在核心交換機(jī)上合理設(shè)置訪問控制列表，嚴(yán)格控制各子網(wǎng)間的資源訪問，對(duì)未經(jīng)授權(quán)的無線網(wǎng)絡(luò)用戶禁止訪問校內(nèi)網(wǎng)絡(luò)。校內(nèi)無線用戶登錄時(shí)，首先通過認(rèn)證服務(wù)器接入無線網(wǎng)絡(luò)，只有認(rèn)證通過才能獲得授權(quán)，根據(jù)相應(yīng)權(quán)限訪問網(wǎng)內(nèi)資源。為保障安全，還需要規(guī)劃入侵檢測系統(tǒng)，與防火墻聯(lián)動(dòng)，這樣可以有效阻止內(nèi)外部的入侵者。網(wǎng)絡(luò)中心采用無線網(wǎng)絡(luò)管理系統(tǒng)，管理整個(gè)無線網(wǎng)絡(luò)的設(shè)備設(shè)施，實(shí)現(xiàn)有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)一體化的網(wǎng)絡(luò)管理和運(yùn)行監(jiān)控。

3 增強(qiáng)網(wǎng)絡(luò)安全意識(shí)，加強(qiáng)網(wǎng)絡(luò)管理

上述幾條措施可以在一定程度上防范不法分子的攻擊，但無法杜絕。因此，應(yīng)加強(qiáng)對(duì)師生上網(wǎng)的引導(dǎo)，養(yǎng)成良好的個(gè)人上網(wǎng)習(xí)慣，增強(qiáng)師生網(wǎng)絡(luò)安全意識(shí)；如安裝安全防范軟件、及時(shí)修復(fù)漏洞、不打開不健康的網(wǎng)頁、不在網(wǎng)絡(luò)上透露個(gè)人信息、不要相信天上掉餡餅的好事、提高安全意識(shí)，文明上網(wǎng)等。學(xué)校要完善網(wǎng)絡(luò)安全機(jī)制，網(wǎng)絡(luò)中心要建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警機(jī)制和信息通報(bào)制度。網(wǎng)絡(luò)管理員要加強(qiáng)對(duì)無線網(wǎng)絡(luò)設(shè)備的管理，經(jīng)常檢查服務(wù)器日志，利用無線網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)對(duì)不法分子的攻擊行為進(jìn)行提前預(yù)警，一旦發(fā)現(xiàn)攻擊行為及時(shí)采取有效措施，及時(shí)對(duì)異常端設(shè)備進(jìn)行屏蔽，使用安全審計(jì)系統(tǒng)等保證校園無線網(wǎng)絡(luò)的安全。校園無線網(wǎng)絡(luò)擺脫了繁雜的網(wǎng)絡(luò)連線的束縛，極大的方便的師生隨時(shí)隨地上網(wǎng)的需求，保障無線網(wǎng)絡(luò)的信息安全是一項(xiàng)長期的工作，對(duì)于智慧校園的健康發(fā)展顯得尤為重要，因此，我們要根據(jù)實(shí)際情況，增強(qiáng)師生安全意識(shí)，落實(shí)各項(xiàng)規(guī)章制度，健全長效管理機(jī)制，確保無線網(wǎng)絡(luò)平臺(tái)安全運(yùn)行，為學(xué)校師生提供一個(gè)安全健康的上網(wǎng)環(huán)境提供有力的安全保障。

4 結(jié)束語

無線網(wǎng)絡(luò)應(yīng)用于校園，和計(jì)算機(jī)有線網(wǎng)絡(luò)進(jìn)入校園一樣，是一項(xiàng)大的系統(tǒng)工程，是實(shí)現(xiàn)智慧校園的有效途徑，經(jīng)過多年發(fā)展，無線網(wǎng)絡(luò)在技術(shù)上已經(jīng)日益成熟，校園無線網(wǎng)絡(luò)對(duì)學(xué)校及師生的成長和發(fā)展起著越來越重要的作用。網(wǎng)絡(luò)購物、網(wǎng)絡(luò)支付已經(jīng)全面進(jìn)入了人們的生活，人們對(duì)網(wǎng)絡(luò)安全的需求也越來越高，因此，要不斷開發(fā)更加完備的網(wǎng)絡(luò)安全技術(shù)，培養(yǎng)高素質(zhì)的網(wǎng)絡(luò)人才，從而全面保證網(wǎng)絡(luò)的安全。雖然無線網(wǎng)絡(luò)已應(yīng)用十分廣泛，并從根本上解除了網(wǎng)線對(duì)計(jì)算機(jī)的約束，但是在運(yùn)行過程中，如何提高無線網(wǎng)絡(luò)的速率和傳輸安全等問題需要我們進(jìn)一步探索，為師生提高一個(gè)安全的網(wǎng)絡(luò)環(huán)境而努力。