校園無(wú)線網(wǎng)絡(luò)的安全威脅與應(yīng)對(duì)策略

徐志良

摘? 要：隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，人們的生活學(xué)習(xí)對(duì)其需求也越來(lái)越大。在校園中無(wú)線局域網(wǎng)的需求也越來(lái)越多，它為師生的教學(xué)工作提供了極大的便利，同時(shí)帶來(lái)了非常多的安全隱患。文章對(duì)當(dāng)前校園無(wú)線網(wǎng)常見的安全問題進(jìn)行分析，提出解決方案。

關(guān)鍵詞：無(wú)線校園網(wǎng);安全威脅;加密認(rèn)證

Abstract： With the continuous development of network technology， there is an increasing demand for it in people's life and study. The demand of wireless local area network （WLAN） on campus is more and more， provides great convenience for teachers' teaching work and students' study， thereby brings a lot of security risks at the same time. This paper analyzes the common security problems of wireless campus network and puts forward solutions.

1 校園無(wú)線網(wǎng)的應(yīng)用需求

隨著智能手機(jī)、平板電腦和筆記本電腦等移動(dòng)電子產(chǎn)品的普及;以及像云班課、騰訊課堂、“MOOC課堂”等線上教學(xué)形式的出現(xiàn)，校園無(wú)線網(wǎng)絡(luò)已經(jīng)成為廣大師生利用網(wǎng)絡(luò)進(jìn)行通信和教學(xué)的主要途徑。正因?yàn)闊o(wú)線網(wǎng)絡(luò)移動(dòng)便捷、組建方便、可擴(kuò)展性強(qiáng)等優(yōu)勢(shì)使得在校園里無(wú)線網(wǎng)絡(luò)逐步替代了有線網(wǎng)絡(luò)的存在。校園內(nèi)如何為廣大師生在教學(xué)區(qū)域、學(xué)生宿舍區(qū)和辦公會(huì)議場(chǎng)所提供穩(wěn)定、可靠、安全的無(wú)線網(wǎng)絡(luò)，以及在不同場(chǎng)所和不同人群提供網(wǎng)絡(luò)服務(wù)的設(shè)置，正是構(gòu)建無(wú)線校園網(wǎng)的應(yīng)用需求。

2 校園無(wú)線網(wǎng)絡(luò)安全問題

無(wú)線局域網(wǎng)（WLAN）相對(duì)有線網(wǎng)絡(luò)來(lái)說(shuō)無(wú)需復(fù)雜的布線安裝更簡(jiǎn)單，移動(dòng)性強(qiáng)易于進(jìn)行網(wǎng)絡(luò)規(guī)劃，利用電磁波發(fā)送接收數(shù)據(jù)成本低以及易于擴(kuò)展。但是，由于無(wú)線網(wǎng)絡(luò)是使用無(wú)線信道傳播，其信道是開放的，因而用戶數(shù)據(jù)面臨著被竊聽和篡改的威脅，以及攻擊者更容易進(jìn)行各種服務(wù)攻擊的安全問題。

2.1 非法竊聽

竊聽，這是無(wú)線網(wǎng)絡(luò)和傳統(tǒng)網(wǎng)絡(luò)都會(huì)遭遇的攻擊方式，但是對(duì)無(wú)線網(wǎng)絡(luò)來(lái)說(shuō)更為嚴(yán)重。這是由無(wú)線網(wǎng)絡(luò)的開放性特點(diǎn)決定的。在無(wú)線網(wǎng)絡(luò)環(huán)境中，任何用戶都可能通過帶有無(wú)線網(wǎng)絡(luò)信號(hào)接入設(shè)備的移動(dòng)終端連接網(wǎng)絡(luò)而進(jìn)行非法竊聽。在校園無(wú)線網(wǎng)中，攻擊者會(huì)通過WLAN發(fā)現(xiàn)工具軟件（如inSSIDer），搜索附近開放的WLAN信號(hào);發(fā)送空探尋請(qǐng)求幀，以期收到包含WLAN的信息：SSID、信息、加密方式。如果數(shù)據(jù)包在校園無(wú)線射頻覆蓋的區(qū)域內(nèi)未進(jìn)行加密，或者使用了弱口令加密，攻擊者可使用監(jiān)聽模式竊取WLAN的數(shù)據(jù)包，造成數(shù)據(jù)信息的泄露等安全威脅，而使用者并無(wú)法察覺是否有人正在進(jìn)行非法竊聽。因此竊聽成為在無(wú)線網(wǎng)極為常見的非法行為。

2.2 WEP的缺陷

由于無(wú)線局域網(wǎng)極易被非法用戶竊聽和侵入，因此需要對(duì)無(wú)線網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行加密。早期普遍使用WEP技術(shù)，期望能夠與有線網(wǎng)絡(luò)有著同級(jí)的安全性，但由于其存在根本性的加密缺陷并不能達(dá)到這樣的期望。因?yàn)閃EP通過使用RC4序列密碼算法加密，其中密鑰是由IV（初始向量）和共享密鑰組成，而起決定作用的IV會(huì)被重復(fù)使用，使其算法存在缺陷。而IV向量空間較小，只有24位，如果攻擊者截獲多個(gè)加密包進(jìn)行統(tǒng)計(jì)攻擊就可恢復(fù)明文。所以一個(gè)黑客用破解工具就可以收集分析發(fā)送的數(shù)據(jù)，很容易就能從中提取密鑰進(jìn)行破解。當(dāng)前有許多免費(fèi)工具都可以輕松地探測(cè)WLAN流量并分析得到WEP密鑰。

2.3 非法接入點(diǎn)

非法接入點(diǎn)（Rogue設(shè)備）指的是未經(jīng)許可而被安裝的接入點(diǎn)。一般情況下，有可能是校內(nèi)的師生對(duì)于安全意識(shí)不夠，常常會(huì)在工作場(chǎng)所內(nèi)自行安裝無(wú)線接入的AP，而這些自行安裝的AP幾乎都是開放的，每一個(gè)非法的AP接入點(diǎn)都將成為一個(gè)安全漏洞，使得攻擊者會(huì)輕易獲取到SSID，并成功與接入點(diǎn)進(jìn)行鏈接，對(duì)單位的信息安全帶來(lái)極大威脅，甚至可能還會(huì)對(duì)無(wú)線網(wǎng)絡(luò)服務(wù)通過發(fā)送大量的數(shù)據(jù)包，進(jìn)行拒絕服務(wù)的攻擊，造成通信設(shè)備和服務(wù)器癱瘓。

3 校園無(wú)線網(wǎng)絡(luò)安全策略

3.1 服務(wù)集標(biāo)識(shí)符（SSID）匹配

SSID通俗地說(shuō)就是無(wú)線網(wǎng)絡(luò)的名稱。接入無(wú)線網(wǎng)，首先是尋找想要連接的網(wǎng)絡(luò)所對(duì)應(yīng)的SSID無(wú)線接入端要與無(wú)線接入點(diǎn)（AP）的SSID相同，才能與AP進(jìn)行連接。SSID可以說(shuō)是無(wú)線局域網(wǎng)的第一道防線。在一個(gè)AP中可以創(chuàng)建多個(gè)SSID，每一個(gè)SSID相當(dāng)于一個(gè)無(wú)線的子網(wǎng)絡(luò)，并可以獨(dú)立設(shè)置身份驗(yàn)證，只有通過身份驗(yàn)證才能進(jìn)入對(duì)應(yīng)的子網(wǎng)絡(luò)。為了避免無(wú)線網(wǎng)絡(luò)容易被別人搜索到，可以設(shè)置禁止SSID廣播。校園中個(gè)別部門數(shù)據(jù)有隱私需求，假如與其他類型用戶共用同一網(wǎng)絡(luò)，數(shù)據(jù)很容易會(huì)被竊取。因此要為不同的用戶類型劃分多個(gè)不同的子網(wǎng)設(shè)置不同SSID，并且對(duì)各個(gè)SSID設(shè)置不同的加密密鑰;同時(shí)將重要的部門的SSID中進(jìn)行隱蔽（禁止廣播SSID）。例如將教師、學(xué)生、臨時(shí)用戶、特別行政部門分配不同SSID，設(shè)置相應(yīng)不同的密鑰，并將特殊行政部門的SSID禁止廣播。這樣一般的無(wú)線終端用戶在SSID不可見的情況下難以搜索進(jìn)行連接，另外用戶分別連入不同的無(wú)線子網(wǎng)，實(shí)現(xiàn)了不同SSID用戶之間的二層隔離，從而提高安全性。

3.2 使用WPA加密認(rèn)證

WPA是一種在802.11i完備之前替代WEP的過渡方案，包含有WPA和WPA2兩個(gè)標(biāo)準(zhǔn)。WPA是繼承了WEP基本原理又特別針對(duì)WEP的幾個(gè)缺點(diǎn)進(jìn)行了優(yōu)化和缺陷彌補(bǔ)來(lái)提供加密和認(rèn)證。WPA認(rèn)證的密鑰只用于身份認(rèn)證過程，傳輸數(shù)據(jù)加密則采用用戶認(rèn)證后的動(dòng)態(tài)密鑰，使得各用戶的密鑰不相同而提高安全性，而且在不需要修改原來(lái)無(wú)線設(shè)備的硬件也能兼容之前的無(wú)線設(shè)備。WPA2是基于WPA升級(jí)版本，安全標(biāo)準(zhǔn)充分考慮了企業(yè)網(wǎng)絡(luò)的安全防護(hù)需要，采用AES的加密技術(shù)可以滿足更高的安全需求，目前大多數(shù)WiFi產(chǎn)品都支持WPA2安全認(rèn)證技術(shù)，而且在一個(gè)SSID內(nèi)可以同時(shí)配置WPA和WPA2，因此在設(shè)置二層安全上，可以通過WPA的兩個(gè)標(biāo)準(zhǔn)方法進(jìn)行加密認(rèn)證。

3.3 無(wú)線AC結(jié)合WEB認(rèn)證方式

在傳統(tǒng)的WLAN結(jié)構(gòu)中采用的是FAT-AP模式，F(xiàn)AT-AP配置簡(jiǎn)單，有獨(dú)立的系統(tǒng)，能獨(dú)立自主完成無(wú)線接入和安全加密等多項(xiàng)任務(wù)，但由于不能集中配置與管理，因而在受到攻擊與干擾時(shí)難以發(fā)現(xiàn)。FIT-AP必須借助無(wú)線網(wǎng)絡(luò)控制器（AC）進(jìn)行統(tǒng)一的管理和配置。采用FIP-AP模式，除了簡(jiǎn)化AP的配置和管理功能，還可以將密集型的無(wú)線網(wǎng)絡(luò)和安全處理功能轉(zhuǎn)移到無(wú)線控制器中統(tǒng)一實(shí)現(xiàn)。例如實(shí)現(xiàn)AP的設(shè)備功率的調(diào)整，控制信號(hào)的覆蓋范圍，盡量減少信號(hào)泄露出所需覆蓋范圍之外，以防止覆蓋范圍外的接入。同時(shí)可設(shè)置多個(gè)WLAN與VLAN關(guān)聯(lián)，提供多個(gè)SSID接入服務(wù)，針對(duì)每個(gè)SSID配置單獨(dú)的認(rèn)證方式、加密機(jī)制，部署不同的服務(wù)來(lái)實(shí)現(xiàn)通信安全。

校園網(wǎng)主要功能是為本校師生提供校園網(wǎng)內(nèi)的資源。單純依靠WPA的加密認(rèn)證方式是不足的，倘若加密密鑰被告知而泄露，非法用戶便可隨意加入校園無(wú)線網(wǎng)內(nèi)，占用內(nèi)部帶寬資源，甚至帶來(lái)安全隱患。因此在認(rèn)證設(shè)計(jì)上，可采取FITAP+無(wú)線控制器（AC），結(jié)合Web認(rèn)證服務(wù)來(lái)實(shí)現(xiàn)。Web認(rèn)證是一種采用一般瀏覽器就能進(jìn)行控制用戶訪問網(wǎng)絡(luò)權(quán)限的身份認(rèn)證方法。當(dāng)用戶未進(jìn)行認(rèn)證時(shí)，只可使用Protal服務(wù)器上提供的有限服務(wù)。未認(rèn)證用戶若要訪問服務(wù)器以外的網(wǎng)絡(luò)資源時(shí)，只需打開瀏覽器進(jìn)行上網(wǎng)，這時(shí)瀏覽器會(huì)被接入設(shè)備強(qiáng)制訪問指定的Protal服務(wù)器網(wǎng)頁(yè)，然后輸入賬號(hào)和密碼以進(jìn)行身份認(rèn)證，一旦認(rèn)證通過就可以使用其他網(wǎng)絡(luò)資源。

類似我校有VERP校園內(nèi)部辦公網(wǎng)，在校師生均有各自登錄系統(tǒng)的賬號(hào)和密碼?？衫棉k公網(wǎng)中賬號(hào)和密碼作為Protal認(rèn)證服務(wù)的驗(yàn)證數(shù)據(jù)，只要師生在登錄驗(yàn)證網(wǎng)頁(yè)中，輸入自己正確的系統(tǒng)內(nèi)賬號(hào)和密碼便可實(shí)現(xiàn)認(rèn)證登錄訪問網(wǎng)絡(luò)資源。由于每位師生都有唯一的賬號(hào)和密碼，并且賬號(hào)與師生有一一對(duì)應(yīng)的關(guān)系，這樣可以避免師生將自己的賬號(hào)和密碼泄露出去，同時(shí)又增加了網(wǎng)絡(luò)安全性。

3.4 部署無(wú)線入侵檢測(cè)系統(tǒng)

部署無(wú)線網(wǎng)絡(luò)會(huì)在整個(gè)校園區(qū)中安裝了大量的AP。在校園內(nèi)的設(shè)備中，既有可能是獲得授權(quán)的AP，也可能存在安全漏洞或被攻擊者操縱的非法設(shè)備（Rogue設(shè)備）。非法接入設(shè)備對(duì)于校園網(wǎng)的威脅很大。入侵者可能會(huì)通過Rouge設(shè)備入侵網(wǎng)絡(luò)及發(fā)起各種惡意“拒絕服務(wù)”攻擊，因而無(wú)線校園網(wǎng)中要部署無(wú)線入侵檢測(cè)系統(tǒng)。WIDS可以在不影響網(wǎng)絡(luò)性能的情況下對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，提前檢測(cè)網(wǎng)絡(luò)中的入侵行為和用戶攻擊，保護(hù)網(wǎng)絡(luò)和用戶不被無(wú)線網(wǎng)絡(luò)上未經(jīng)授權(quán)的設(shè)備訪問，從而提供對(duì)各種攻擊實(shí)時(shí)防范。WIDS對(duì)處于監(jiān)聽模式的AP作為檢測(cè)設(shè)備進(jìn)行集中式部署配置，通過捕捉無(wú)線報(bào)文并發(fā)送探查請(qǐng)求消息，監(jiān)聽AP便可通過附近設(shè)備返回的這些探查響應(yīng)幀分辨設(shè)備類型。目前大多數(shù)無(wú)線控制器都具備無(wú)線入侵檢測(cè)功能，能檢測(cè)阻止類似泛洪攻擊，欺騙攻擊等。

例如，以某技師學(xué)院無(wú)線校園網(wǎng)為例，以銳捷無(wú)線控制器WS5708進(jìn)行集中式控制管理，同時(shí)設(shè)置了WIDS進(jìn)行實(shí)時(shí)監(jiān)視非法設(shè)備配置，對(duì)檢測(cè)到的Rogue設(shè)備進(jìn)行反制和拒絕泛洪攻擊。當(dāng)WIDS檢測(cè)到Flooding攻擊時(shí)，則將發(fā)起攻擊的設(shè)備添加到動(dòng)態(tài)黑名單列表中進(jìn)行攔截以保障網(wǎng)絡(luò)安全。

3.5 完善管理制度

若要保障無(wú)線局域網(wǎng)的安全，網(wǎng)絡(luò)運(yùn)維人員須要運(yùn)用專業(yè)技術(shù)進(jìn)行管理，并定期檢測(cè)無(wú)線網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況，檢查相關(guān)的網(wǎng)絡(luò)日志，發(fā)現(xiàn)問題及時(shí)處理;同時(shí)學(xué)校要出臺(tái)相關(guān)管理制度，加強(qiáng)校園網(wǎng)絡(luò)使用宣傳，培養(yǎng)教師和學(xué)生的安全用網(wǎng)意識(shí)。

4 結(jié)束語(yǔ)

目前在眾多校園無(wú)線網(wǎng)中，都普遍存在安全性的問題?；疽苑欠ń尤牍艉头欠ń尤朐O(shè)備的威脅為主。加密認(rèn)證技術(shù)的設(shè)置不合理，以及管理不足是問題的關(guān)鍵。在無(wú)線校園網(wǎng)的安全方面，無(wú)線加密技術(shù)與認(rèn)證是極為重要的，在無(wú)線校園網(wǎng)中采用Portal強(qiáng)制認(rèn)證還是比較可靠的。網(wǎng)絡(luò)是沒有絕對(duì)安全的，若要盡量保證無(wú)線校園網(wǎng)安全，關(guān)鍵要建立有效的管理制度，加強(qiáng)師生的安全用網(wǎng)意識(shí)，了解網(wǎng)絡(luò)安全最新動(dòng)態(tài)和技術(shù)的更新，不斷調(diào)整和完善防范措施。

參考文獻(xiàn)：

[1]唐繼勇，童均.無(wú)線網(wǎng)絡(luò)組建項(xiàng)目教程（第二版）[M].中國(guó)水利水電出版社，2014.

[2]徐振華.無(wú)線網(wǎng)絡(luò)安全現(xiàn)狀及對(duì)策研究[M].知識(shí)產(chǎn)權(quán)出版社，2016.

[3]汪雙頂，黃君羨，梁廣民.無(wú)線局域網(wǎng)技術(shù)與實(shí)踐[M].高等教育出版社，2018.

[4]高曉紅.無(wú)線校園網(wǎng)絡(luò)安全問題及其解決策略[J].辦公自動(dòng)化，2015（20）：42-44.

[5]高竹.高校無(wú)線校園網(wǎng)絡(luò)安全管理方案[J].學(xué)周刊，2014（33）：23.