校园无线网络的安全威胁与应对策略

来源:用户上传      作者:

　　摘  要：随着网络技术的不断发展，人们的生活学习对其需求也越来越大。在校园中无线局域网的需求也越来越多，它为师生的教学工作提供了极大的便利，同时带来了非常多的安全隐患。文章对当前校园无线网常见的安全问题进行分析，提出解决方案。
　　关键词：无线校园网;安全威胁;加密认证
　　Abstract： With the continuous development of network technology， there is an increasing demand for it in people's life and study. The demand of wireless local area network （WLAN） on campus is more and more， provides great convenience for teachers' teaching work and students' study， thereby brings a lot of security risks at the same time. This paper analyzes the common security problems of wireless campus network and puts forward solutions.
　　1 校园无线网的应用需求
　　随着智能手机、平板电脑和笔记本电脑等移动电子产品的普及;以及像云班课、腾讯课堂、“MOOC课堂”等线上教学形式的出现，校园无线网络已经成为广大师生利用网络进行通信和教学的主要途径。正因为无线网络移动便捷、组建方便、可扩展性强等优势使得在校园里无线网络逐步替代了有线网络的存在。校园内如何为广大师生在教学区域、学生宿舍区和办公会议场所提供稳定、可靠、安全的无线网络，以及在不同场所和不同人群提供网络服务的设置，正是构建无线校园网的应用需求。
　　2 校园无线网络安全问题
　　无线局域网（WLAN）相对有线网络来说无需复杂的布线安装更简单，移动性强易于进行网络规划，利用电磁波发送接收数据成本低以及易于扩展。但是，由于无线网络是使用无线信道传播，其信道是开放的，因而用户数据面临着被窃听和篡改的威胁，以及攻击者更容易进行各种服务攻击的安全问题。
　　2.1 非法窃听
　　窃听，这是无线网络和传统网络都会遭遇的攻击方式，但是对无线网络来说更为严重。这是由无线网络的开放性特点决定的。在无线网络环境中，任何用户都可能通过带有无线网络信号接入设备的移动终端连接网络而进行非法窃听。在校园无线网中，攻击者会通过WLAN发现工具软件（如inSSIDer），搜索附近开放的WLAN信号;发送空探寻请求帧，以期收到包含WLAN的信息：SSID、信息、加密方式。如果数据包在校园无线射频覆盖的区域内未进行加密，或者使用了弱口令加密，攻击者可使用监听模式窃取WLAN的数据包，造成数据信息的泄露等安全威胁，而使用者并无法察觉是否有人正在进行非法窃听。因此窃听成为在无线网极为常见的非法行为。
　　2.2 WEP的缺陷
　　由于无线局域网极易被非法用户窃听和侵入，因此需要对无线网络中传输的数据进行加密。早期普遍使用WEP技术，期望能够与有线网络有着同级的安全性，但由于其存在根本性的加密缺陷并不能达到这样的期望。因为WEP通过使用RC4序列密码算法加密，其中密钥是由IV（初始向量）和共享密钥组成，而起决定作用的IV会被重复使用，使其算法存在缺陷。而IV向量空间较小，只有24位，如果攻击者截获多个加密包进行统计攻击就可恢复明文。所以一个黑客用破解工具就可以收集分析发送的数据，很容易就能从中提取密钥进行破解。当前有许多免费工具都可以轻松地探测WLAN流量并分析得到WEP密钥。
　　2.3 非法接入點
　　非法接入点（Rogue设备）指的是未经许可而被安装的接入点。一般情况下，有可能是校内的师生对于安全意识不够，常常会在工作场所内自行安装无线接入的AP，而这些自行安装的AP几乎都是开放的，每一个非法的AP接入点都将成为一个安全漏洞，使得攻击者会轻易获取到SSID，并成功与接入点进行链接，对单位的信息安全带来极大威胁，甚至可能还会对无线网络服务通过发送大量的数据包，进行拒绝服务的攻击，造成通信设备和服务器瘫痪。
　　3 校园无线网络安全策略
　　3.1 服务集标识符（SSID）匹配
　　SSID通俗地说就是无线网络的名称。接入无线网，首先是寻找想要连接的网络所对应的SSID无线接入端要与无线接入点（AP）的SSID相同，才能与AP进行连接。SSID可以说是无线局域网的第一道防线。在一个AP中可以创建多个SSID，每一个SSID相当于一个无线的子网络，并可以独立设置身份验证，只有通过身份验证才能进入对应的子网络。为了避免无线网络容易被别人搜索到，可以设置禁止SSID广播。校园中个别部门数据有隐私需求，假如与其他类型用户共用同一网络，数据很容易会被窃取。因此要为不同的用户类型划分多个不同的子网设置不同SSID，并且对各个SSID设置不同的加密密钥;同时将重要的部门的SSID中进行隐蔽（禁止广播SSID）。例如将教师、学生、临时用户、特别行政部门分配不同SSID，设置相应不同的密钥，并将特殊行政部门的SSID禁止广播。这样一般的无线终端用户在SSID不可见的情况下难以搜索进行连接，另外用户分别连入不同的无线子网，实现了不同SSID用户之间的二层隔离，从而提高安全性。
　　3.2 使用WPA加密认证
　　WPA是一种在802.11i完备之前替代WEP的过渡方案，包含有WPA和WPA2两个标准。WPA是继承了WEP基本原理又特别针对WEP的几个缺点进行了优化和缺陷弥补来提供加密和认证。WPA认证的密钥只用于身份认证过程，传输数据加密则采用用户认证后的动态密钥，使得各用户的密钥不相同而提高安全性，而且在不需要修改原来无线设备的硬件也能兼容之前的无线设备。WPA2是基于WPA升级版本，安全标准充分考虑了企业网络的安全防护需要，采用AES的加密技术可以满足更高的安全需求，目前大多数WiFi产品都支持WPA2安全认证技术，而且在一个SSID内可以同时配置WPA和WPA2，因此在设置二层安全上，可以通过WPA的两个标准方法进行加密认证。 　　3.3 无线AC结合WEB认证方式
　　在传统的WLAN结构中采用的是FAT-AP模式，FAT-AP配置简单，有独立的系统，能独立自主完成无线接入和安全加密等多项任务，但由于不能集中配置与管理，因而在受到攻击与干扰时难以发现。FIT-AP必须借助无线网络控制器（AC）进行统一的管理和配置。采用FIP-AP模式，除了简化AP的配置和管理功能，还可以将密集型的无线网络和安全处理功能转移到无线控制器中统一实现。例如实现AP的设备功率的调整，控制信号的覆盖范围，尽量减少信号泄露出所需覆盖范围之外，以防止覆盖范围外的接入。同时可设置多个WLAN与VLAN关联，提供多个SSID接入服务，针对每个SSID配置单独的认证方式、加密机制，部署不同的服务来实现通信安全。
　　校园网主要功能是为本校师生提供校园网内的资源。单纯依靠WPA的加密认证方式是不足的，倘若加密密钥被告知而泄露，非法用户便可随意加入校园无线网内，占用内部带宽资源，甚至带来安全隐患。因此在认证设计上，可采取FITAP+无线控制器（AC），结合Web认证服务来实现。Web认证是一种采用一般浏览器就能进行控制用户访问网络权限的身份认证方法。当用户未进行认证时，只可使用Protal服务器上提供的有限服务。未认证用户若要访问服务器以外的网络资源时，只需打开浏览器进行上网，这时浏览器会被接入设备强制访问指定的Protal服务器网页，然后输入账号和密码以进行身份认证，一旦认证通过就可以使用其他网络资源。
　　类似我校有VERP校园内部办公网，在校师生均有各自登录系统的账号和密码。可利用办公网中账号和密码作为Protal认证服务的验证数据，只要师生在登录验证网页中，输入自己正确的系统内账号和密码便可实现认证登录访问网络资源。由于每位师生都有唯一的账号和密码，并且账号与师生有一一对应的关系，这样可以避免师生将自己的账号和密码泄露出去，同时又增加了网络安全性。
　　3.4 部署无线入侵检测系统
　　部署无线网络会在整个校园区中安装了大量的AP。在校園内的设备中，既有可能是获得授权的AP，也可能存在安全漏洞或被攻击者操纵的非法设备（Rogue设备）。非法接入设备对于校园网的威胁很大。入侵者可能会通过Rouge设备入侵网络及发起各种恶意“拒绝服务”攻击，因而无线校园网中要部署无线入侵检测系统。WIDS可以在不影响网络性能的情况下对无线网络进行监测，提前检测网络中的入侵行为和用户攻击，保护网络和用户不被无线网络上未经授权的设备访问，从而提供对各种攻击实时防范。WIDS对处于监听模式的AP作为检测设备进行集中式部署配置，通过捕捉无线报文并发送探查请求消息，监听AP便可通过附近设备返回的这些探查响应帧分辨设备类型。目前大多数无线控制器都具备无线入侵检测功能，能检测阻止类似泛洪攻击，欺骗攻击等。
　　例如，以某技师学院无线校园网为例，以锐捷无线控制器WS5708进行集中式控制管理，同时设置了WIDS进行实时监视非法设备配置，对检测到的Rogue设备进行反制和拒绝泛洪攻击。当WIDS检测到Flooding攻击时，则将发起攻击的设备添加到动态黑名单列表中进行拦截以保障网络安全。
　　3.5 完善管理制度
　　若要保障无线局域网的安全，网络运维人员须要运用专业技术进行管理，并定期检测无线网络设备的运行状况，检查相关的网络日志，发现问题及时处理;同时学校要出台相关管理制度，加强校园网络使用宣传，培养教师和学生的安全用网意识。
　　4 结束语
　　目前在众多校园无线网中，都普遍存在安全性的问题。基本以非法接入攻击和非法接入设备的威胁为主。加密认证技术的设置不合理，以及管理不足是问题的关键。在无线校园网的安全方面，无线加密技术与认证是极为重要的，在无线校园网中采用Portal强制认证还是比较可靠的。网络是没有绝对安全的，若要尽量保证无线校园网安全，关键要建立有效的管理制度，加强师生的安全用网意识，了解网络安全最新动态和技术的更新，不断调整和完善防范措施。
　　参考文献：
　　[1]唐继勇，童均.无线网络组建项目教程（第二版）[M].中国水利水电出版社，2014.
　　[2]徐振华.无线网络安全现状及对策研究[M].知识产权出版社，2016.
　　[3]汪双顶，黄君羡，梁广民.无线局域网技术与实践[M].高等教育出版社，2018.
　　[4]高晓红.无线校园网络安全问题及其解决策略[J].办公自动化，2015（20）：42-44.
　　[5]高竹.高校无线校园网络安全管理方案[J].学周刊，2014（33）：23.
转载注明来源:https://www.xzbu.com/1/view-15193174.htm