高職院校無線網絡的安全研究

摘要：隨著無線局域網技術的發展和無線接入設備的不斷普及，無線局域網技術在高職院校的校園網中應用越來越廣泛，但是無線局域網技術的自身特點和高職院校校園網中用戶成分的復雜性對校園網絡的安全提出了新的挑戰，該文就高職院校無線校園網中常見的安全問題進行探討，并給出相應的解決對策。

關鍵詞：高職院校；無線；校園網；安全

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)27-1947-03

Study on Vocational College Wireless Network Security

CHEN Huai-yu

(Fujian Vocational College of Children Education， Fuzhou 350013， China)

Abstract: With WLAN technology developing and wireless access equipment popularizing， WLAN technology applied in vocational college is more and more popular， but WLAN technology’s own characteristics and the complexity of users in campus network put forward new challenge to the safty of campus network. This paper discuss the security issues in campus network， and bring up some corresponding solutions.

Key words: vocational college; wireless; campus network; security

1 引言

隨著無線局域網技術的發展和無線接入設備的不斷普及，無線局域網技術在高職院校的校園網中應用越來越廣泛，在給學校的日常管理，教學科研提供便捷的同時，由于無線網絡的介質本身的開放性和高職院校校園網用戶的復雜性，對于校園網絡的安全性又提出了新的挑戰。

本文就高職院校無線校園網常見的安全問題進行探討，并給出相應的解決對策。

2 高職院校無線網絡常見的攻擊和弱點

高職院校的校園網用戶成分較為復雜，有學院日常管理的行政人員，有參與教學科研的教學人員，還有在校學習的學生以及其他訪問學校的非校內人士等等，并且學生中有一部分是計算機專業或者對計算機知識具有很高學習熱情的學生，這部分學生具備一定的專業知識和技能，在好奇心或者其他心態的驅使下，對于校園網的各種安全措施具有強烈的破解愿望，特別是對于開放式的無線網絡更是成為他們的一個重要目標。無線網絡可能受到的攻擊分為兩類，一類是關于網絡訪問控制、數據機密性保護和數據完整性保護進行的攻擊。這類攻擊在有線環境下也會發生；另一類則是由無線介質本身的特性決定的，基于無線通信網絡設計、部署和維護的獨特方式而進行的攻擊。

2.1 WEP中存在的弱點

IEEE（Institute of Electrical and Electronics Engineers，電氣與電子工程師學會）制定的802.11標準最早是在1999年發布的，它描述了WLAN（Wireless Local Area Network，無線局域網）和WMAN（Wireless Metropolitan Area Network，無線城域網）的MAC（Medium Access Control，介質訪問控制）和物理層的規范。為了防止出現無線網絡用戶偶然竊聽的情況和提供與有線網絡中功能等效的安全措施，IEEE引入了WEP （Wired Equivalent Privacy，有線等價保密）算法。和許多新技術一樣，最初設計的WEP被人們發現了許多嚴重的弱點。專家們利用已經發現的弱點，攻破了WEP聲稱具有的所有安全控制功能。總的來說，WEP存在如下弱點：

1） 整體設計：在無線環境中，不使用保密措施是具有很大風險的，但WEP協議只是802.11設備實現的一個可選項。

2） 加密算法：WEP中的IV（Initialization Vector，初始化向量）由于位數太短和初始化復位設計，容易出現重用現象，從而被人破解密鑰。而對用于進行流加密的RC4算法，在其頭256個字節數據中的密鑰存在弱點，目前還沒有任何一種實現方案修正了這個缺陷。此外用于對明文進行完整性校驗的CRC只能確保數據正確傳輸，并不能保證其未被修改，因而并不是安全的校驗碼。

3） 密鑰管理：802.11標準指出， WEP使用的密鑰需要接受一個外部密鑰管理系統的控制。通過外部控制。可以減少Iv的沖突數量，使得無線網絡難以攻破。但問題在于這個過程形式非常復雜，并且需要手工操作。因而很多高職院校的網絡的管理員更傾向于使用缺省的WEP密鑰，這使黑客為破解密鑰所作的工作量大大減少了。另一些高級的解決方案需要使用額外資源，如RADIUS和Cisco的LEAP，其花費是很昂貴的。

4） 用戶行為：許多用戶都不會改變缺省的配置選項，這令入侵者很容易推斷出或猜出密鑰。

2.2 執行搜索

NetStumbler是第一個被廣泛用來發現無線網絡的軟件。據統計，有超過50％的無線網絡是不使用加密功能的。通常即使加密功能處于活動狀態，AP（wireless Access Point，無線基站）廣播信息中仍然包括許多可以用來推斷出WEP密鑰的明文信息，如網絡名稱、SSID（Secure Set Identifier ，安全集標識符）等。

2.3 竊聽、截取和監聽

竊聽是指偷聽流經網絡的計算機通信的電子形式。它是以被動和無法覺察的方式人侵檢測設備的。即使網絡不對外廣播網絡信息，只要能夠發現任何明文信息，攻擊者仍然可以使用一些網絡工具，如Ethreal和TCPDump來監聽和分析通信量，從而識別出可以破壞的信息。使用虛擬專用網SSL（Secure Sockets Lave 安全套接字層）和SSH（Secure Shel1）有助于防止無線攔截。

2.4 欺騙和非授權訪問

因為TCP，IP （Transmission Control Protocol，Internet Protocol，傳輸控制協議，網際協議）的設計原因，幾乎無法防止MAC/IP地址欺騙。只有通過靜態定義MAC地址表才能防止這種類型的攻擊。但是，因為巨大的管理負擔，這種方案很少被采用。只有通過智能事件記錄和監控日志才可以對付已經出現過的欺騙。當試圖連接到網絡上的時候，簡單地通過讓另外一個節點重新向AP提交身份驗證請求就可以很容易地欺騙無線網身份驗證。許多無線設備提供商允許終端用戶通過使用設備附帶的配置工具，重新定義網卡的 MAC地址。使用外部雙因子身份驗證，如RADIUS或SecurID，可以防止非授權用戶訪問無線網及其連接的資源，并且在實現的時候，應該對需要經過強驗證才能訪問資源的訪問進行嚴格的限制。

2.5 網絡接管與篡改

同樣因為TCP，IP設計的原因，某些技術可供攻擊者接管為無線網上其他資源建立的網絡連接。如果攻擊者接管了某個AP，那么所有來自無線網的通信量都會傳到攻擊者的機器上，包括其他用戶試圖訪問合法網絡主機時需要使用的密碼和其他信息。欺詐AP可以讓攻擊者從有線網或無線網進行遠程訪問，而且這種攻擊通常不會引起用戶的重視，用戶通常是在毫無防范的情況下輸人自己的身份驗證信息，甚至在接到許多SSL錯誤或其他密鑰錯誤的通知之后，仍像是看待自己機器上的錯誤一樣看待它們，這讓攻擊者可以繼續接管連接，而不必擔心被別人發現。

2.6 拒絕服務攻擊

無線信號傳輸的特性和專門使用擴頻技術，使得無線網絡特別容易受到DoS（Denial of Service，拒絕服務）攻擊的威脅。拒絕服務是指攻擊者惡意占用主機或網絡幾乎所有的資源，使得合法用戶無法獲得這些資源。要造成這類的攻擊，最簡單的辦法是通過讓不同的設備使用相同的頻率，從而造成無線頻譜內出現沖突。另一個可能的攻擊手段是發送大量非法（或合法）的身份驗證請求。第三種手段，如果攻擊者接管AP，并且不把通信量傳遞到恰當的目的地，那么所有的網絡用戶都將無法使用網絡。為了防止DoS攻擊，可以做的事情很少。無線攻擊者可以利用高性能的方向性天線，從很遠的地方攻擊無線網。已經獲得有線網訪問權的攻擊者，可以通過發送多達無線AP無法處理的通信量來攻擊它。此外為了獲得與用戶的網絡配置發生沖突的網絡，只要利用NetStumbler就可以做到。

2.7 惡意軟件

憑借技巧定制的應用程序，攻擊者可以直接到終端用戶上查找訪問信息，例如訪問用戶系統的注冊表或其他存儲位置，以便獲取WEP密鑰并把它發送回到攻擊者的機器上。注意讓殺毒軟件保持更新，并且遏制攻擊的可能來源（Web瀏覽器、電子郵件、運行不當的服務器服務等），這是唯一可以獲得的保護措施。

2.8 偷竊用戶設備

只要得到了一塊無線網網卡，攻擊者就可以擁有一個無線網使用的合法MAC地址。也就是說，如果終端用戶的筆記本電腦被盜，他丟失的不僅僅是電腦本身，還包括設備上的身份驗證信息，如網絡的SSID 及密鑰。而對于別有用心的攻擊者而言，這些往往比電腦本身更有價值。

3 無線安全對策

3.1 分析威脅

分析威脅是保護網絡的第一步。應當確定潛在入侵者，并納入規劃校園網網絡的計劃。

3.2 設計和部署安全網絡

改變缺省設置。把基站看作RAS（Remote Access Server，遠程訪問服務器）。指定專用于WLAN的IP協議。在AP上使用速度最快的、能夠支持的安全功能。考慮天線對授權用戶和入侵者的影響。在網絡上，針對全部用戶使用一致的授權規則。在不會被輕易損壞的位置部署硬件。

3.3 實現WEP

WEP單獨使用，并不能提供足夠的 WLAN安全性。但通過在每幀中混入一個校驗和的做法。WEP能夠防止一些初步的攻擊手段，即向流中插入已知文本來破解密鑰流。必須在每個客戶端和每個 AP上實現WEP才能起作用。不必一定使用預先定義的WEP密鑰，可以由用戶來定義密鑰，而且能夠經常修改。要使用最堅固的WEP版本，并與標準的最新更新版本保持同步。

3.4 過濾MAC

把MAC過濾器作為第一層保護措施。應該記錄WLAN上使用的每個MAC地址，并配置在AP上，只允許這些地址訪問網絡。使用日志記錄產生的錯誤，并定期檢查，判斷是否某些人企圖突破安全措施。

3.5 過濾協議

過濾協議是個相當有效的方法，能夠限制那些企圖通過SNMP（Simple Network Management Protocol，簡單網絡管理協議）訪問無線設備來修改配置的WLAN用戶，還可以防止使用較大的ICMP（Internet Control Message Protocol，網際控制報文協議）包和其他會用作DoS的協議。過濾全部適當的協議和地址。維持對穿越自己網絡的數據的控制。

3.6 使用封閉系統和網絡

盡管可以很輕易地捕獲RF（Radio Frequency，無線頻率）通信，但是通過防止SSID從AP向外界廣播，就可以克服這個缺點。封閉整個網絡，避免隨時可能發生的無效連接。把必要的客戶端配置信息安全地分發給WLAN用戶。

3.7 分配IP

判斷使用哪一個分配IP的方法最適合自己的機構：靜態還是動態指定地址。靜態地址可以避免黑客自動獲得IP地址，而動態地址可以簡化WLAN的使用，可以降低那些繁重的管理工作。靜態IP范圍使黑客不得不猜測WLAN中的子網。

3.8 使用VPN

在合適的位置使用VPN（Virtual Private Network，虛擬專用網）服務。這是唯一一個最安全的遠程訪問方法。一些AP（例如Colubris和Nokia）為了執行的方便。已經內置了VPN.

在信息領域，沒有絕對安全的措施，魔高一尺道高一丈這樣的故事還將繼續上演，不過可以肯定的是，隨著安全標準的進一步完善和網絡設備成本的進一步降低，無線信息產品的在高職院校校園網建設中的必將得到更大規模的普及。

參考文獻：

[1] （英）喬恩·愛德尼，（美）威廉·阿爾保.無線局域網安全實務——WPA與802.11i/現代移動通信技術叢書[M].北京:人民郵電出版社，2006.

[2] 王艷春，張晨霞.無線網絡安全研究[J].齊齊哈爾大學學報，2005，21(2):2-4.

[3] 魯智勇，熊志昂，李志勇.無線局域網及其對抗技術[M].北京:國防工業出版社，2006.